Le RGPD - Transcription du Décryptualité du 16 avril 2018

Luc - Manu - Nico

Titre : Décryptualité du 16 avril 2018 - Le RGPD
Intervenants : Luc - Manu - Nico
Lieu : April - Studio d'enregistrement
Date : avril 2018
Durée : 15 min
Écouter ou télécharger le podcast
Revue de presse pour la semaine 15 de l'année 2018
Licence de la transcription : Verbatim
Illustration : Flag of Europe blue - Wikimedia Commons. Licence Creative Commons CC0 1.0 Universal Public Domain Dedication.
NB : transcription réalisée par nos soins. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.

Transcription

Luc : Décryptualité.

Nico : Le podcast qui décrypte l’actualité des libertés numériques.

Luc : Semaine 15. Salut Manu.

Manu : Salut Nico.

Nico : Salut Luc.

Luc : Eh bien, qu’a-t-on au sommaire Manu ?

Manu : Six jolis articles sympathiques.

Luc : usine-digitale.fr, « Scandale Facebook, RGPD, messagerie cryptée, compteurs Linky… Les positions de Mounir Mahjoubi sur la protection des données personnelles », une interview, je suppose, de Juliette Raynal.

Manu : Sur France Inter, carrément, ils parlent un petit peu de tout ce qui se passe en ce moment. Donc Linky, il y a des choses qui remontent mais pas que, notamment une messagerie cryptée faite par l’État, donc il y a des choses intéressantes dont on reparlera sûrement dans les semaines qui viennent.

Luc : ZDNet France, « Linux est sous votre capot », un article de Steven J. Vaughan-Nichols.

Manu : Ça parle de voitures, véhicules en tout genre, de Linux et de logiciel libre. Comme quoi utiliser des logiciels libres c’est pratique pour les industriels notamment ; ça leur évite d’avoir à tout refaire en partant de zéro. C’est quand même plus sympa.

Luc : Vice, « L’homme qui voulait soigner sa maladie génétique dans son garage », un article de Sébastien Wesolowski.

Manu : J’ai hésité à le mettre parce que c’est un peu étrange ; ça sort un peu de l’habitude. C’est un gars qui va devenir aveugle, c’est ce que disent ses médecins, donc il se bat contre ça. Il est en train de se travailler un laboratoire dans son garage pour améliorer sa rétine. Il y a un vrai effort. Possible ! Il va peut-être aboutir à des résultats et surtout, il a ouvert ça sur Internet, il a demandé des contributeurs et il en a, il a plein de gens qui veulent l’aider et qui contribuent à travailler à des productions de génétique. C’est compliqué. Donc ça fait un petit peu bizarre, mais c’est sympa.

Luc : Ça fait des années qu’il y a du Libre et de la génétique avec des gens qui font ça dans leur coin. C’est minoritaire, mais ça existe depuis longtemps.

Manu : À minimum dangereux. Il y a des chercheurs qui ont été interviewés qui ont répondu : on a posé des questions sur le sujet ; ils ont l’air de dire qu’il risque sa vie, le gars, parce qu’il va falloir qu’il s’injecte des trucs dans les yeux pour améliorer sa vue, mais ça n’empêche, c’est intéressant c’est une démarche qui est assez constructive même si dangereuse.

Luc : Global Security Mag, « Mozilla dresse le bilan de la santé d’Internet à travers l’Internet Health Report 2018 », un article de Mozilla.

Manu : C’est quelque chose qu’on avait déjà abordé l’année dernière, il me semble. Donc c’est Mozilla, les gens qui produisent Firefox, et qui sont en train d’étudier un petit peu ce qui se passe sur Internet, notamment Facebook et autres fuites de données. Ils ont fait tout un rapport. Il y a des choses qui ont l’air d’être assez intéressantes. À creuser.

Luc : The Conversation, « Facebook et le paradoxe de la vie privée », un article de David Glance.

