Titre : Nos données personnelles sont-elles vraiment protégées avec le RGPD ?
Intervenants : Camille Gruhier - Maître François Coupez - Benoît Piédallu - Sophie Nouaille
Lieu : Radio Notre Dame - Émission En Quête de Sens
Date : juin 2018
Durée : 53 min
Écouter l'émission
Licence de la transcription : Verbatim
Illustration : Data-Code-Digital-Binary - Civil Liberties Union for Europe (Liberties) Licence Creative Commons Attribution - Non-commercial.
NB : transcription réalisée par nos soins.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.
Description
Depuis le 25 mai dernier, le règlement européen pour la protection des données personnelles est entré en application! Il se nomme le RGDP et était dans les cartons depuis près de 6 ans! Qu’implique t-il pour les consommateurs et pour les organismes devant le mettre en application ? Ce nouveau règlement est censé procurer aux citoyens européens une protection maximale de leurs données. Mais qu’est ce qu’une donnée personnelle? A quoi s’engage t-on quand on accepte les conditions de traitement de nos informations? Quelle marge de manœuvre et de liberté pour le citoyen ?
Transcription
Voix off : Radio Notre Dame – La vie prend un sens – Enquête de sens – Sophie Nouaille
Sophie Nouaille : Mais qu’est-ce donc que le RGPD qui régule la protection des données personnelles depuis le 25 mai dernier en Europe ? Qu’implique-t-il pour les consommateurs et pour les organismes qui vont devoir le mettre en application ? Ce nouveau règlement est censé procurer aux citoyens européens une protection maximale de leurs données, mais qu’est-ce qu’une donnée personnelle ? À quoi s’engage-t-on quand on accepte les conditions de traitement de nos informations ? Quelle marge de manœuvre et de liberté pour les citoyens ? Explications avec mes invités aujourd’hui dans Enquête de sens. J’ai le plaisir d’accueillir Camille Gruhier. Bonjour Camille Gruhier.
Camille Gruhier : Bonjour.
Sophie Nouaille : Vous êtes journaliste à la rédaction d’UFC-Que Choisir et vous vous êtes penchée, évidemment, sur le sujet.
Camille Gruhier : Oui, il y a beaucoup de choses à dire.
Sophie Nouaille : Beaucoup de choses à dire.
Camille Gruhier : Et puis il faut, évidemment, informer les consommateurs qui ne sont pas toujours au courant de ce qu’est ce nouveau règlement.
Sophie Nouaille : Voilà ! C’est bien pour ça qu’on vous a invitée aujourd’hui. J’ai le plaisir d’accueillir également maître François Coupez. Bonjour Maître.
Maître François Coupez : Bonjour.
Sophie Nouaille : Vous êtes avocat à la cour, associé du cabinet d’avocats ATIPIC, titulaire du certificat de spécialisation en droit des nouvelles technologies, de l’informatique et de la communication. Donc vous êtes déjà un grand spécialiste, un bon spécialiste de toute cette juridiction, en tout cas, qui concerne nos données personnelles.
Maître François Coupez : Voilà ! Disons que, pour simplifier, ça fait à peu près 20 ans que je travaille sur ces thématiques.
Sophie Nouaille : Et puis, pour terminer, Benoît Piédallu. Bienvenue.
Benoît Piédallu : Bonjour.
Sophie Nouaille : Vous représentez La Quadrature du Net qui est une association de défense des droits et libertés des citoyens sur Internet, fondée en 2008. La Quadrature du Net intervient dans les débats concernant la liberté d’expression, les droits d’auteur, la régulation du secteur des télécommunications ou encore le respect de la vie privée sur Internet. La Quadrature du Net a été instigatrice, aussi, pour cette mise en place du RGPD.
Benoît Piédallu : Oui. On a participé à l’écriture du texte, puisque depuis 2013 on a travaillé avec tout un tas d’associations européennes pour pousser un certain nombre de points du RGPD, par exemple le consentement explicite c’est quelque chose qu’on avait poussé depuis 2013 et qui est apparu dans le texte final, donc on est plutôt contents de la mouture finale du texte.
Sophie Nouaille : Camille Gruhier, on le disait tout à l’heure, ce n’est pas facile de s’y retrouver et le consommateur reçoit, depuis quelques semaines, depuis le 25 mai dernier d’ailleurs, un tas de mails, de notifications en tous genres disant je dois accepter, je dois donner mon consentement pour le traitement des données, alors quel qu'il soit d’ailleurs : on est inscrit à une newsletter, on va recevoir quelque chose ; on fait partie d’un fichier d’une agence de presse par exemple, on va recevoir des demandes, justement, pour, j’allais dire, donner notre consentement, en tout cas accepter des nouvelles conditions.
Camille Gruhier : Oui, c’est ça. C’est-à-dire que tous les services qu’on utilise au quotidien, tous les sites internet, tous les services numériques qu’on utilise ont dû, en tout cas ont tous mis à jour leurs conditions générales d’utilisation et donc, pour continuer à utiliser ce service il faut revalider ses conditions générales d’utilisation, comme on l’a fait la première fois qu’on s’est inscrit ou la première fois qu’on a renseigné son e-mail pour recevoir une newsletter ou autre. Donc effectivement, on a pléthore de mails qui nous inondent. On les valide, évidemment, comme toujours, sans faire attention.
Sophie Nouaille : C’est systématiquement, sans lire tout ce qui nous est proposé.
Camille Gruhier : D’ailleurs s’il faut les valider, parce que parfois c’est une simple information « nous mettons à jour nos conditions générales », on les accepte et puis voilà, sans vraiment savoir ce qui a changé dans le texte parce que toutes ces questions de données personnelles, de protection des données personnelles sont, il faut bien l’admettre, très floues pour le grand public. On ne sait pas d’abord à quoi ça sert, pourquoi on collecte nos données. On a peu conscience, les consommateurs ont peu conscience que, finalement, ces données sont un terreau très fertile de business pour des entreprises qui ont tout intérêt à les collecter, ce qui crée d’ailleurs une espèce d’asymétrie entre, je dirais, le potentiel de business pour les entreprises et la méconnaissance du sujet des consommateurs qui est assez dommageable pour l’information en général.
Sophie Nouaille : Je me tourne vers maître François Coupez. Déjà on parle de données personnelles. Mais est-ce qu’on sait ce qu’est une donnée personnelle ? Est-ce que si, simplement, je vais remplir un formulaire sur Internet, je vais mettre mon prénom, mon nom, mon adresse mail, est-ce que ça constitue déjà une donnée personnelle ?
Maître François Coupez : Oui. On sait ce qu’est une donnée à caractère personnel parce qu’on avait une définition déjà dans la loi, en France, la loi du 6 janvier 1978, de ce qu’on appelait à l’époque les données ; de façon générale on parlait de données nominatives : on était très lié au nom. Puis on a évolué, on est passé aux données à caractère personnel avec les évolutions du texte. Maintenant on a le RGPD qui nous parle et là on est vraiment dans les données à caractère personnel, données personnelles. Données à caractère personnel, données personnelles, c’est grosso la même chose.
Sophie Nouaille : Mais qu’est-ce que c’est ? J’imagine qu’on est très peu à être allés regarder cette loi de 1978. On ne la connaît même pas !
