[Dossier] Le RGPD, des dossiers de la Stasi aux cookies publicitaires

[Générique] L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

[Benjamin] Bonjour, je suis Benjamin Bellamy.

[Aeris] Et moi je suis Aeris.

[Benjamin] Eh bien, bienvenue dans RDGP, le podcast sérieux qui vous emmène au coeur des enjeux des droits numériques, des libertés individuelles et de la vie privée. On est très heureux de vous accueillir pour ce tout premier épisode.

[Benjamin] C'est le premier épisode dans lequel on va parler de RGPD. RGPD pour le podcast RdGP. On présente d'avance toutes nos excuses aux personnes dyslexiques.

[Aeris] Et du coup aujourd'hui on va vous présenter en fait le RGPD qui est un peu le texte fondateur qui va servir de fil rouge après sur tous nos autres épisodes et qui si vous ne vous ne comprenez pas vraiment qu'est ce que c'est ce texte vous aurez un peu du mal des fois à suivre ce qu'on va dire par la suite.

[Benjamin] C'est parti !

[Benjamin] Alors, Aeris, si j'ai bien suivi l'actualité, notre histoire commence par un beau matin de mai 2018.

[Aeris] Oh, on peut remonter bien plus tôt que ça.

[Benjamin] au hasard au 6 janvier 1978.

[Aeris] Ouais, quelque part par là. En vrai, dans l'histoire, ça remonte encore à avant, ça remonte à 1950 en fait à la Convention européenne des droits de l'homme qui a été rédigée à la sortie de la guerre. Il y avait le nazisme et le fascisme qui étaient passés par là. Et les institutions européennes se sont dit que ça serait pas mal de faire un texte qui permette d'éviter de revivre ce qu'on a vécu pendant la guerre avec la Stasi, avec tous les problèmes de...

[Aeris] de vie privée justement et d'installation de… les gens vraiment rognaient sur les libertés individuelles. Donc ils ont écrit ce texte de la CEDH en particulier l'article 8 qui décrète que la liberté privée en fait, le droit fondamental à la vie privée, est garantie par le texte fondateur de l'Union Européenne dès 1950.

[Benjamin] CEDH, qu'est-ce que c'est CEDH ?

[Aeris] Oui, c'est la Convention européenne des droits de l'homme.

[Aeris] Voilà, donc c'est vraiment le texte fondateur un peu, il y a une quinzaine d'articles de mémoire et qui définit justement la liberté d'expression, la liberté de religion et le droit à la vie privée. Et donc du coup en janvier 1978, la France s'est dit, à partir de ce texte là, et c'est la première ligne de la loi Informatique et Libertés

[Aeris] française qui est : On va appliquer la CEDH en France.

[Aeris] avec la première loi informatique et liberté qui a été avec la CNIL, du coup, qui est formée à cette époque-là.

[Benjamin] en même temps.

[Aeris] En même temps, le texte de la loi 78 crée la CNIL, c'est l'acte fondateur de la CNIL.

[Aeris] et qui a été créée à l'époque pour s'opposer à un projet de fichier général de la population française. Les députés ont dit qu'on ne veut pas de ce texte-là, de ce fichier-là en France, donc on va faire un texte qui va l'interdire.

[Aeris] Donc c'est l'origine de la loi 78 Informatique et Liberté que je pense que tout le monde a entendu parler au moins une fois dans sa vie en France.

[Benjamin] D'accord, donc en fait en 1978, il y avait déjà des ordinateurs ?

[Aeris] Alors il n'y avait pas encore d'ordinateur, il y en avait un peu, bien sûr, c'était les débuts de l'Internet, mais c'est vraiment un texte qui a été écrit.

[Aeris] sans avoir l'informatique en tête.

[Aeris] c'était des fiches papier, c'était vraiment encore des renseignements à l'ancienne et donc du coup ces textes-là ne touchent pas qu'à l'informatique.

[Aeris] et aussi à tout ce qui est non informatique.