Manu : Ça ne coûte pas assez cher de perdre ses données sur Internet ; les gens les mettent volontiers sur le réseau social. Il semblerait, d’après l’article, qu’ils y trouvent plus d’avantages que de coûts, et pourtant on leur a demandé : « Combien vous vendriez vos données ? » À chaque fois c’est quoi ? 15 dollars, 25 dollars ; il me semble que c’était en dollars ; pas énorme et surtout les gens, globalement, se fichent un petit peu de ce qu’on fait avec derrière. Je suis sûr que ça va remonter parce que, finalement, on voit bien que Facebook, il y a plein de problèmes malgré tout.

Luc : Next INpact, « Pôle emploi nous ouvre le code source de son calculateur d’allocations chômage », un article de Xavier Berne.

Manu : C’est Next INpact qui a fait un effort, une CADA [Commission d'accès aux documents administratifs], une demande d’ouverture aux administrations, et ils ont obtenu du code source de Pôle emploi. Ce n’est pas mal ! Il y a eu les impôts, il y a eu l’Éducation nationale, eh bien là, Pôle emploi c’est une autre rubrique, parce que maintenant, officiellement, le code source c’est un document administratif communicable donc on peut le demander à l’État ; il doit nous le donner.

Luc : Aujourd’hui on va parler du RGPD, on l’avait annoncé la semaine dernière. On recule un peu depuis un petit moment, parce que c’est un gros morceau.

Nico : Il fait peur. C’est un énorme morceau qui arrive. Ça fait peur.

Luc : Par contre, c’est un morceau très important. De quoi s’agit-il ?

Manu : Qu’est-ce que ça veut dire RGPD ?

Nico : C’est le registre de protection des données personnelles.

Manu : Règlement général sur la protection des données. Mais tu as dû prendre la version anglaise, en plus, parce qu’il y a quand même pas mal de choses. J’ai la page sous les yeux, donc !

Nico : RGPD ou GDPR [General Data Protection Regulation] en anglais.

Manu : Je triche, effectivement !

Luc : C’est un règlement européen.

Manu : Donc c’est plus fort qu’une loi d’une certaine manière ; ça s’applique de manière directe.

Luc : C’est en cours de discussion en France : c’est-à-dire que pour s’adapter, être en conformité avec ce règlement, nos députés et sénateurs sont en train de discuter la loi. Manifestement on est vraiment à la toute fin.

Nico : Oui. Le texte de loi a été publié et ça sera voté le 14 mai. Normalement, du coup, il n’y a aura pas de changement ; le texte est définitif, on va dire, sauf coup de poker.

Luc : L’objectif c’est de protéger les données personnelles, un truc vraiment central par rapport à notre sujet de conversation.

Manu : Sachant qu’il y a des dates qui sont en jeu et je crois qu’en mai il est supposé s’appliquer les sanctions du RGPD.

Nico : C’est ça. Le RGPD est déjà censé s’appliquer depuis quelques années puisque, quand il avait été voté par l’Europe, il fallait déjà le mettre en œuvre.

Manu : Et les sanctions ?

Nico : Les sanctions arrivent à partir du 25 mai.

Manu : Donc c’est là que ça commence à taper au portefeuille et si on n’applique pas le RGPD, on risque de payer de l’argent.

Nico : Et puis surtout que ce sont des montants assez colossaux. Puisque avant, c’est un peu le problème, les amendes étaient assez ridicules : on parlait de 10 000, 20 000, aller 200 000 euros maximum et c’était à peine le budget des apéros de Microsoft.

Manu : Ça c’était quand la CNIL n’était pas contente et qu’elle tapait sur les entreprises comme elle pouvait.

Nico : C’est ça. Et maintenant c’est 4 % du CA mondial consolidé ou 20 millions d’euros minimum. Et du coup, ça fait très mal aux entreprises qui vont forcément se bouger.

Luc : On parle du chiffre d’affaires et pas du bénéfice.

Nico : En chiffre d’affaires et pas en bénéfice.

Manu : Donc ça monte les enjeux et ça montre que le truc est important, mais ça ne répond pas au problème de qu’est-ce que c’est.