Maître François Coupez : Cette définition, en fait, nous permet de déterminer que les données à caractère personnel, les données personnelles, sont toutes données qui sont liées à une personne et qui permettent directement ou indirectement son identification. Et le « ou indirectement » est très important parce que ça veut dire que même si celui qui traite la donnée n’est pas en mesure de faire le lien avec la personne mais qu’un tiers peut faire le lien, à ce moment-là on a une donnée à caractère personnel. Je prends un exemple : on sort dans la rue, dehors, on note toutes les plaques minéralogiques des voitures qui sont dans la rue ; on est en incapacité, nous qui notons ces numéros, de savoir qui est derrière. Pourtant, au niveau de l’État, quelqu’un est en mesure de faire le lien entre la plaque minéralogique et l’identité ; donc nous faisons un traitement de données à caractère personnel. Ce qui fait que les données à caractère sont extrêmement larges ; ça peut être une adresse IP dans un grand nombre cas.
Sophie Nouaille : Adresse IP, c’est l’ordinateur ?
Maître François Coupez : Voilà. Une adresse qui permet l’identification d’une carte en réseau d’un ordinateur, pour faire simple, sur Internet. Ça peut être un élément d’identification matériel propre à un élément qui nous a été remis, comme une tablette ou autre, qui permet une identification relativement fiable ; ça peut être un nom, prénom, un adresse e-mail, un pseudonyme ; ça peut être une photographie ; c’est extrêmement large !
Sophie Nouaille : C’est très large !
Maître François Coupez : Du moment que ça permet directement ou indirectement l’identification de la personne.
Sophie Nouaille : Benoit Piédallu, est-ce qu'on se méfiait il y a quelques années du traitement de nos données personnelles ? Parce qu’on a l’impression qu’aujourd’hui on parle de big brothers, on parle des GAFA qui utilisent nos données, on parle des entreprises qui s’échangent des fichiers, etc., à des fins de business comme le disait Camille Gruhier. On se soucie du traitement de nos données ?
Benoit Piédallu : Nous, on s’en souciait depuis très longtemps. Les associations de défense des droits sur Internet quelles qu’elles soient, La Quadrature du Net en est une parmi d’autres, se souciaient beaucoup de ces questions-là, informaient autour d’elles tant qu’elles pouvaient du risque que causait de l’accumulation de données sur les gens ; c’est quand même un droit fondamental de ne pas avoir, comme ça, des données qui sont des informations sur soi-même qui sont traitées par les autres. Donc c’était quelque chose dont on se souciait énormément et c’est pour ça qu’en 2013 on s’est fortement lancés dans la bataille avec les énormes lobbyings que constituaient Facebook, Google et les autres, ce qu’on appelle les GAFAM, pour l’écriture du RGPD puisque c’était à ce moment-là qu’était rédigé le texte et nous on considérait qu’il était très important que le traitement des données se fasse de manière loyale vis-à-vis des citoyens européens. Et c’est pour ça qu’on considère, aujourd’hui, que c’est une bataille qui a quand même été vraiment gagnée parce que le texte a été écrit plutôt, modulo un certain nombre de petits bémols, pour aller dans le sens du respect des données personnelles du citoyen.
Sophie Nouaille : De façon collaborative, du côté citoyen. Camille Gruhier, on est bien lotis en France déjà dans la préparation, justement, de cette protection des données personnelles. On est quand même bien placés ?
Camille Gruhier : On est plutôt pas trop mal placés. En France, on est plutôt pas trop mal placés par rapport au reste de l’Europe sachant qu’il y a d’autres pays leaders, notamment l’Allemagne, sur ce genre de question et on est surtout très bien placés par rapport au reste du monde. Si on considère l’Europe comme un des trois grands blocs au niveau mondial qui se soucient de la donnée personnelle ; on a le bloc américain, le bloc asiatique tiré par la Chine qui, pendant très longtemps, n’en a pas eu grand-chose à faire des données personnelles des gens, sur un modèle très autoritaire et un petit peu dans la lignée de son passé communiste ; et puis on a l’Europe qui donc a une réglementation aujourd’hui forte, européenne, et qui va être d’ailleurs observée par le reste du monde parce que sans doute on peut imaginer qu’on sera imités si ça fonctionne ! Donc on verra, l’avenir le dira ! En tout cas ce qui est sûr, c’est que le monde entier nous regarde sur ce règlement européen, RGPD signifiant au passage Règlement général pour la protection des données. Je le dis une fois.
Sophie Nouaille : C’est vrai. Il faut le redire.
Camille Gruhier : On a tendance à le dire vite et on le résume souvent comme ça : le RGPD, ce n’est pas très joli comme acronyme.
Sophie Nouaille : Règlement général pour la protection des données.
Benoit Piédallu : Et puis ça a un vrai impact sur des sociétés qui sont internationales. C’est-à-dire que Google ou Facebook est obligé d’appliquer le RGPD en Europe ; en fait ils ont des systèmes qui sont internationalisés et la grande question aujourd’hui c’est est-ce qu’ils vont appliquer le système de protection des données sur l’ensemble de leurs utilisateurs, ou est-ce qu’ils vont se mettre à faire deux systèmes différents qui vont travailler en parallèle ?
Sophie Nouaille : Donc partitionner un peu !
Benoit Piédallu : Voilà ! Donc c’est aussi une opportunité aujourd’hui pour les citoyens de l’ensemble de la planète, pour ces grandes entreprises, éventuellement d’être protégés par le même système européen. Donc il y a un vrai débat en ce moment où Facebook s’est avancé en disant qu’ils allaient l’appliquer à tout le monde et puis ils ont dit non mais pas tout à fait. Donc il y a un vrai débat et un vrai enjeu en ce moment.
Sophie Nouaille : On a quand même une suspicion vis-à-vis de ces utilisations encore.
Camille Gruhier : Surtout que ces groupes américains, d’abord, n’ont aucun intérêt à limiter la collecte des données puisque c’est vraiment comme ça qu’ils arrivent à vendre de la publicité ciblée ; donc si vous voulez, c’est un peu se tirer une balle dans le pied : quand on regarde le règlement depuis leur fenêtre à eux, ils n’ont vraiment aucun intérêt à le faire. Donc derrière il faut se méfier surtout de la méthode avec laquelle ils vont le faire puisque, sous couvert d’une transparence absolue et d’une mise en conformité…
Sophie Nouaille : D’une bonne volonté affichée.
Camille Gruhier : D’une bonne volonté farouche de se mettre vraiment en conformité avec la réglementation européenne, qu’ils respectent au plus haut point, bien sûr, évidemment derrière tout ça il faut se méfier, comme toujours, et puis lire les petits lignes grisées et non pas cliquer par défaut sur les gros boutons bleus qui s’affichent ; plutôt se méfier et être, par défaut, plutôt méfiants vis-vis des GAFAM en particulier.
Sophie Nouaille : Maître François Coupez.
Maître François Coupez : Je pense qu’il y a un point sur lequel il est important de revenir pour les auditeurs, c’est que là on parle de l’application internationale, grosso modo, du texte, et on se dit les GAFAM vont être obligés de le respecter. Nous ça fait très longtemps qu’on conseille les entreprises sur la protection des données, etc., et il faut voir que le RGPD c’est quand même un changement de paradigme parce qu’il prévoit un certain nombre de choses — et je pense qu’on pourra y revenir — sur le contrôle mutuel des prestataires, des sous-traitants, etc., mais il prévoit un élément qui a été moteur, malheureusement, quand on en vient là j’en suis toujours désolé, mais c’est qu’il prévoit des sanctions extrêmement fortes qui vont jusqu’à 4 % du chiffre d’affaires annuel du groupe, et pas de l’entité au sein du groupe qui n’a pas respecté le texte. Déjà quand on a ce montant-là ! C’était Audiard, je crois, qui disait que quand on parle pognon, à partir d’un certain montant tout le monde écoute. Là c’est exactement ça qui fait qu’un certain nombre de personnes, les comités exécutifs par exemple au sein des entreprises, se sont posé la question.
