Libre à vous ! Radio Cause Commune - Transcription de l'émission du 2 juillet 2019

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Émission Libre à vous ! diffusée mardi 2 juillet 2019 sur radio Cause Commune

Intervenants : Noémie Bergez - Véronique Bonnet - François Poulain - Antoine Bardelli - Isabella Vanni - Vincent Calame - Frédéric Couchet - Étienne Gonnu à la régie

Lieu : Radio Cause Commune

Date : 2 juillet 2019

Durée : 1 h 30 min

Écouter ou télécharger le podcast

Page des références utiles concernant cette émission

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Statut : Transcrit

Transcription

Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.

Frédéric Couchet : Bonjour à toutes. Bonjour à tous. Vous êtes sur la radio Cause Commune 93.1 en Île-de-France et partout dans le monde sur le site causecommune.fm. La radio dispose d’un webchat, utilisez votre navigateur web, rendez-vous sur le site de la radio, causecommune.fm, cliquez sur « chat » et ainsi retrouvez-nous sur le salon dédié à l’émission.
Nous sommes mardi 2 juillet 2019, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.
Soyez les bienvenus pour cette nouvelle édition de Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre. Je suis Frédéric Couchet, délégué général de l’April.
Le site web de l’April est april.org et vous pouvez y trouver une page consacrée à cette émission avec tous les liens et références utiles, les détails sur les pauses musicales et toute autre information utile en complément de l’émission mais également les moyens de nous contacter pour nous faire des retours, pour indiquer ce qui vous a plu mais aussi des points d’amélioration.
Je vous souhaite une excellente écoute.

Voici maintenant le programme de l’émission, émission un peu spéciale constituée de sujets courts, chroniques et une interview.
Nous aurons successivement la chronique « In code we trust » de Noémie Bergez sur le Réglement général sur la protection des données, le RGPD ; la chronique « Le libre fait sa comm’ » d’Isabella Vanni pour le projet Bénévalibre ; la chronique « Partager est bon » de Véronique Bonnet sur le thème « en quoi l’open source perd de vue l’éthique du logiciel libre » ; une interview d’Antoine Bardelli sur son expérience professionnelle sur les outils libres pour l’image et enfin, la seconde partie très attendue de la chronique « Jouons collectif » de Vincent Calame sur la migration vers le logiciel de la FPH. Nous saurons sur la quête de la sainte liberté a réussi à la FPH.
À la réalisation aujourd’hui mon collègue Étienne Gonnu. Bonjour Étienne.

Étienne Gonnu : Salut Fred.

Frédéric Couchet : On va, bien sûr, vous proposer un petit quiz comme à chaque émission. Je vous donnerai les réponses en cours d’émission Vous pouvez propose des réponses sur le salon web de la radio, sur les réseaux sociaux que nous fréquentons.
Première question : lors de l’émission du 25 juin, nous avons parlé de bureautique libre de LibreOffice. La question est : comment s’appelle l’association francophone de promotion et de défense de la bureautique libre et notamment de LibreOffice ?
Deuxième question : en mai 2019, le 7 mai, Isabella Vanni a interviewé Antoine Bardelli, qui sera à nouveau interviewé aujourd’hui, sur la genèse d’un projet de sensibilisation de l’April. Quel est cet outil de communication ? Je vous aide, il est constitué de panneaux, huit panneaux actuellement.

Tout de suite place au premier sujet.

[Virgule musicale]

2’35 Chronique de Noémie Bergez « In code we trust » sur le RGPD

Frédéric Couchet : Évoquer le code à la main une règle de droit ou un procès en lien avec les œuvres, les données, les logiciels ou les technologies, c’est la chronique In code we trust, « Dans le code nous croyons », de Noémie Bergez, avocate au cabinet Dune. Bonjour Noémie.

Noémie Bergez : Bonjour Fred.

Frédéric Couchet : Le sujet du jour c’est le RGPD, Règlement général sur la protection des données.

Noémie Bergez : Effectivement. Nous allons revenir un peu sur les grandes notions du Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, donc le RGPD. Nous avions évoqué, lors d’une précédente chronique, un certain nombre d’éléments sur ce Règlement et il me semblait intéressant d’approfondir certaines notions, notamment de revoir un peu les définitions qui sont contenues dans le Règlement.
Le Règlement comporte 26 définitions, donc des définitions qui concernent l’objet, des définitions qui concernent les acteurs et des définitions qui concernent les conditions du traitement.