Luc : Il n’y a pas que ça. C’est toute une série de règles ; c’est pour ça pour c’est compliqué, avec des obligations pour tous les acteurs qui gèrent des données personnelles et donc des droits pour les utilisateurs avec des objectifs. Et il y a pas mal de choses qui changent vraiment la donne dans ce règlement. Déjà, notamment, le fait que c’est un cadre harmonisé au niveau européen et qu’en gros, l’idée c’est de faire converger les règles pour qu’elles soient applicables à peu près à l’identique partout en Europe.

Nico : Il n’y aura plus les exceptions disant « oui mais les serveurs étaient les États-Unis, mon service était aux États-Unis, donc ce n’est pas soumis aux lois françaises ou autres ». Là, à partir du moment où l’entreprise fournit un service en Europe ou touche un citoyen européen, eh bien le RGPD s’applique.

Manu : Ça c’est l’extraterritorialité.

Nico : C’est ça.

Luc : Donc ça, c’est un point vraiment important. Je sais que ça m’est arrivé souvent en tenant des stands ou en faisant des conférences. Les gens disent : « Ouais, mais moi je lui fais un procès ! » Et moi de dire : « Est-ce que tu connais un bon avocat californien ? » Déjà, d’entrée de jeu, ça le calme dans ses ardeurs. Il n’avait pas réfléchi qu’il fallait au moins 10 000 euros pour lancer son procès. Mais voilà ! Ça c’est un point énorme, c’est absolument colossal, puisque jusqu’à maintenant les États-Unis, notamment, disaient : « Nous, rien à fiche ! On répond à notre loi ».

Manu : Et donc là, toutes les grosses entreprises, les GAFAM dont on parle régulièrement, risquent d’être impactées et, à priori, elles ont commencé à appliquer le RGPD en interne.

Luc : Oui, elles le voient venir de loin, je pense. Ce qui est assez rigolo c’est que comme on est quand même dans une période où elles sont en train de rentrer dans le rang déjà depuis un petit moment et d’arrêter, on en parlait la semaine dernière, avec les vidéos sur YouTube, etc., mais ce ne sont pas les seules.

Manu : Et puis #deletefacebook, le hashtag qui marche bien.

Nico : Après, il y a aussi pas mal de communication de la part de Google et de Facebook qui commencent déjà à annoncer que leurs règles vont changer à partir du 25 mai, pile-poil. Donc elles vont devoir revoir leurs conditions générales d’utilisation, redemander le consentement. On va en parler justement derrière.

Manu : Voilà, parce que ça fait partie des trucs importants qui arrivent avec le RGPD : il faut avoir un consentement explicite et positif.

Luc : C’est-à-dire que les gens doivent dire « oui, oui, je veux bien ». Ça veut dire qu’on n’a plus le droit de le cacher au milieu des conditions d’utilisation de douze mille pages.

Manu : Ou même de le mettre par défaut.

Nico : Et on n’a pas le droit non plus de mettre des trucs trop génériques. C’est-à-dire que le consentement doit être sur un traitement spécifique et une collecte de données spécifique. Donc on arrêtera de dire « on collecte vos données et puis on verra ce qu’on en fait derrière. Vous autorisez à consentir tout et n’importe quoi ». Donc il faudra demander un consentement par traitement et donc déjà ça, ça va aussi faire très mal puisque finies les lettres blanches signées auprès des GAFAM.

Manu : Ça me paraît compliqué à mettre en place ! Je suis curieux de voir comment ça va se décliner tout ça.

Luc : Le droit à l’effacement.

Manu : Il y avait le droit à l’oubli il n’y a pas si longtemps.

Luc : Le droit à l’effacement ça existe déjà dans la loi informatique et libertés. Tu as le droit de dire « je veux que vous effaciez les données que vous avez sur moi ».

Nico : Mais là il y a une obligation et en plus c’est transitif, c’est-à-dire que ça s’applique même aux sous-traitants ou autres. Eh bien là, pareil, il faudra avoir des preuves et apporter des preuves qu’on a bien fait la suppression. Donc ça risque d’être aussi une jolie partie de plaisir pour les GAFAM.

Manu : Tu dis transitif, c’est qu’en gros, quand tu as donné des informations personnelles, tu n’es pas sûr que c’est la personne à laquelle tu les as données qui les conserve.