[Benjamin] Oui, en fait, un fichier, avant d'être un fichier informatique, on l'a oublié, mais c'était des fichiers papier.

[Aeris] C'est ça. Si vous allez voir en Allemagne, la Stasi, c'était des armoires complètes remplies de fiches papiers qui tracaient toute la population allemande.

[Benjamin] Et donc en janvier 78, il y a deux choses concomitantes qui apparaissent, c'est-à-dire une loi qui protège, qui encadre.

[Aeris] qui encadrent en tout cas les traitements possibles en fait sur les intrusions dans la vie privée des gens, en particulier pour l'État à l'époque.

[Aeris] et en plus la fondation de notre... La création de l'organisme chargé de surveiller et de mettre des amendes et de contrôler tout ça.

[Aeris] Après on avance un peu plus dans le temps, la France applique ce texte de loi. En 95, il y a une directive européenne qui est créée, qui s'appelle la directive 95, qui se sont dit que la loi française n'est pas mal.

[Aeris] On l'aime bien, on n'a pas de texte européen sur le sujet, donc en fait on va partir de la loi 78.

[Aeris] française, on va écrire un texte qui du coup va être appliqué dans toute l'Europe.

[Aeris] et qui...

[Aeris] recopie plus ou moins ce que la France avait mis en œuvre dès 1978.

[Benjamin] Mais ça c'est pas le RGPD.

[Aeris] C'est pas le RGPD, c'est une directive du coup. C'est pas un règlement. La différence entre une directive et un règlement, c'est que la directive, il faut que chaque pays de l'Union Européenne aille faire une loi nationale pour la mettre en application. Il faut ce qu'on appelle une transposition. Donc les directives 95 sont des lois différentes et ils doivent transposer la directive.

[Aeris] Et en 2016, du coup, un nouveau texte apparaît, le RGPD.

[Aeris] qui est aussi issu de la directive de 95, qui est quasiment un copier collé à l'identique de la loi de 95.

[Aeris] Vous pouvez jouer au jeu des 7 différences. Vous prenez le texte de la directive 95 et celle du RGPD. C'est quasiment du mot près.

[Benjamin] Mais la différence, c'est que cette fois, ça s'applique de manière égale et automatique à tous les États d'une européenne.

[Aeris] C'est ça, automatique. C'est automatique. C'est ça, sans transposition, puisque c'est un règlement, donc il n'y a pas besoin de transposition, et donc n'importe quel citoyen peut revendiquer le RGPD, même si son pays n'a pas modifié sa loi ou faite transposition, il peut dire, à demander à appliquer le RGPD dans son pays.

[Benjamin] D'accord, ce qui est pas mal parce que finalement, parce qu'aujourd'hui, on parle, ça s'applique énormément sur Internet.

[Benjamin] Même si à l'origine on comprend que c'était pas forcément ça. Mais internet a pas vraiment de frontières ou en tout cas un site est accessible assez facilement d'un pays à l'autre et en particulier dans l'Union Européenne.

[Benjamin] Donc avoir un règlement qui s'applique de la même manière dans tous les états membres, finalement c'était assez pertinent.

[Aeris] Ah bah oui, forcément ça simplifie beaucoup, même pour un... Par exemple, un citoyen belge ou espagnol qui aurait ses droits violés par une société française, c'était mieux d'avoir les mêmes législations qui s'appliquaient dans tous les Etats, plutôt que d'avoir des disparités entre Etats.

[Benjamin] Et puis ça facilite un peu le boulot des juristes, parce qu'il n'y a qu'un seul règlement à suivre et c'est le même partout.

[Aeris] Et donc du coup, il y a aussi la création un peu comme la loi 78 avvait fondée la CNIL, le RGPD fonde le CEPD, donc le comité européen de la protection des données, qui est chargée de donner des lignes directrices, de dire comment va se lire la loi dans tel ou tel cas.

[Aeris] et donc d'encadrer l'application du RGPD en général dans toute l'Europe.