Sur l’objet ce Règlement porte sur les données à caractère personnel. On trouve évidemment, dans le RGPD, une définition de la donnée à caractère personnel ou, autre terme pour désigner ces données, ce sont les données personnelles. Toutes ces données ce sont des informations qui se rapportent à une personne physique à l’inverse d’une personne morale, qui sont identifiées ou identifiables. Ça peut être une identification directe ou indirecte, notamment par référence à un identifiant – un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, cultuelle ou sociale. Donc une définition extrêmement large.
On va trouver, de manière assez classique dans les données à caractère personnel, le nom, le prénom, la photographie, l’empreinte, une adresse postale, une adresse mail, puisque dès lors que l’adresse mail comporte un nom qui permet d’identifier une personne physique on est en présence d’une donnée à caractère personnel, un numéro de téléphone, un numéro de sécurité sociale, mais également une adresse IP ; ça c’est un point qui est intéressant parce que c’est vrai qu’en France il y avait eu un débat pour savoir si l’adresse IP était ou nom une donnée à caractère personnel et la Cour de cassation avait tranché. Aujourd’hui il n’y a plus de discussion possible.
Au sein des données à caractère personnel, le RGPD va diviser certaines données qui sont un peu spécifiques : on va avoir des données génétiques, des données biométriques et des données concernant la santé. Ces trois sous-catégories de données ont en elles-mêmes des caractéristiques spécifiques qui font qu’elles sont intégrées dans la définition des données à caractère personnel, mais elles ont parfois une réglementation propre.

  • Donc on va avoir les données génétiques qui sont des données relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique. En fait, elles donnent des informations uniques sur la physiologie ou l’état de santé d’une personne physique, notamment elles résultent d’une analyse d’un échantillon biologique de la personne physique en question.
  • On va avoir les données biométriques qui, elles, sont des données qui résultent d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, donc elles permettent ou confirment son identification unique. L’exemple des données biométriques à caractère personnel ça va être les empreintes digitales : elles ont comme particularité d’être uniques et permanentes.
  • On a une troisième sous-catégorie : les données qui concernent la santé. On va avoir dans cette catégorie toutes les données qui sont relatives à la santé physique mais également mentale d’une personne physique. Il faut également noter que ça concerne aussi les prestations de soin de santé qui peuvent révéler des informations sur l’état de santé d’une personne.

L’objet du Règlement est bien défini dans le cadre de la donnée à caractère personnel. Après, se pose la question de comment encadre-t-on le traitement de ces données à caractère personnel, donc c’est tout l’objet du RGPD. Le traitement d’une donnée à caractère personnel est lui aussi défini. C’est toute opération, tout ensemble d’opérations qui sont effectuées ou non à l’aide de procédés automatisés. On a, par exemple, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’extraction, la consultation. C’est une définition qui est extrêmement large, le traitement est extrêmement large. En réalité, toute opération qui part de la collecte jusqu’à l’effacement ou la destruction de la donnée est une opération de traitement.

On a également une définition dans le RGPD du fichier. Un fichier c’est un ensemble structuré de données à caractère personnel.

On a, autre aspect du RGPD, des définitions qui concernent les personnes, les acteurs même de ces traitements.
En tout premier lieu, je dirais, la personne principale, celle qu’on désigne comme étant la personne concernée, les personnes concernées, ce sont celles dont les données à caractère personnel sont traitées.
Ensuite va venir ce qu’on appelle le responsable du traitement. Le responsable du traitement c’est la personne physique ou morale qui va, en fait, déterminer les finalités et les moyens du traitement de données à caractère personnel. Généralement, quand on parle de responsable du traitement, on évoque aussi la notion de sous-traitant. Le sous-traitant, à l’inverse du responsable du traitement, c’est celui qui va traiter des données à caractère personnel pour le compte d’un responsable du traitement. On a vraiment cette relation de sous-traitance et le RGPD prévoit que cette relation-là doit être encadrée.
On a un troisième acteur, c’est le destinataire. C’est tout simplement la personne physique ou morale qui va recevoir communication des données à caractère personnel.
On a aussi une notion qui est définie dans le RGPD, c’est le tiers. C’est vrai que parfois les distinctions ne sont pas évidentes entre destinataire, tiers. En réalité le tiers c’est la personne physique ou morale qui est autorisée à traiter les données à caractère personnel qu’il va recevoir de la part du responsable du traitement ou du sous-traitant. À la différence en fait du destinataire, c’est que là c’est vraiment dans le cadre de la relation qu’il va y avoir sous la responsabilité du responsable du traitement, donc ça va être vraiment en lien avec soit le responsable du traitement soit le sous-traitant.
Enfin on a un autre acteur qui est défini dans le RGPD c’est l’autorité de contrôle. Cette autorité de contrôle est dans chaque État membre, c’est-à-dire que chacun des pays de l’Union européenne a désigné une autorité de contrôle – en France notre autorité de contrôle c’est la Commission nationale de l’informatique et des libertés –, donc c’est l’autorité qui va avoir un certain nombre de compétences pour surveiller, pour contrôler, pour apporter des informations dans cette matière.
Et on a enfin un troisième acteur, qui n’est pas défini tel quel dans le RGPD, mais qui a une grande importance dans cette matière, c’est le délégué à la protection des données, le Data Protection Officer, le DPO, dont le statut est réglementé à l’article 37. C’est vrai que le délégué à la protection des données on en entend beaucoup parler puisque c’est vraiment l’une des nouveautés du RGPD. Avant, en France, on avait les correspondants informatique et libertés, mais là, le RGPD confie au délégué à la protection des données un véritable statut avec des missions très importantes. Généralement on désigne un délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir ces missions. Le délégué à la protection des données peut être soit un membre du personnel du responsable du traitement ou du sous-traitant – donc il est rattaché soit au responsable du traitement ou du sous-traitant – et, généralement, il peut aussi exercer ses missions sur la base d’un contrat de service. Donc on peut tout à fait faire appel à une société, un cabinet d’avocats par exemple, pour exercer les missions d’un délégué à la protection des données. Le délégué à la protection des données doit être déclaré auprès de la CNIL.