Nico : Oui, c’est ça. Ça peut être des sous-traitants. Il faudra aussi qu’ils déclarent et qu’ils demandent le consentement, etc. Ça veut dire que ça doit propager la suppression y compris à toute la chaîne et que la donnée doit vraiment disparaître.

Manu : Il y a toute une chaîne.

Luc : Tu parles des GAFAM, mais moi je pense aussi à tous les trucs de pub qui t’appellent au téléphone et qui te harcèlent pour te vendre des cuisines et des conneries comme ça.

Manu : Quoi ! Le RGPD va s’appliquer à eux ? [Cri de joie]. C’est inapplicable chez eux.

Luc : À tout le monde. Ce sont des données personnelles. Tu imagines ! Toute la chaîne parce qu’ils se revendent les trucs, ça circule dans tous les sens et tout, ils n’en ont rien à foutre.

Nico : Là, ils n’ont même plus le droit de les revendre, mais s’ils revendent, effectivement, il faudra qu’ils assurent la traçabilité pour faire la suppression.

Manu : La prochaine fois qu’ils m’appellent pour des fenêtres, les gars, je vais leur demander s’ils sont au RGPD.

Luc : Moi je reçois des mails de la Fnac, des mails publicitaires de la Fnac sur mon mail perso, parce que j’ai un mail pour les contacts commerciaux et un mail que je ne mets jamais dans les trucs commerciaux.

Manu : Tu es un futé !

Luc : Et je reçois des mails de pub de la Fnac sur mon mail personnel alors que je ne suis pas client de la Fnac. Voilà ! Si je peux savoir d’où ça vient et comment ils en sont arrivés à me pourrir mon mail que je ne donne pas ; je suis bien curieux de le savoir. Autre principe, le droit à la portabilité des données personnelles. Ça aussi, c’est absolument énorme et considérable.

Manu : C’est même trop gros, moi je trouve !

Nico : C’est assez violent.

Luc : De quoi il s’agit déjà ?

Nico : La portabilité, c’est, en gros, on pourra demander à n’importe quelle entreprise de donner toutes les données qu’elle connaît sur nous, tout ce qu’on a pu faire avec elle, notre historique de navigation. Vos photos, enfin tout ce que vous mettez à disposition et qui est lié à une donnée personnelle.

Manu : Ça existe déjà chez Facebook. Il y avait un Autrichien [Max Schrems, NdT] qui avait demandé, en passant par l’Irlande, d’avoir un export de tout ce que Facebook connaissait sur lui, mais il a galéré ! Il s’est obtenu des kilos de papier.

Nico : Des palettes complètes de données. Maintenant, aujourd’hui, ils ont automatisé le truc : que ce soit Facebook ou Google, il y a un bouton pour demander l’export de données. Ils disent bien : « Attention, on va générer beaucoup de données, donc ça va prendre beaucoup de temps, il va falloir plusieurs jours. » Et effectivement, on se retrouve derrière avec des archives de plusieurs gigas et l’intégralité de votre vie dedans.

Manu : C’est supposé être structuré c’est-à-dire qu’en gros, en théorie, on pourrait les réutiliser pour mettre ses données personnelles ailleurs.

Nico : Ailleurs. C’est un peu le but. C’est pour ça qu’on dit portabilité : c’est partir d’un prestataire pour aller sur un autre. Après, en pratique, sur des choses comme Google ou Facebook, on voit quand même mal vers quoi on va pouvoir aller.

Luc : Ça évite au moins le truc de ce gars-là que tu citais, qui s’est retrouvé avec toutes ses données sur papier.

Nico : Par exemple, pour un fournisseur d’énergie ou autre, du coup vous récupérez vos données d’un côté, vous pouvez les réinjecter de l’autre ; une assurance ou autre ; normalement ils devraient être compatibles entre eux.

Manu : Le profilage.

Luc : Ça c’est l’idée de prendre des données personnelles pour mettre les gens dans des petites cases. On en a parlé il y a quinze jours quand on a parlé notamment du système de notation sociale en Chine1.

Manu : Oui. Mais on en parlait aussi pour les banques et les assurances parce qu’elles avaient peut-être besoin, enfin elles ont besoin, souvent, de noter leurs clients et de savoir un peu dans quelles cases ils rentrent. Effectivement, la Chine c’était le bon exemple il y a quelque temps.