[Benjamin] Mais pour le coup, il y a quand même dans chaque état un organisme chargé de faire appliquer le RGPD.

[Aeris] Oui, alors il y en a un ou plusieurs, parce que ce n'est pas forcément unique. Par exemple, en Allemagne, il y en a un par région. En France, on a la CNIL, du coup, qui a été nommé ce qu'on appelle les APD, les Autorités de Protection des Données.

[Aeris] qui sont chargés par le RGPD d'appliquer le RGPD dans chacun des états membres.

[Benjamin] Ok, on entend surtout parler de la CNIL en France, mais également en Espagne.

[Aeris] L'Espagne en fait, il y a une autorité de protection qui est très efficace, donc l'AEPD. On entend aussi pas mal parler de la Belgique parce qu'au début il y avait quelques conflits d'intérêts là-bas et donc du coup elle avait été un peu démissionnée de force pour être reconstruite. Il y avait la DPC en Irlande qui a été très connue parce que c'est elle qui hébergait tous les gros GAFAMs, donc Google, Amazon, Microsoft, etc., qui était domiciliés en Irlande pour des raisons fiscales et législatives. Mais la DPC faisait pas grand chose contre ces gros mammouths

[Aeris] et donc du coup, ça fait pareil, elle s'est fait un peu taper dessus par le CEPD et les autres APD.

[Aeris] qui ont dit « Fais un peu ton boulot, parce qu'on en a marre ».

[Aeris] Et donc voilà, il y a quelques APD comme ça qui sortent du lot qu'on entend souvent parler dans la presse.

[Benjamin] Ok, mais alors pour résumer, on a la Commission européenne des droits de l'homme qui... Non, pardon, la convention...

[Aeris] la convention européenne des droits de l'homme.

[Benjamin] qui dès 1950

[Aeris] Oui

[Benjamin] met en place, c'était quoi ? Une loi, une directive ?

[Aeris] En fait, c'est un peu le problème de la CEDH, c'est que c'est ni une loi ni une directive, c'est juste à établir des principes fondamentaux de liberté individuelle.

[Benjamin] Parce qu'à l'époque on n'avait pas du Nouveau-Europe, on avait la CECA déjà ?

[Aeris] C'était le Conseil de l'Europe et une EU qui sont arrivées au tout début.

[Benjamin] C'était au tout début très embryonnaire. En France, en 1978, on a la loi informatique et liberté. En 1995, une transposition européenne...

[Benjamin] qui au final va être reprise en 2016 sous le nom de RGPD.

[Aeris] Règlement Général sur la Protection des Données.

[Benjamin] et qui est...

[Benjamin] appliqué entre 2016 et 2018, qu'est-ce qui se passe ?

[Aeris] En fait entre 2016 et 2018, la grosse différence c'est que les sanctions sont pas appliquées. En fait le texte rentre en vigueur en 2016 mais en application en 2018.

[Benjamin] D'accord, c'est comme la limitation 50 sur le périph'…

[Aeris] C'est ça, ça y a une période où vous avez le temps de vous adapter et en gros on va déclencher les sanctions que dosant après le temps de vous mettre en conformité.

[Benjamin] Ok, mais donc au final, qu'est-ce que change le RGPD ?

[Benjamin] par rapport à la loi de 78.

[Aeris] Alors en France, rien du tout. La seule chose qui change en vrai, c'est les sanctions. On passe de 3 000€ maximum à 20 millions minimum. Ce qui fait un gros gros écart. Et c'est à peu près en France la seuel chose qui change.

[Benjamin] Je pense que tous, on est nombreux à avoir vécu le mois de mai 2018 comme...

[Benjamin] une espèce d'apocalypse et de fin du monde et de qu'est ce qu'on va bien pouvoir faire maintenant alors qu'en fait c'est juste qu'on savait pas que c'était déjà le cas ?