Après, pour l’application aux GAFAM, il faut savoir que ce texte a été prévu pour s’appliquer de façon extrêmement large, non pas seulement aux opérateurs européens, ça n’aurait pas beaucoup de sens, parce qu’ils étaient déjà tenus par un certain nombre de textes, mais pour s’appliquer à tous les acteurs mondiaux à partir du moment où les données, notamment c’est un des critères, à partir du moment où les données qui sont traitées sont les données des Européens sur le sol européen.
Sophie Nouaille : Sur le sol européen.
Maître François Coupez : Qui sont en Europe, grosso modo. Après il y a la question du suivi des populations, etc. Mais déjà ce critère-là « je propose des services à des Européens », à ce moment-là le texte s’applique. Donc que je sois Brésilien, Chinois, Tchétchène, Américain, etc.
Sophie Nouaille : Même si le site internet est basé ou a son siège aux États-Unis ou en Chine.
Maître François Coupez : Quel que soit l’endroit, à partir du moment où je m’adresse à des Européens, le texte s’applique. Et, allons plus loin, le texte prévoit également que les sous-traitants du responsable de traitement, c’est-à-dire celui qui organise le traitement, la collecte, etc., doivent être conformes au texte. Ce qui veut dire que les sous-traitants américains, ou d’un autre pays, d’une entité américaine qui propose des services en France, doivent également, en tant que sous-traitants, être conformes. Donc on a un effet boule de neige qui conduit, évidemment, à ce que tout le monde s’interroge sur ce texte et on a un effet qui commence à être tangible, puisque là on a une information qui est sortie hier soir, une indiscrétion venue de la Maison-Blanche, qui indique que, au niveau des États-Unis donc, l’exécutif américain serait en train de réfléchir à un texte fédéral sur la protection des données, pas calqué sur le modèle du RGPD parce que je pense que ça sera vraiment très difficile un changement de mentalité de leur côté, mais au moins pour essayer de voir comment se mettre en conformité ou comment challenger le texte européen.
Sophie Nouaille : On va poursuivre cette discussion. Est-ce que vous savez ce que sont vos données personnelles ? Est-ce que vous savez comment elles sont protégées ? Est-ce que vous vous sentez rassurés depuis la mise en application de ce règlement européen qu’on appelle le RGPG ? On se retrouve juste après ça.
Voix off : Enquête de sens
[Informations concernant Radio Notre Dame]
Voix off : Enquête de sens, Sophie Nouaille
Sophie Nouaille : On parle de la protection de nos données personnelles aujourd’hui avec la mise en application de ce règlement européen depuis le 25 mai dernier, le règlement européen pour la protection des données personnelles. Nos données personnelles, on en a parlé tout à l’heure avec maître François Coupez qui est avocat, qui s’est spécialisé en droit des nouvelles technologies, de l’informatique et de la communication ; Camille Gruhier est journaliste à la rédaction UFC-Que Choisir et Benoît Piédallu de La Quadrature du Net. Benoît Piédallu on a l’impression que maintenant tout est rentré dans l’ordre finalement et que, grâce à ce règlement européen, eh bien on va pouvoir savoir ce qu’on fait de nos données personnelles ; ça veut dire qu’on va pouvoir tracer l’utilisation ? Est-ce que c’est vrai ?
Benoît Piédallu : Déjà non, les choses ne sont pas rentrées dans l’ordre. Tout un tas d’entreprises jouent pour l’instant, jouent la montre, jouent avec le contenu du texte et aujourd’hui La Quadrature a attaqué devant la CNIL, portée par 12 000 mandats, 12 000 utilisateurs de services qui ont mandaté La Quadrature pour porter un certain nombre de questions face à la CNIL.
Sophie Nouaille : Par exemple ?
Benoît Piédallu : Par exemple on a Google ; on a porté pour Google, Apple, Amazon et d’autres qui, en fait, utilisent nos données personnelles sans un accord, sans un véritable consentement explicite.
Sophie Nouaille : Explicite ?
Benoît Piédallu : C’est-à-dire que ce sont des boutons qui ont été pré-cochés ; c’est un usage du site internet qui s’autorise à dire que si on utilise le site internet on accepte donc les conditions générales d’utilisation.
Sophie Nouaille : Donc on est piégé quelque part ?
Benoît Piédallu : En fait, ça va à l’encontre du texte. C’est assez clair ; le texte demande à ce que notre consentement soit explicite, éclairé, libre, ce qui va dans le sens d’une question posée très simple qui est « acceptez-vous que nous utilisions vos données ? Oui ? Non ? » Et après cette question-là, on peut utiliser le site internet ou le service quel qu’il soit sans aucune limitation. Et ça, aujourd’hui, sur les services que nous avons visés, on a encore tout un tas de conditions qui ne sont pas respectées vis-à-vis du RGPD sur ces questions-là.
Sophie Nouaille : Je me tourne vers le juriste. Maître François Coupez, sur ce consentement explicite. Alors consentement on comprend, explicite on comprend qu’il faut répondre oui ou non, mais on répond oui ou non à quoi ?
Maître François Coupez : Déjà, un point qui me semble important, c’est que pour traiter les données il faut avoir ce qu’on appelle un fondement légal. C’est-à-dire quelque chose qui encadre le traitement des données, qui explique pourquoi on les traite. Il y a six fondements légaux ; notamment il y a en a un c’est pour l’application, grosso modo, des textes réglementaires qui imposent de faire un traitement.
L’autre, un autre en tout cas un autre, c’est l’application du contrat. On veut conclure un contrat, dans le cas typiquement d’une banque, vous ouvrez un compte, eh bien les données vont être traitées pour qu’on vous émette des chéquiers, tout simplement. Donc le traitement est normal dans le cadre de ce contrat-là pour émettre les moyens de paiement qui sont liés.
Un autre fondement, c’est le consentement. Donc le consentement n’est pas le fondement ultime, n’est pas l’élément absolument obligatoire dans tous les cas ; c’est un des fondements.
Il y a un groupe européen qui rassemble l’équivalent des CNIL dans les autres pays européens, qui s’appelle le Comité européen à la protection des données, qui a émis avant le RGPD – il y avait un autre nom, je ne vais rentrer dans les détails – il a émis un certain nombre de lignes directrices sur le sujet ; il a notamment clairement indiqué, ce qui était indiqué également dans le texte, mais il a clairement réaffirmé que quand on traite les données en vertu d’un contrat, on ne peut les traiter, les données, que si elles sont absolument nécessaires dans le cadre du contrat. Si on sort de ce cadre du contrat, à ce moment-là, eh bien on regarde le fondement, notamment le consentement. Typiquement, dans l’application Google ou d’autres, quand on utilise par exemple un réseau social, sans citer de nom, quand on utilise un réseau social extrêmement connu, il est normal qu’il traite, en application du contrat, un certain nombre de données.
Sophie Nouaille : Ça fait partie de son activité.