Ce sont toujours un peu les mêmes acteurs qui reviennent. Sur ces acteurs-là généralement on trouve beaucoup d’éléments de définitions, d’explications, sur le site de la CNIL pour bien comprendre, en fait, quel est un peu le rôle de chacun. Il est important de ne pas se tromper et de savoir que lorsqu’on agit de telle façon sur des données à caractère personnel on est responsable du traitement ou nous sommes sous-traitants et de bien veiller à ce qu’on a désigné un délégué à la protection des données lorsque c’est nécessaire parce que, encore une fois il y trois conditions pour qu’un délégué à la protection des données soit désigné :

  • soit on se trouve dans le cadre d’un traitement qui est opéré par une autorité publique ;
  • soit les activités du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui sont, de par leur nature, de leur portée, de leur finalité, elles vont exiger un suivi régulier, systématique, à grande échelle des personnes concernées, donc ça justifie qu’on ait quelqu’un de compétent qui s’occupe de ce sujet-là ;
  • ou alors, troisième condition, les activités du responsable du traitement ou du sous-traitant vont consister en des traitements à grande échelle de catégories particulières de données, donc ce sont vraiment ou des données d’infraction ou des données sensibles.

Ce sont ces trois conditions qui imposent la désignation d’un délégué à la protection des données. Évidemment c’est facultatif dans les autres cas mais rien oblige une société qui ne répondrait pas à ces critères de désigner un délégué à la protection des données.

Il existe enfin une troisième catégorie de définitions qui vont concerner, en fait, toutes les conditions du traitement. On va avoir, par exemple, une définition du consentement de la personne concernée, on va avoir des définitions sur le profilage, sur la pseudonymisation, qui sont vraiment très précisément définies dans le RGPD.
On a également une définition de la violation de données à caractère personnel. Là c’est une violation de sécurité qui entraîne de manière accidentelle ou illicite une destruction, une perte, une altération, une divulgation non autorisée de données à caractère personnel.
Et enfin on a la définition, c’est une définition on va dire indirecte, en tout cas c’est le RGPD qui instaure cette nouvelle notion de la tenue d’un registre par le responsable du traitement ou le sous-traitant. Ces personnes ont, dans certains cas, l’obligation de tenir un registre. Il existe un modèle qui est disponible sur le site de la CNIL. Dans ce registre on intègre un certain nombre d’informations, notamment des informations sur le responsable du traitement ou le sous-traitant, sur la finalité du traitement, la description des catégories de personnes, tout ce qui va concerner, en fait, le traitement en lui-même et les données des personnes qui sont visées par ce traitement. Le registre n’est obligatoire que pour les sociétés de plus de 250 employés sauf si, dans les sociétés de moins de 250 employés, le traitement qui est opéré est susceptible de comporter un risque pour les droits des personnes concernées, s’il n’est pas occasionnel ou s’il porte sur des catégories particulières, comme on l’a vu, donc des condamnations, des données sensibles.

Ce sont un peu les grandes notions qui sont définies dans le RGPD. Aujourd’hui, la protection des données est une matière à part entière qu’il ne faut pas délaisser et qu’il est important de maîtriser.

Frédéric Couchet : Merci Noémie. On va repréciser, contrairement à ce que beaucoup de gens pensent, que ce RGPD s’applique à tout le monde en fait, et pas simplement aux grandes entreprises, contrairement à ce qu’on pense, le responsable du traitement ça peut être une entreprise, une association, une collectivité. Donc n’hésitez pas à vous renseigner sur le site de la CNIL. Il y a aussi des transcriptions qui ont été faites récemment de conférences dans lesquelles on abordait le RGPD, donc sur april.org. Et si vous avez besoin, comme on a dit, vous pouvez vous rapprocher de professionnels et, je vais faire un peu de pub, notamment évidemment du cabinet Dune, dune.fr., où Noémie Bergez est notamment spécialiste du RGPD.
Merci Noémie. Bonne journée.

Noémie Bergez : Merci Fred.

Frédéric Couchet : Et je te souhaite aussi un bel été parce qu’on ne se retrouvera qu’à la rentrée.

Noémie Bergez : Également.

[Virgule musicale]

Frédéric Couchet : Nous allons faire une petite pause musicale. Nous allons écouter A Foolish Game par Snowflake.

Pause musicale : A Foolish Game par Snowflake.

18’02

Frédéric Couchet : Nous venons d’écouter A Foolish Game

Récupérée de « http://wiki.april.org/index.php?title=Libre_à_vous_!_Radio_Cause_Commune_-_Transcription_de_l%27émission_du_2_juillet_2019&oldid=85148 »