[Aeris] Bah en fait c'est ça, je pense qu'on en parlera dans pas mal d'épisodes mais le RGPD est malheureusement très très mal appliqué et que ce soit en France ou en Europe.

[Aeris] En France, c'est d'autant plus dommage que du coup ça fait 45 ans qu'on est supposé être conforme au RGPD ou pas le moins. Et en fait les entreprises se sont réveillées en 2018 justement à cause des sanctions. C'est quand vous risquez 20 millions d'euros minimum parce que c'est 20 millions ou 4% du chiffre d'affaires et le maximum étant retenu.

[Aeris] Donc du coup, n'importe quelle entreprise s'expose à 20 millions d'euros d'amende.

[Aeris] Forcément qu'ils étaient un peu...

[Benjamin] Alors ils étaient un peu chafouins, moi je m'inclus dans le “ils”, moi le premier, quand ce truc là il est arrivé en 2018, j'ai un peu tiré la tête en disant “Non mais c'est pas possible”

[Benjamin] “On n'a pas le temps.” En fait, j'avais juste plus de 40 ans de retard.

[Aeris] C'est ça, en 2016, les gens avaient au moins 40 ans de retard.

[Benjamin] Et maintenant 50, c'est pas.

[Aeris] Et oui, pas loin de 50, on doit être... Non, c'est les 40-50 de la CNIL l'année dernière donc non, on doit être encore à 45, pas loin.

[Benjamin] Mais alors, le RGPD, on va entrer dans le vif du sujet, en fait c'est quoi ? Quelles impacts ? Ça veut dire quoi ?

[Benjamin] Il y a quoi dedans ? Est-ce qu'il faut le lire, le connaître par cœur ? Est-ce que tous les articles ont le même niveau d'importance ? Ou est-ce que ça peut se résumer ?

[Aeris] Alors ça se résume très bien, les entreprises vont vous dire que non, mais si si, ça se résume très très bien. C'est 99 articles en tout, c'est un texte qui est relativement lisible pour le coup en texte juridique, c'est un des plus clairs que je pense que j'ai pu lire.

[Aeris] sur la partie qui vous concerne, enfin, qui concerne les entreprises en général.

[Aeris] C'est une dizaine de pages à lire, c'est vraiment pas très gros.

[Benjamin] 99 articles en 10 pages.

[Aeris] Non, il y a plein d'articles après en fait, ça va être globalement des 50 premiers articles qui vont nous intéresser. Après, ça va être justement les rôles des autorités de protection des données, les législateurs et tout ça, donc ça concerne pas les individus ou les entreprises, c'est plus du législatif. Mais les articles vraiment importants, c'est les articles 1 à 50.

[Aeris] et globalement, c'est pas mal mais c'est très lisible et ça va assez vite à lire en fait. Et les deux vrais articles principaux c'est surtout l'article 5 et l'article 6 et de toute façon si on résume le RGP d'une manière très simple.

[Aeris] c'est « Je ne jouais pas les connards ». C'est en gros à partir du moment où vous ne seriez pas capable d'expliquer la vérité à vos utilisateurs, c'est que vous avez un problème avec le RGP. En gros, on pourrait résumer comme ça.

[Aeris] Si vous n'avez pas de problème à dire ce que vous faites, pourquoi vous le faites, comment vous le faites, généralement vous êtes conforme à RGPD.

[Aeris] Si vous commencez à sentir que vous devez mentir à vos utilisateurs ou que si vous vous dites la vérité, il ne va pas être très content.

[Aeris] Généralement, vous ne le allez pas l'être.

[Benjamin] Je sais pas si je partage cette...

[Benjamin] cette interprétation parce qu'il y a quand même énormément de gens qui ont des systèmes informatiques et...

[Benjamin] qui utilisent des outils qu'on leur a conseillés ou qu'ils utilisent depuis tellement longtemps qu'ils ne se rendent pas forcément compte.

[Benjamin] que ils sont un peu limite voire du mauvais côté de la limite avec le RGPD et...