Maître François Coupez : Ça fait partie de l’activité et de ce qu’on demande. Par contre, qu’il utilise ces données pour nous envoyer de la publicité ou pour vendre de la publicité, ça ce n’est pas nécessaire à l’application du contrat. Donc cette partie-là nécessite un fondement autre et, en l’occurrence, le fondement c’est le consentement.
Sophie Nouaille : Donc un consentement spécifique.
Maître François Coupez : Spécifique, libre, informé, et on doit véritablement dire « oui je veux bien être contacté pour de la publicité ou autre ». Là en l’occurrence, ce qui est mis en avant c’est que, quand on utilise le réseau social, on nous force à consentir à une exploitation autre, différente de celle du réseau social.
Sophie Nouaille : Mais ça, on l’avait déjà un petit peu, Camille Gruhier. Quand on commande quelque chose sur Internet ou on va acheter un truc sur une boutique en ligne, on nous demande de cocher « est-ce que vous voulez, est-ce que vous acceptez qu’on transmette vos données à des partenaires commerciaux ? Par exemple est-ce que vous acceptez de recevoir des offres de tel ou tel partenaire ? »
Camille Gruhier : Oui, ça existe depuis longtemps, mais surtout, le problème c’est que c’était pré-coché par défaut ce qui était déjà illégal auparavant, avant ce règlement européen ; ce qui est une mesure évidemment abusive et évidemment qui est fournie par les petites lignes et la plupart des consommateurs laissent cette case cochée, comme par exemple le fait de retenir les données de sa carte bancaire pour faciliter les achats, et puis la réception de newsletters et pire, la cession des données à des partenaires. Ce qui veut dire que là, clairement, on autorise le site internet à vendre la base de données. Donc on est purement un item dans une base de données qui permet au site internet de gagner de l’argent ; donc on devient une marchandise quelque part, nos données deviennent une marchandise et, du coup, effectivement c’est problématique.
Ces sites-là étaient déjà hors là-loi avant l’entrée en vigueur du règlement européen. On ose espérer qu’ils vont rectifier les choses, même si on est quand même très sceptiques sur la question. En tout cas, ce règlement européen sans doute va-t-il contraindre théoriquement. Mais en tout cas, dans la pratique, sans doute les entreprises vont-elles se mettre en conformité et donc décocher ces petites cases par défaut. Tout simplement parce que s'ils regardent chez le voisin, si leurs petits confrères et leurs concurrents le font, ils auront tout intérêt à le faire aussi dans un souci de transparence. Parce que s'ils continuent à…
Sophie Nouaille : Ils seront en infraction eux-mêmes.
Camille Gruhier : Ils seront en infraction et puis surtout, quand ils vont comprendre que les gens préfèrent aller sur des sites internet où tout est clairement expliqué ! Ils finiront par aller sur des sites internet où on a l’impression qu’on ne se fiche pas de nous.
Sophie Nouaille : Benoît Piédallu, est-ce qu’on peut vraiment être sûr de la trajectoire de nos données ? Je m’inscris quelque part, je vais acheter quelque chose en ligne, une vente par correspondance ; j’ai téléchargé une application sur mon smartphone et, effectivement j’ai rentré le numéro de ma carte bancaire, etc., est-ce qu’on va être garanti qu’elles ne vont pas aller plus loin ces données ?
Benoît Piédallu : Par défaut non ; techniquement on ne peut pas garantir que les données ne vont pas être transmise à des tiers. On peut uniquement faire confiance à la réglementation et à l’application de la réglementation. C’est pour ça qu’aujourd’hui il faut être très ferme, maintenant que le RGPD est entré en application, il faut être très ferme sur l’application du contenu de ce texte pour être sûr que les entreprises ne vont pas à l’avenir continuer à avoir les mêmes comportements qu’elles avaient ces dernières années.
Sophie Nouaille : Mais théoriquement on est dans une bonne solution ? En tout cas on a quelque chose qui est pour la protection du citoyen ?
Benoît Piédallu : Tout à fait. Je reviens sur un point quand même qui est qu’il n’y a pas que le consentement explicite ou le contrat qui permettent de faire de l’usage de données, il y a aussi le troisième…
Sophie Nouaille : Un des fondements ? Maître François Coupez, on a dit il y a le consentement !
Maître François Coupez : Il y en a six, donc je ne sais pas lequel vous voulez voir exactement.
Benoît Piédallu : L’intérêt légitime.
Maître François Coupez : L’intérêt légitime.OK !
Sophie Nouaille : Qu’est-ce qu’on entend par intérêt légitime ?
Benoît Piédallu : C’est une des failles du RGPD qui nous pose aujourd’hui un souci. L’intérêt légitime c’est un fournisseur de service qui va vous dire « oui mais moi pour fournir mon service, j’ai un intérêt légitime à traiter vos données d’une manière ou d’une autre ». Et aujourd’hui, on a des sites de presse qui disent : « Pour l’intérêt légitime de la fourniture d’un service de presse, d’une presse libre et fonctionnelle, eh bien je dois traiter vos données, je dois les vendre, je dois mettre des trackers dans nos pages et c’est mon intérêt légitime de pouvoir continuer à vivre ». Donc nous, on fait très attention à cette question-là qui est une véritable faille qu’on avait vue à la construction du texte, qui a été laissée et qui est aujourd’hui un véritable problème.
Sophie Nouaille : Ça veut dire que là on peut mettre en danger la liberté, la neutralité sur Internet.
Benoît Piédallu : C’est-à-dire que certains pourraient se permettre de dire « j’ai un intérêt légitime à traiter les données de la même manière que je le faisais avant. »
Sophie Nouaille : Mais si je partage avec ce service mes intérêts, les voyages, je ne sais pas, le sport, etc., effectivement j’ai envie peut-être de recevoir des infos concernant ces centres d’intérêt.
Benoît Piédallu : Oui, mais à ce moment-là vous le dites clairement et c’est là où il va falloir vous demander explicitement votre avis là-dessus.
Sophie Nouaille : Cet intérêt légitime, Maître François Coupez.
Maître François Coupez : Mon point de vue de ce côté-là c’est que l’intérêt légitime a des vrais intérêts, pour le coup, et que c’est une notion intéressante.
Par exemple sur l’aspect sécurité : quand vous avez un pirate qui essaie de vous pirater votre site de commerce électronique, que vous collectez les adresses IP des personnes, donc les adresses qui permettent d’identifier les ordinateurs qui vous attaquent, vous n’allez pas prévenir auparavant ou même à posteriori, en disant « vous avez un droit à effacement de vos données, etc ». On est dans le cadre d’un intérêt légitime du responsable du traitement qui se protège contre une attaque. Donc il peut y avoir des cas où cet intérêt légitime, à mon sens, est parfaitement justifié.
L’interprétation du fameux Comité européen que je mentionnais, dans ses lignes directrices, c’est que l’intérêt légitime ça doit être une des solutions en dernier recours. C’est vraiment avec une interprétation extrêmement stricte et le régulateur, la CNIL donc, aura une interprétation extrêmement stricte là-dessus. Et juste un point pour finir là-dessus : on parle beaucoup d’entreprises qui ne respectent pas les règles, je tiens quand même à signaler qu’on accompagne un certain nombre d’entreprises.
Sophie Nouaille : On n’est pas au bout de l’émission, maître François Coupez. Là on parlait des grands dossiers, des grandes boîtes.