Nico : Le RGPD ne va pas interdire le profilage directement. Par contre, il va demander à ce que tout soit documenté, bien propre, tenu à jour dans des registres ; que la donnée soit bien indiquée partout.

Manu : Ils ont l’air de dire que les traitements automatisés qui font ce profilage vont être un peu limités, quand même.

Nico : Voilà. Après il y a des limites effectivement. Vous n’avez pas le droit, ce qui est déjà interdit en France, par exemple le genre, la religion ou autre, on n’a pas le droit d’avoir d’enquête de ce type-là. Le RGPD est encore plus dur avec ce type de traitement. Mais, de manière générale, vous n’aurez plus le droit de dire « je ne sais pas où sont les données, qu’est-ce qu’on en fait ou dans quel but ». Tout doit être documenté dans des registres.

Manu : Profilage, moi ça me fait penser aux gars qui rentrent à l’université, qui ont obtenu leur bac et, en fonction de leurs notes, en fonction de certains critères, ils rentrent dans des cases ; ça c’est un profilage. Donc à priori, ce ne serait plus tout à fait dans ce cadre-là.

Luc : Il y a aussi le principe, et ça rejoint ce que tu disais, de protection des donnés dès la conception. Donc il va y avoir des contraintes fortes sur tous les gens qui gèrent des données personnelles, que ce soit des entreprises, des associations, des choses comme ça, parce qu’il faut que les systèmes soient conçus à la base avec cette idée de la protection des données.

Manu : Je me gausse !

Luc : Voilà. Parce qu’aujourd’hui il y a pas mal de gens qui ne savent pas du tout comment on fait.

Manu : Eh bien non ! C’est clair quoi !

Luc : Et tout doit être documenté. C’est-à-dire que le jour où la CNIL fait une descente, elle dit : « Montrez-moi votre registre machin » et si les gens sont incapables de le produire, eh ils sont quand même très mal.

Nico : Et en plus là, sur l’état de l’art ou autre, il va falloir prouver qu’on a bien fait une étude avant de faire le traitement, pour montrer qu’on a mis en œuvre dans des coûts et des moyens cohérents avec la finalité. On ne doit pas vous demander la lune si c’est juste pour traiter trois données. Mais en tout cas, vous allez devoir publier un document comme quoi, effectivement, vous avez étudié ; pourquoi vous avez fait tel choix et tel choix et pas tel autre. Pourquoi vous n’avez pas pu mettre en place tel système dans l’état de l’art. Et ça, pareil, la CNIL, en cas de contrôle, vous le demandera et si vous n’êtes pas capable de le donner eh bien ce sera une amende.

Manu : Je me marre bien ! C’est comme le point suivant : les notifications en cas de fuite de données. Je doute que les gens le fassent vraiment, parce que s’il y a une fuite de données ça veut dire qu’on a merdé, carrément, mais je pense qu’il y a des gens, ils ne le savent même pas ! Et quand ils le savent, eh bien ils vont tout faire pour le cacher.

Nico : Là ils n’auront pas le choix parce qu’ils auront 24 heures pour prévenir la CNIL et 48 heures pour prévenir le client.

Manu : Ils n’ont soi-disant pas le choix. En tout cas il ne faut pas qu’ils se fassent choper.

Nico : Voilà, c’est ça !

Luc : Donc la nomination obligatoire d’un délégué de protection des données. Un DPO, en anglais, comme Data Protection Officer qui sera, en gros, un référent dans les structures, pas dans toutes les structures.

Manu : C’est quoi ? Ce sont les entreprises de plus de ?

Nico : 250 salariés ou celles qui vont traiter des données trop critiques justement.

Luc : Donc il va y avoir l’obligation d’en avoir un.

Manu : Un gars qui va être responsable de ça dans l’entreprise et il va répondre à la CNIL.

Nico : Il répond à la CNIL, il n’a pas d’ordre à recevoir de la direction directement.

Manu : Il est lanceur d’alerte sur ces sujets-là.