[Benjamin] Je pense que de...

[Benjamin] très honnêtement, si on leur demande est-ce que tout ce que vous faites c'est bien et vous êtes capable de l'expliquer, ils vont vous dire bah oui moi...

[Benjamin] Et là-dessus, je voudrais juste, parce que tu as cité deux numéros d'articles, parce qu'aujourd'hui quand on parle de RGPD, ce à quoi tout le monde pense, c'est les bandos, les bannières qu'on voit sur les sites internet.

[Benjamin] Donc déjà, c'est une toute petite partie de ce qu'est le monde numérique aujourd'hui. On parle juste des sites internet et ce bandeau qui dit, bon, il y a des cookies, est-ce que vous êtes d'accord ? Est-ce qu'on peut partager vos données avec 666 partenaires ? Le respect de votre vie privée est notre priorité.

[Benjamin] Mais au final, je pense que personne comprend des raisons sous-jacentes à ces bandes-d'olà. Et pourquoi est-ce qu'on en est arrivé là aujourd'hui ?

[Benjamin] Et souvent on a l'impression...

[Benjamin] C'est un peu le chat noir, mais c'est la raison de ce truc-là et que avant c'était bien mieux parce qu'on nous enquiquinait pas à nous faire cliquer sur des bannières partout. Mais derrière, c'est quoi les raisons ? Et au-delà de dire, si vous n'êtes pas un connard, c'est bon, vous n'avez rien à craindre.

[Aeris] C'est là où pour les cookies c'est un peu la partie simple et en même temps compliquée. On parlera des cookies. Oui.

[Benjamin] On reparlera des cookies plus en détail une autre fois, mais je voulais juste pas .

[Aeris] Oui, sur la partie justement article, etc. C'est là où, pour justement comprendre les cookies, le problème des cookies, et non de manière plus générale, vraiment les problématiques du RGPD, c'est les articles 5 et 6, du coup il faut bien comprendre sur ce que c'est.

[Aeris] Ils sont pas compliqués mais justement les entreprises etc jouent vraiment beaucoup de mauvaises fois. En gros l'article 5, l'article 5 dit...

[Aeris] Quand est-ce qu'un traitement va être licite ? Quand est-ce que vous avez le droit de mettre en place un traitement ? Et c'est un peu ça, le fondement derrière, c'est vous devez être capable de dire la vérité à vos utilisateurs. Il y a la notion de licite loyale.

[Benjamin] J'ai rien compris.

[Aeris] Oui, non, mais justement, en fait, il y a la notion de ce qui dit dans l'intérieur, c'est de licite, loyale et transparent. C'est-à-dire que quand vous allez faire quelque chose avec des données d'un utilisateur,

[Aeris] vous devez pouvoir lui expliquer de manière transparente.

[Aeris] Pourquoi vous le faites ? Qu'est-ce que vous en faites ?

[Aeris] qu'est-ce que vous voulez faire exactement ? Ça va être, je veux suivre tes visites sur le site internet, je veux pouvoir t'envoyer un colis, je veux pouvoir, voilà, chaque chose, je vais pouvoir faire de la fraude, par exemple, de l'antifraude quand je suis une banque.

[Aeris] On doit dire la vérité en fait, on doit expliquer à l'utilisateur clairement qu'est ce qu'on veut en faire. Et surtout qu'est ce qu'on veut en faire et pour une finalité qui est dans le texte déterminé, explicite et légitime.

[Aeris] C'est à dire on peut pas avoir des trucs oui mais je vais collecter les données parce que peut-être que j'en ferai un truc un jour ou bon oui de temps en temps j'en ai besoin peut-être que non ça doit être vraiment précisé

[Aeris] de manière très précise et déterminée à l'avance pas des choses potentiellement un jour dans le futur.

[Benjamin] Donc c'est-à-dire que tout ce que je fais, je dois être capable de dire pourquoi je le fais.

[Benjamin] et dans quel cadre et jusqu'à quel contexte.