Maître François Coupez : C’est quand même important puisque là vraiment on assiste beaucoup, nous on assiste des très grandes entreprises ; on assiste, je ne vais pas citer de noms mais au niveau bancaire, au niveau des transports, etc., il y a beaucoup d’entreprises qui ont pris le sujet à bras le corps depuis des années et qui sont parfaitement respectueuses des règles. De temps en temps il peut y avoir un manquement, une information, etc., qui peut manquer, mais on est très loin de certaines entreprises internationales dont on a pu parler au début qui, clairement, se mettent en dehors des règles et de la vision européenne de la gestion des données à caractère personnel.
Sophie Nouaille : Camille Gruhier.
Camille Gruhier : Effectivement. En fait je voulais juste préciser un petit peu les choses, c’est que depuis le début de l’émission on parle beaucoup de tous les effets négatifs, de la fraude et de tous ces aspects desquels il faut se méfier, j’imagine qu’on va en parler par la suite, mais il y a aussi des avancées quand même intéressantes pour le consommateur, des mesures qui sont très protectrices au quotidien.
Sophie Nouaille : J’allais en parler justement de la protection.
Camille Gruhier : Il y a quand même des volets très positifs à ce règlement. Évidemment, autour de la table, on est tous dans les petites lignes, on fait tous très attention ; c’est notre métier au quotidien donc on a tendance à voir un petit peu ces aspects-là. Si on revient au début des choses, je dirais aux intérêts et aux avantages de ce règlement européen, c’est quand même qu’il introduit ou qu’il entérine des mesures qui étaient déjà dans la loi ou pratiquement applicables puisqu'elles faisaient partie de la jurisprudence européenne, etc. J’en cite juste quelques-unes comme ça : quand on va vouloir changer de service ou va pouvoir télécharger en un clic ses données. Effectivement, sur la mise en application de tout ça, il faudra voir comment ça se passe, mais dans la théorie, on va quand même pouvoir partir avec ses données quand on quitte un service.
Sophie Nouaille : De façon plus simple ?
Camille Gruhier : Dans un fichier lisible par tous les ordinateurs, on va dire ; pas dans un format propriétaire illisible, en théorie, donc on peut imaginer de l’Excel, on peut imaginer des fichiers que tout le monde peut ouvrir. Il faut quand même préciser aussi que, en cas de fuite de données dont parlait maître Coupez tout à l’heure, les consommateurs devront être informés tout de suite, donc par le service lui-même.
Sophie Nouaille : Vous demander l’autorisation ?
Camille Gruhier : Non ; ça veut dire « attention, j’ai été victime d’une fraude, vos données sont en danger, changez vite votre mot de passe et ne vous inquiétez pas, on fait tout pour essayer de régler le problème ». En tout cas, il y a une information qui va être plus claire pour le consommateur. Voilà ! Il y a quand même des mesures qui sont assez protectrices et qui vont dans le sens d’une plus grande transparence de la protection des données.
Sophie Nouaille : Donc beaucoup plus de réactivité de la part de ces organismes si on leur demande quelque chose de précis sur nos droits et l’utilisation de ces données ?
Camille Gruhier : Aussi effectivement. On pourra demander à effacer tout de suite toutes ses données, normalement en un clic, comme le faisait déjà la loi CNIL, cette loi CNIL dont on parlait tout à l’heure qui est la loi de 1978 et dont le règlement européen prend la suite en quelque sorte. Elle existe. On la connaît tous parce qu’en fait, sur tous les services qu’on utilise, quelque part en petit c’est écrit : « Vous détenez un pouvoir de modification et de rectification de vos données en vertu de la loi CNIL de 1978. »
Sophie Nouaille : Mais on ne sait pas trop comment faire.
Camille Gruhier : Oui, pas vraiment.
Sophie Nouaille : On se dit mais oh là, là, ça va être long, fastidieux.
Benoît Piédallu : Il y a toujours une adresse ; il faut écrire donc c’est compliqué et en effet peu de gens le font vraiment.
Sophie Nouaille : Quand l’adresse ne cache pas une page erreur derrière !
Camille Gruhier : Absolument !
Sophie Nouaille : Ça peut arriver, souvent ! Benoît Piédallu, cette liberté aujourd’hui, cette neutralité, ce droit à l’oubli, ce droit d’accès amélioré c’est quand même, pour être positif, une chance pour le consommateur.
Benoît Piédallu : Tout à fait.
Sophie Nouaille : Le droit à l’oubli, on rappelle ce que c’est ?
Camille Gruhier : En fait, c’est la possibilité offerte au consommateur de demander au moteur de recherche qu’il efface un lien qui pointe vers un contenu qui le concerne. C’est un peu compliqué, je ne sais pas si c’est très clair dit comme ça. Je prends un exemple concret : on tape mon nom, « Camille Gruhier », dans Google ; on aboutit sur un lien, quand on clique dessus on aboutit à un article qui raconte qu’il y a 25 ans j’ai omis de déclarer une partie de mes revenus par exemple. Si j’estime que ça peut me porter préjudice aujourd’hui dans l’image : je ne souhaite que les gens en tapant mon nom dans Google sachent que j’ai omis de déclarer une partie de mes revenus il y a 25 ans – je n’en déclarais pas encore, mais bon ! – eh bien j’aurai le droit de demander à Google de déréférencer ce contenu. Ça ne veut pas dire que le contenu va disparaître.
Sophie Nouaille : Va disparaître, c’est ça !
Camille Gruhier : C’est ça la subtilité. Ça veut dire que le lien dans Google va disparaître ce qui, à mon avis…
Sophie Nouaille : Le lien a pu être utilisé par d’autres sites.
Camille Gruhier : Si c’est un article de presse, l’article n’aura pas à disparaître. En revanche le lien qui y mène, ce qui est quand même la porte d’entrée à 90 % des contenus sur Internet, c’est Google.
Sophie Nouaille : Mais l’information reste quelque part quand même.
Camille Gruhier : L’information restera, bien sûr, en ligne.
Sophie Nouaille : Maître François Coupez.
François Coupez : Sachant qu’on peut malgré tout agir directement contre la personne qui a l’information et que, dans le cadre par exemple d’un réseau social où on a créé une page, avec le RGPD on a la possibilité non seulement de reprendre toutes ses informations et d’aller voir un autre réseau social avec tout l’historique de ce qu’on avait à l’origine et ensuite de fermer complètement son compte dans le premier réseau social, en faisant en sorte qu’il ne retienne plus aucune information sur nous.
Sophie Nouaille : C’est ça, mais il faut le fermer.
François Coupez : On peut le laisser ouvert. On peut avoir la possibilité d’avoir deux réseaux sociaux en parallèle ; comme on est multi-bancarisé, on a deux comptes bancaires différents, c’est parfaitement possible d’utiliser les données et de les reprendre dans un autre service. Ça ne veut pas dire qu’on ferme forcément le premier service.
Le principe du RGPD, c’est le principe de qu’on appelle l’empowerment c’est-à-dire la prise de contrôle de l’individu sur ses données. Il doit être en capacité, on doit lui donner la capacité de prendre en compte ses choix : je veux aller sur un autre service, je veux que ça soit simple, je veux qu’on efface mes données, etc. Il y a des limitations forcément, ce ne sont pas des droits absolus à chaque fois, mais ces droits sont quand même assez larges et notamment, quand on est sur la base du contrat ou sur la base du consentement dont on parlait précédemment, on a des possibilités assez intéressantes pour l’utilisateur mais qui sont également des opportunités pour les entreprises. Il faut aussi avoir ça en tête. Parce que quand le RGPD nous dit « vous devez avoir une vision extrêmement claire et faire une cartographie des données. »
Sophie Nouaille : Faire une cartographie des données ?