Nico : En tout cas sur ces sujets-là, il est censé être lanceur d’alerte et avoir son mot à dire et tout accès aux données doit être justifié auprès du DPO.

Luc : Après, on a la notion d’avoir des études d’impact, mais ça tu l’as déjà mentionné. Donc les sanctions plus importantes, on l’a dit également, vingt millions d’euros.

Manu : C’est vrai qu’on tape au portefeuille.

Luc : Ou sanction sur le chiffre d’affaires et là, on arrive sur des sommes qui peuvent être absolument astronomiques.

Nico : Je pense que c’est ça qui va faire bouger les choses parce qu’aujourd’hui, un petit artisan ou un petit directeur de PME, il s’en foutait un peu parce qu’il ne risquait pas grand-chose.

Luc : Je pense qu’il va continuer à s’en foutre et qu’il va se dire ça ne me tombera jamais dessus.

Manu : Non. Mais les grosses entreprises, les GAFAM.

Nico : Les GAFAM vont aussi moins rigoler avec ça. Mais malheureusement, elles sont déjà plus ou moins prêtes, parce qu’elles, elles ont les moyens.

Manu : Peut-être même qu’elles accueillent ce genre de règlement avec plaisir parce que peut-être que ça empêche à d’autres concurrents de s’installer. Parce que ces entreprises, à priori, elles vont y arriver.

Nico : Typiquement, aujourd’hui, on a une entreprise française qui est Criteo, qui est le leader un peu mondial de la pub, et elle risque de prendre vraiment beaucoup de plomb dans l’aile et peut-être en faveur des GAFAM parce que du coup Google Analytics risque d’être plus facilement compatible au RGPD que du Criteo bien français. Effectivement, beaucoup de concurrents vont mourir parce que le RGPD sera inapplicable pour eux.

Manu : Tout l’écosystème des publicitaires c’est beaucoup d’intermédiaires et de chaînes de transmission de données personnelles et eux, en théorie, ça saute.

Luc : Ça m’attriste ! Je suis vraiment triste pour eux.

Manu : Ah, c’est triste. Oui !

Luc : Je suis très triste pour les publicitaires. On a également quoi d’autre ? La création d’un comité européen de la protection des données, donc une institution européenne qui va gérer ça. Et l’élaboration de codes de conduite, enfin bref ! Et des trucs pour aider à structurer ça.

Manu : Les codes de conduite. On est conscient que ça peut être compliqué ; comment il faut s’y prendre à gérer tout ce truc-là, parce que, mine de rien, c’est assez nouveau. Donc on ne va pas savoir, les entreprises ne savent pas comment mettre en place ce truc. Je sais, chez mes clients, les gars font des réunions, ils essayent de discuter entre eux et ils ne savent pas, quoi !

Luc : Ça va mettre du temps à se mettre en place, mais, en tout cas, c’est quand même hyper-positif. Après il y a eu des tas de discussions ; quand on rentre dans le détail il y a toujours plein de machins disant « alors oui, en exception, ceci, cela ». Il y a également la notion de possibilité de faire des actions de groupe qu’on n’a pas citée et qui est importante.

Nico : Qui était déjà dans la loi française, en fait, et il n’y a pas eu de changement là-dessus majeur.

Manu : Mais il y a des attentes, il y a des associations qui s’emparent de ça.

Nico : La Quadrature du Net qui a lancé ça, qui vient de dire « rejoignez-nous, on fait une action de groupe contre les GAFAM2 et puis on attend le 25 mai et s’ils ne sont pas conformes, on leur tombe directement dessus. »

Luc : Donc le RGPD ça va changer le paysage. On en reparlera très probablement. En tout cas, ça va maintenant rentrer un peu dans nos sujets.

Manu : Il va falloir en rediscuter ; il y a forcément des articles qui vont apparaître, ne serait-ce qu'après le 25 mai.

Nico : Comment ça se passe après le 25 mai et puis les premières sanctions. Ça risque d’être assez fun !

Luc : Je pense qu’ils vont y aller mollo quand même. On se retrouve la semaine prochaine.

Manu : À la semaine prochaine.

Luc : Salut.

Nico : Bonne semaine à tous.