[Aeris] C'est ça, il faut vraiment que l'utilisateur soit conscient de ce qui se passe. Il ne faut pas qu'on joue sur les mots, qu'on lui laisse des doutes.

[Aeris] qui ne puisse pas avoir d'idées fondamentales de ce qui va se faire derrière. Ce sont les fameux beaux, pour rebondir un peu sur les bandes de cookies, ce sont les fameux pour des stats d'audience.

[Aeris] quel stade d'audience pourquoi comment, qu'est-ce qu'il se stocke exactement, on ne sait jamais en fait.

[Aeris] Et du coup on sait jamais ce qu'ils ont fait. Et du coup le problème il est là c'est que les choses sont trop vagues ou pas assez claires. Et du coup c'est pas considéré comme un traitement transparent et déterminé.

[Benjamin] Donc l'article 5, c'est 3 choses.

[Aeris] C'est essentiellement ça, c'est l'incéité, loya, les transparences.

[Aeris] avec des finalités bien précises et après il y a tout ce qui va être autour vous gardez pas les données à l'infini, vous mettez une durée de rétention vous dites je les garde 5 mois, 1 an, 3 ans mais vous devez justifier pourquoi.

[Aeris] Et vous devez bien sûr les sécuriser. Vous ne les mettez pas n'importe où, vous les stockez bien à l'abri, si les données sont sensibles, vous faites attention à vos données. En gros, c'est des principes qui sont banales, en fait, que tout le monde devrait appliquer et c'est juste bas.

[Aeris] Vous faites ce qu'il faut pour bien préciser que l'utilisateur comprenne ce qui se passe. Pourquoi vous le faites ? Comment vous le faites ? Qu'est-ce que vous mettez en œuvre sur de sécurité ?

[Aeris] Et c'est des concepts qui sont juste, enfin, bon père de famille, entre guillemets.

[Aeris] Mais que la plupart des... Ou bonnes mères de famille. Mais voilà, l'article 5 c'est vraiment ça, c'est un peu le... Soyez pas un connard quoi. C'est juste ça.

[Aeris] Et du coup après il y a l'article 6 qui est le...

[Aeris] problématique on va dire pour justement tous les bastons sur le rgpd les les cookies etc...

[Aeris] c'est qu'il faut ce qu'ils appellent une base légale

[Aeris] Donc il y en a 6 de définit par le RGPD, il y a le consentement, le nécessaire à l'exécution d'un contrat, l'obligation légale.

[Aeris] la sauvegarde des intérêts vitaux, la mission d'intérêt public et l'intérêt légitime.

[Benjamin] Alors, juste, donc si je comprends bien, l'article 5...

[Benjamin] il dit qu'est-ce que j'ai le droit de faire ?

[Benjamin] Et l'article 6, il dit pourquoi.

[Aeris] C'est ça. Dans quel contexte vous êtes légal, on va pouvoir le faire.

[Aeris] Du coup, généralement sur ces 6 bases légales, il y en a 3 qu'on va rencontrer très souvent. C'est le nécessaire à l'exécution d'un contrat, le consentement et l'intérêt légitime.

[Aeris] Et toute la baston autour du RGPD est justement entre ces trois critères-là que les entreprises vont avoir tendance à tout mettre dans le nécessaire au contrat parce que c'est lui qui permet de ne pas avoir à demander son avis à l'utilisateur puisque à partir du monde c'est nécessaire en contrat, c'est nécessaire donc vous n'avez pas votre mot à dire.

[Aeris] l'entreprise

[Aeris] Il y en a besoin pour rendre le service. Par exemple, si vous commandez une pizza en livraison, que vous ne donnez pas votre adresse postale, on ne peut pas vous livrer.

[Benjamin] Donc ça veut dire qu'on n'a pas demandé mon consentement pour recevoir mon adresse, pour collecter l'adresse si je veux me faire livrer, parce que si je ne la donne pas, eh bien on ne va pas pouvoir me livrer et le contrainte ne pourra pas être exécuté.