François Coupez : Cartographie de toutes les données que vous traitez, c’est quand même la base pour assurer la sécurité. On focalise beaucoup sur le RGPD, mais il y a d’autres textes, européens ou français, qui imposent la sécurité des données – je ne vais pas parler des opérateurs d’importance vitale, des opérateurs de services essentiels, etc. –, mais grosso modo il y a vraiment une tendance extrêmement forte à l’heure actuelle pour imposer aux acteurs de mettre un niveau de sécurité minimum, pour les acteurs qui ne respecteraient pas ça, et c’est parfaitement en adéquation avec le RGPD parce que cette cartographie permet la réalité de la sécurité des systèmes d’information. Et d’un autre côté quand on cartographie, on sait aussi mieux exploiter ce que l’on a et on peut apporter des services qui sont véritablement répondants, qui répondent véritablement aux demandes des utilisateurs et des consommateurs, ce qui est un point également positif.
Camille Gruhier : C’est vrai que ce règlement européen donne l’occasion aux entreprises, qu’elle que soit leur taille, de faire un peu le ménage dans leurs bases de données.
Sophie Nouaille : De faire le ménage, effectivement.
Camille Gruhier : Elles sont forcées de faire le ménage dans leurs bases de données et donc de mieux cibler leurs prospects par exemple ; et dans les règles, ce qui peut être pas mal ! Et on espère que ça mettra fin aux traitements des données dans tous les sens, n’importe comment, avec des bases de données. Au final une entreprise, quelle que soit sa taille et je pense particulièrement aux PME qui ont tendance un peu à collecter n’importe quelles données, n’importe comment et qui, finalement, finissent par avoir des fichiers…
Sophie Nouaille : Dans différents services.
Camille Gruhier : N’importe où et qui ne sont pas forcément qualifiées ; des données qualifiées ce sont des données qui sont utiles et qui permettent, effectivement, de cibler des consommateurs potentiellement intéressés par tel ou tel produit. Le fait de faire le ménage dedans ça va leur permettre de mieux cibler leurs prospects avec des gens qui véritablement acceptent d’être contactés pour des propositions de nouveaux produits ou autres. Alors que ces entreprises, avec des bases de données qui sont complètement mal renseignées, elles vont finir par énerver les gens qui ne veulent pas recevoir de pub et donc c’est complètement contre-productif.
Sophie Nouaille : On poursuit cette discussion après avoir écouté Bernard Lavilliers.
Voix off : Radio Notre Dame.
Sophie Nouaille : Bernard Lavilliers Big Brother. On ne parle pas forcément de Big Brother aujourd’hui, mais c’est un petit peu ça quand même. Benoît Piédallu, on a l’impression qu’on va quand même être protégé, le citoyen va être protégé avec ce nouveau règlement européen pour la protection des données personnelles et, en même temps, on se dit plus de sécurité, mais plus de surveillance ? Où est la liberté dans tout ça ? Où est l’anonymat ?
Benoît Piédallu : L’anonymat c’est une très bonne question.
Sophie Nouaille : On a l’impression d’être tracés de partout quand même.
Benoît Piédallu : On peut s’arrêter sur cette question d’anonymat, justement, qui est un bon sujet. L’anonymat n’est pas traité par le RGPD, c’est-à-dire qu’à partir du moment où on est réellement anonyme, c’est-à-dire que c’est une base de données dans laquelle les informations sont anonymisées, donc séparées totalement de l’utilisateur, et des données avec lesquelles on ne pourra pas retrouver la trace de cette personne physique dont on parle depuis tout à l’heure, à ce moment-là les données ne sont pas soumises au RGPD. Donc on peut traiter des données anonymisées.
Ce qui se passe la plupart du temps, c’est qu’en fait on est dans le cas de pseudonymisation, c’est-à-dire que les gens, les données sont traitées avec un pseudonyme ; c’est-à-dire qu’on n’a pas forcément leur nom, leur prénom et leur adresse, mais ça reste des données à caractère personnel : comme on l’expliquait tout à l’heure, on peut retrouver ces données-là et ces données pseudonymisées sont soumises au RGPD puisque, quelque part, on peut retrouver la trace de la personne qui est derrière.
Sophie Nouaille : C’est complexe quand même.
Benoît Piédallu : C’est complexe mais c’est du traitement de données relativement classique aujourd’hui. On parlait tout à l’heure d’hygiène de traitement des données par les entreprises, si on veut limiter les problèmes par exemple dans la fuite d’une base de données par une entreprise, le minimum à faire c’est de séparer les données strictement personnelles – nom, prénom, adresse, numéro de téléphone – des données d’usage. On parlait par exemple pendant la pause d’applications de running, de suivi de courbe de poids et de choses comme ça.
Sophie Nouaille : De tous ces appareils connectés que l’on a aujourd’hui.
Benoît Piédallu : Voilà. Toutes ces données-là peuvent être tout à fait séparées des données strictement personnelles de l’utilisateur sous une forme tout à fait d’hygiène d’usage de l’entreprise en séparant dans deux bases de données, en vérifiant qu’une personne ne peut avoir accès à toutes les données en même temps, et donc qu’on va être certain qu’elles vont bien être séparées, à deux endroits différents, et qu’on ne pourra les réunir que si vraiment on le souhaite et avec une décision réellement volontaire de l’entreprise de les regrouper.
Camille Gruhier : Volontaire, donc ça veut que l’entreprise doit être prête à mettre un budget parce que tous ces traitements informatiques sont très coûteux pour les entreprises.
Sophie Nouaille : C’est ça. On parle de la bonne volonté et effectivement de cette chose positive qu’est ce nouveau règlement de protection renforcée des données personnelles, mais est-ce que les entreprises, est-ce que les associations, est-ce que même la CNIL en France va avoir les moyens d’action pour contrôler tout ça ?
Camille Gruhier : Je ne doute pas de la bonne volonté des entreprises, en particulier du tissu de PME qu’on a en France.
Sophie Nouaille : Qui s’est déjà préparé, on l’a dit, déjà depuis quelques années quand même.
Camille Gruhier : Oui et pour qui ça représente un problème ; maître Coupez le dira sans doute mieux que moi, lui qui est au contact de ces entreprises. En tout cas la bonne volonté sans doute elle est là ; le problème c’est que c’est un projet qui mobilise de la ressource financière, de la ressource humaine qui manque parfois cruellement dans les PME, et puis il y a des rôles à assumer en termes de vérification des bases de données, en termes de structure du système d’information qui sont des coûts qui ne sont pas vitaux pour le business de l’entreprise.
Sophie Nouaille : Il y a de nouveaux process à mettre en place dans l’entreprise.
Camille Gruhier : Oui. Notamment en termes de traitement de bases de données comme le disait Benoît.
Sophie Nouaille : Maître François Coupez, c’est vrai que quand on voit, alors c’est sur le site de la CNIL, pour se préparer, les six étapes pour se préparer à la norme pour cette protection optimale avec toutes les étapes, on a l’impression quand même qu’il faudra du personnel supplémentaire dans les entreprises.