[Aeris] C'est ça.

[Benjamin] Oui, ça paraît logique.

[Aeris] C'est logique, voilà. Mais du coup, il y avait beaucoup d'entreprises qui se mettaient à...

[Aeris] qui abusait de ça, parce que bon, livrer une pizza, ça va, c'est simple, on voit bien qu'il y en a besoin. Il y a beaucoup d'entreprises qui ont commencé à dire oui mais j'ai besoin de faire de l'argent. Donc en fait de la publicité en ligne, et bien du coup j'ai besoin d'avoir de la publicité en ligne.

[Benjamin] Oui parce que si j'ai pas de fume, je gagne pas d'argent et du coup je peux pas rendre le service.

[Aeris] Si je n'ai pas pu, je peux parindre le service. Et c'est là que... Il est nécessaire à l'exécution du contrat. Voilà. Sauf que le CEPD, justement, le comité européen de la protection des données, a dit « bah non, en fait, c'est pas vrai. À votre service, c'est livrer la pizza, c'est pas faire de la publicité. Vous devriez pouvoir faire du commerce sans mettre de la publicité en ligne ».

[Benjamin] Alors ouais, je comprends que mettre de la pub pour livrer des pizzas, c'est moyen, mais...

[Benjamin] si je suis un journal en ligne.

[Aeris] Bah voilà, le journal online, ils ont dit, ça fait pas partie du service de base, en fait. Vous vous vendez un journal online, vous ne vous vendez pas de la publicité.

[Benjamin] Oui mais si mon business model c'est la pub et que je vends pas d'abonnement payant.

[Aeris] Oui, c'est là justement que toutes les entreprises ont commencé à jouer là-dessus en disant que c'était nécessaire au service. Du coup, on n'avait pas besoin de demander le consentement.

[Aeris] Enfin le consentement ou la vie en tout cas de l'utilisateur.

[Benjamin] Mais alors on en est où aujourd'hui là-dessus ?

[Aeris] Justement, ça a été retoqué. Tout ce qui relève du business model, ça ne peut pas rentrer dans le nécessaire au contrat. Ça doit être strictement nécessaire au contrat. Une presse en ligne, c'est accéder au journal de presse, se faire livrer une pizza, et tout les choses un peu annexes, du coup, les entreprises commencent à le mettre dans l'intérêt légitime.

[Benjamin] Donc c'est une deuxième base légale.

[Aeris] C'est une deuxième base légale qui est l'intérêt légitime. Pour avoir un intérêt légitime valide, il faut trois conditions, il faut déjà que ce soit légitime.

[Aeris] à l'intérieur légitime, légitime, puisque là souvent ça ne pose pas trop de problèmes.

[Benjamin] Ça m'éclaire pas beaucoup, là.

[Aeris] Mais par contre après...

[Aeris] Il faut surtout que ce soit nécessaire, donc il ne faut pas que vous puissiez fournir le service sans avoir ce traitement-là. Là déjà, c'était un peu plus compliqué parce que justement les entreprises ont commencé à mettre beaucoup, beaucoup de choses derrière ça.

[Aeris] et surtout il faut que ce soit proportionné. C'est à dire que vous devez avoir un compromis à faire entre l'intrusion sur les droits de l'utilisateur.

[Aeris] Je veux suivre l'utilisateur, par exemple pour lui remettre de la pub dedans, connaître ses sons d'intérêt etc.

[Aeris] et l'intrusion sur sa vie privée.

[Aeris] Il faut qu'il y ait une balance entre les deux, il ne faut pas que vous soyez trop intrusifs.

[Benjamin] Alors quelle différence entre l'intérêt légitime et nécessaire au contrat ?

[Aeris] C'est là justement, ce n'est pas très clair encore aujourd'hui, il y a beaucoup de batailles juridiques sur le sujet, et c'est là-dessus que sont les gros points d'achopement sur tout ce qui est juridique et les contestations des entreprises, puisque les entreprises veulent...