Maître François Coupez : On a cette impression-là. Maintenant, il y a des solutions qui existent pour les TPE et les PME pour permettre une mise en conformité. D’abord la TPE ou la PME a l’avantage, par rapport à la grande entreprise, qui est que c’est beaucoup plus simple pour elle en pratique de se mettre en conformité parce que c’est très simple de changer de prestataire, par exemple pour, au lieu de stocker ses informations n’importe où de façon non sécurisée, etc., de prendre un prestataire qui certes coûtera un tout petit peu plus cher mais permettra d’assurer la conformité sans qu’il y ait de soucis particuliers et sans qu’elle ait forcément à s’en occuper particulièrement.
Sophie Nouaille : Ces prestataires sont agréés ?
Maître François Coupez : Il peut y avoir un processus de labellisation qui est prévu dans les textes mais qui n’est pas encore organisé au niveau européen. Si je prends un exemple : quand on parle de mettre ses données dans le cloud, on pense tout de suite à des acteurs américains du cloud qui proposent des solutions parfois gratuites, pour certaines sécurisées, mais avec la question d’un hébergement à l’étranger donc en dehors de l’Union européenne ce qui impose une couche d’informations supplémentaires par rapport à la personne, alors qu’on a des acteurs, en France ou en Europe, qui proposent déjà des solutions de conformité et qui sont parfois le même prix, parfois la gratuité, parfois un tout petit peu plus cher. Donc on a déjà ces solutions de prestataires.
Ensuite, pour ceux qui sont amenés à traiter des données de façon importante, même si ce sont des petites structures, on a la question du Data Protection Officer, le Délégué à la protection des données, qui, dans un certain nombre de cas, quand on traite vraiment des données qui par leur volume, etc., peuvent nécessiter un contrôle particulier, eh bien il existe des solutions de Délégué à la protection des données partagé, c’est-à-dire quelqu’un qui vient de temps en temps pour aider l’entreprise dans son chemin de conformité, donc ce n’est pas un poste à temps plein à prendre.
Et d’autre part, il faut bien savoir qu’à leur actuelle le plus grand danger des TPE, PME ce n’est pas la conformité à la protection des données à caractère personnel, un des plus grands dangers à l’heure actuelle, c’est le piratage.
Sophie Nouaille : La sécurité informatique.
Maître François Coupez : C’est la sécurité informatique. C’est le fait que d’autres entreprises ou d’autres acteurs ou autres, puissent accéder à leurs données, prendre leur patrimoine informationnel, prendre leur propriété intellectuelle, piller, corrompre leurs données, etc. Donc le RGPD, par ce qu’il impose, impose un niveau de sécurité qui, de toutes manières, va exactement dans le même sens. Donc la conformité très souvent en matière de sécurité va impliquer la conformité en matière de RGPD et inversement. Donc investissement certes, mais qu’on fait de toutes façons pour protéger l’entreprise et pas uniquement pour se dire « tiens il y a un nouveau texte qui s’applique, il va y avoir des coûts, etc. »
C’est une opportunité de développement, on l’a déjà dit, pour mieux connaître les personnes, mais c’est surtout une opportunité, enfin, pour mettre les moyens, pour se dire « la sécurité je vais arrêter de remettre ça à demain, je vais vraiment faire ça aujourd’hui », parce que c’est nécessaire, parce qu’on voit le nombre d’entreprises qui, du jour au lendemain, voient leur activité s’arrêter parce que victimes d’une atteinte, victimes d’un piratage.
Sophie Nouaille : Ou d’une demande de rançon, c’est très à la mode.
Maître François Coupez : Ou d’une demande de rançon, c’est très à la mode.
Sophie Nouaille : Oui. C’est une nouvelle façon, les nouveaux hold-up d’aujourd’hui.
Maître François Coupez : Qui vont se multiplier, très logiquement, parce qu’avant on devait payer pour avoir ses données, maintenant on devra payer non seulement pour avoir ses données mais pour les avoir rapidement parce que sinon il va falloir aller voir la CNIL et aller voir les utilisateurs pour leur dire qu’il y a une violation de données à caractère personnel. Donc l’enjeu sera beaucoup plus important parce que derrière la CNIL pourra voir, constater un défaut de sécurité et, en plus, sanctionner l’entreprise ; donc il y a un vrai risque là-dessus.
Sophie Nouaille : Ça veut dire, Camille Gruhier, qu’on a quand même aujourd’hui une plus grande marge de manœuvre en tant que citoyen, de contrôler ses données, d’avoir le droit, justement, de pouvoir y avoir accès et les récupérer, les faire effacer.
Camille Gruhier : Du côté consommateur, effectivement, il y a plusieurs dispositifs qui sont et qui seront, dans les mois qui viennent, mis en place puisque tout le monde ne s’est pas mis en conformité pour le 25 mai pile-poil pétant. Ça veut dire que concrètement le consommateur va avoir plus de moyens d’action sur ses données personnelles comme on a évoqué tout au long de cette émission.
Ça veut dire aussi que derrière, dans les cuisines des entreprises, dans les systèmes d’information, d’une manière globale on peut espérer qu’il y ait une sorte d’éducation, de changement de paradigme, le fait que les données des gens soient mieux sécurisées dans les entreprises parce qu’elles y ont intérêt ; tout ça va mener vers une meilleure hygiène du traitement de la donnée qui ne peut être que rassurante au quotidien pour les consommateurs et qui est aussi que tout ce qui est collecte de données alimente le big data, dont on parle beaucoup, qui alimente lui-même l’intelligence artificielle.
Sophie Nouaille : Ça peut aller loin.
Camille Gruhier : Ça va aller très loin mais c’est le sens du vent, et on n’a pas le choix.
Sophie Nouaille : Je pense aux données médicales par exemple.
Camille Gruhier : C’est ça aussi. C’est qu’il faut voir que les données, il faut, d’une manière générale, accepter d’en donner le moins le possible lorsqu’on utilise des services ; ça ne sert à rien d’en dire trop sur soi quand ce n’est pas utile. Par défaut être discret, c’est applicable tout le temps, au quotidien, dans tout ce qu’on fait au quotidien. Dans le monde physique c’est pareil, quand on vous demande à la caisse votre code postal, vous n’êtes pas obligé de répondre ; ça alimente des études.
Sophie Nouaille : On n’a pas forcément ce réflexe ; « non, je n’ai pas envie ».
Camille Gruhier : Eh bien par défaut il faut fermer les vannes.
Sophie Nouaille : Je pensais justement à un exemple concret, Benoît Piédallu : un établissement médical, l’autre jour, m’a demandé ma carte d’indenté pour la scanner et l’enregistrer. Est-ce qu’ils ont le droit ? C’est un exemple parmi d’autres.
Benoît Piédallu : Oui. Ça dépend ce que vous faisiez, quelle action.
Camille Gruhier : Qu’est-ce que vous faisiez ?
[Rires]
Benoît Piédallu : Ça dépend l’action que vous étiez en train de faire avec ce laboratoire médical, s’ils avaient besoin de vérifier votre identité sur place.
Sophie Nouaille : Mais qu’on me la scanne et qu’on me l’enregistre ? Qu’ils me la conservent ?
Benoît Piédallu : Qu’ils vous la scannent et qu’ils vous l’enregistrent, vous pouviez demander à savoir pourquoi ils le faisaient, pour combien de temps.
b>Sophie Nouaille : On ne me l’a pas proposé ; je n’ai pas demandé.
Camille Gruhier : Ils ne vous donnaient pas le choix.
b>Sophie Nouaille : Déjà, je n’avais pas le choix.
Benoît Piédallu : Vous n’aviez peut-être pas le choix ou pas, c’était une question à poser aussi, parce que pour eux ils ont peut-être des réflexes qui viennent de procédures qu’on leur a demandées de mettre en place mais peut-être qu’à un moment il faut les questionner, c’est ce qu’on dit depuis tout à l’heure.
Sophie Nouaille : C’est ce qu’il faut ; plus de conscience.
Benoît Piédallu : Aujourd’hui il faut questionner tous ces réflexes qu’ont les entreprises d’enregistrer un tas d’informations qui potentiellement vous seront dommageables à l’avenir parce que les informations vont disparaître. Il y a aussi une obligation, pour elles, d’assurer que vos données seront conservées et qu’elles ne vont pas perdre vos données. Mais c’est pareil, la question sera : pour combien de temps elles vont conserver des données sur vous ? Pourquoi elles les conservent ? Et ça, ce sont des questions que les consommateurs…
Sophie Nouaille : Sont en droit de poser.
Benoît Piédallu : Les citoyens devraient se poser et devraient poser la question, quand on leur demande, mais pourquoi vous demandez toutes ces données et à quoi elles vont servir ?
Sophie Nouaille : Maître François Coupez.
Maître François Coupez : Justement, de ce point de vue-là. je pense que nous on constate une évolution extrêmement positive du côté des entreprises parce que le RGPD met en place un véritable contrôle mutuel. Je m’explique : il y a des dispositions qui prévoient qu’à partir du 25 mai 2018, nous ne pouvons travailler en tant qu’entreprise qu’avec des prestataires qui respectent eux-mêmes le texte. Et donc on constate depuis quelques mois que les entreprises qui avaient négligé l’application du RGPD eh bien se voient rattrapées par la patrouille, et ce n’est pas la CNIL qui toque à la porte ou qui les appelle, c’est plutôt les prestataires, les clients, les partenaires ; des entreprises.
Sophie Nouaille : Il y a une autorégulation ?
Maître François Coupez : Autorégulation tout à fait, parce que les uns et les autres disent : « On ne peut travailler avec vous que si vous respectez le texte. Où vous en êtes ? Vous ne les respectez pas ? On ne peut plus travailler avec vous ! » Le début a été un petit peu brouillon dans le sens où il n’y a pas d’analyse extrêmement fine pour savoir qui était sous-traitant, qui est une notion dont on pourrait discuter, mais responsable de traitement, etc. ; maintenant ça commence un petit peu à se mettre en place. Mais l’idée générale c’est vraiment un contrôle mutuel avec des acteurs qui se disent « je ne suis conforme que si lui est conforme et donc on va essayer de tous être conformes vis-à-vis de l’utilisateur » et là on constate vraiment un mouvement d’ensemble qui va extrêmement loin.
Je prends un exemple qui date de la semaine dernière. La semaine dernière j’ai eu quatre demandes, la même question venant de quatre entités différentes, parce qu’elles ont été un petit plus loin que le RGPD et elles se sont dit « eh bien tiens, comment on va faire en interne ». Et ce sont quatre entreprises qui se disent « il faut que je voie à qui je transfère les données, pourquoi, comment, etc., et comment ça se passe avec le comité d’entreprise ». Pendant très longtemps, il y avait de toutes façons une norme spécifique sur les comités d’entreprises, une absence de déclaration des traitements dans leur cas ; pendant très longtemps l’entreprise donnait des informations au comité d’entreprise, dans le cas des avantages, etc., des trucs offerts, et le niveau de sécurisation des comités d’entreprises n’était peut-être pas forcément extraordinaire et l’encadrement de transfert des données n’était pas fait. Eh bien là, d’un seul coup, les entreprises se disent « j’ai sécurisé vis-à-vis des clients, j’ai informé, j’ai mes sous-traitants, et le CE comment ça se passe ? Et mon expert comptable, comment ça se passe ? » Et petit à petit on voit la conformité à tous niveaux.
Sophie Nouaille : Benoît Piédallu, quels conseils on peut donner aux auditeurs qui sont les consommateurs ? On a dit donner le moins possible déjà d’infos personnelles, de données.
Benoît Piédallu : Donner le moins possible d’informations personnelles. Si on vous demande plus d’informations personnelles que nécessaires sur un site web, il faut d’abord refuser ; il faut se poser la question. Si c’est imposé, eh bien là il va falloir peut-être saisir l’autorité, qui est la CNIL en France, en lui demandant pourquoi est-ce que pour un achat, par exemple un site d’achats, on va me demander je ne sais pas, ma date de naissance – peut-être qu’on vend des objets interdits aux moins de 18 ans –, mais sinon il n’y a pas de raison. Il y a un certain nombre de données, comme ça, où on peut se poser la question de savoir pourquoi on nous les demande. Eh puis oui, il va falloir faire attention, poser la question, être capable de savoir qu’on va pouvoir demander à récupérer ses informations pour les transférer.
Sophie Nouaille : Camille Gruhier, se documenter, s’informer.
Camille Gruhier : Oui et puis comme disait Benoît, effectivement déjà la prise de conscience que permet ce règlement européen sur le fait que ces sujets viennent aux oreilles du grand public, c’est déjà une grande avancée. Aujourd’hui il y a, d’après un sondage de l’IFOP, 42 % des Français qui ont entendu parler du règlement européen, c’est beaucoup, ce n’est pas mal !
Sophie Nouaille : Mais de n’est pas encore pas suffisant.
Camille Gruhier : Ce n’est pas suffisant. Il y a 9 % des gens, quand même, qui n’en ont strictement jamais entendu parler et ceux-là il va falloir les informer.
Sophie Nouaille : Avec vous par exemple.
Camille Gruhier : Surtout !
Sophie Nouaille : UFC-Que Choisir, La Quadrature du Net et puis que les entreprises n’hésitent pas à faire appel, aussi, à un avocat spécialisé. Merci à tous les trois pour cette émission.
On a beau passer en revue chaque paramètre de confidentialité et sélectionner « Seulement moi », les sections qui contiennent des informations très personnelles et détaillées sont toujours partagées publiquement par défaut. Il ne s’agit pas seulement d’un problème de confidentialité, mais aussi de sécurité. La facilité avec laquelle les pirates peuvent ensuite obtenir des informations pour répondre à des questions de sécurité est stupéfiante. La liste déroulante est subtile et ne demande pas autant d’attention que l’appel à l’action principale. Des fenêtres modales utilisent des mini-instructions pour tromper les utilisateurs. Voyez par exemple :
À première vue, rien ne semble trop bizarre, mais en y regardant de plus près, il devient clair que Facebook incite fortement ses utilisateurs à partager leur bio sur le Fil d’Actualités. Pour cela, il est suggéré qu’en cliquant sur Cancel (Annuler), vous annulez les modifications que vous avez faites à votre bio. En réalité, Cancel signifie Non. Là encore, c’est un genre de pratique qui peut induire en erreur même les personnes les plus vigilantes sur leur confidentialité. Pour les autres cela démontre jusqu’où Facebook est prêt à aller pour que les utilisateurs partagent et interagissent toujours plus. Menant ainsi à des profits publicitaires de plus en plus conséquents.