[Aeris] tout mettre dans nécessaire au contrat, les APD viennent dire bah non ce sera de l'intérêt légitime voire du consentement et c'est là dessus qu'il y a une énorme baston judiciaire en permanence mais que globalement les lignes directrices sont assez claires du CEPD sur le sujet et en tout cas il y a très peu de choses qui se relèvent en frais du véritable intérêt légitime.

[Benjamin] et alors donc la troisième base légale

[Aeris] C'est le consentement, qui est celui que la plupart des gens connaissent, c'est...

[Aeris] Quand ça ne rentre pas dans les autres cases, c'est parce que soit c'est pas nécessaire au contrat, soit c'est trop intrusif sur du privé par rapport à l'intérêt légitime que l'entreprise peut retirer. Et donc du coup, on doit demander votre avis.

[Aeris] et vous devez donner votre avis de manière éclairée, spécifique, transparente, etc.

[Aeris] pour dire je suis d'accord et je consens à ce que le traitement des données soit fait.

[Benjamin] En gros pour résumer, ces trois bases légales qui sont les trois plus couramment utilisées ou qu'on rencontre le plus souvent, il y a nécessaire au contrat, ça veut dire qu'on ne me demande même pas mon avis, je ne sais même pas ce qui se... Parce que sinon ça n'a pas de sens en fait.

[Aeris] C'est ça, vous avez signé le contrat donc de toute façon vous êtes d'accord, vous avez votre accord en fait pour...

[Benjamin] C'est un peu ce qu'on appelle quand on parle de cookie, de cookie technique.

[Aeris] Oui, ce sera l'équivalent des cookies techniques sur les cookies...

[Benjamin] J'ai une session parce que je me suis connecté, forcément, si j'ai pas de cookies, je ne vais pas pouvoir me connecter.

[Aeris] C'est ça. Si vous abonnez au monde, par exemple, ou à n'importe quelle journal online, il y a pas de coups-quits pour vous connecter, on peut pas vous donner les articles de journaux. Donc forcément, là, on va pas vous demander votre avis.

[Benjamin] Ok, donc ensuite il y a l'intérêt légitime, donc l'intérêt légitime là on va me demander mon avis.

[Aeris] C'est ça, on va vous demander... Alors, c'est là où c'est un... On va vous demander votre avis, mais on le cochons par défaut. C'est-à-dire qu'on est dans l'optout.

[Aeris] C'est à dire que par défaut si vous ne faites rien, le traitement va vraiment avoir lieu et on vous dit juste on traite ça

[Aeris] c'est pas obligatoire donc si vous voulez les désactiver on peut les désactiver et vous pouvez refuser, me poser, c'est ça

[Benjamin] D'accord, donc je peux me poser à l'intérêt légitime.

[Aeris] Il y a une obligation d'opposition, donc on est obligé de vous demander votre avis. Et il y a le consentement où là c'est l'inverse. Par défaut, ce ne sera pas actif si vous n'avez pas coché la case.

[Aeris] et du coup vous pouvez décider de ne pas coucher la case.

[Benjamin] Ok, donc dans ces trois bases légales, nécessaire au contrat, on ne me demande pas mon avis, c'est forcément coché puisqu'il n'y a même pas de cas à cocher.

[Aeris] C'est ça.

[Benjamin] intérêt légitime, il y a une case à cocher mais elle est cochée par défaut.

[Aeris] C'est ça.

[Benjamin] et consentement, il y a une case à coucher mais elle est décochée par défaut et il faut que je soit d'accord pour partager mes données.

[Benjamin] pour qu'elle soit effectivement partagée.

[Aeris] C'est exactement ça.

[Benjamin] Et dans la pratique, est-ce que tu peux nous donner des exemples sur ces trois, revenir un peu pour maintenant qu'on a vu les trois avoir une idée des trois-quatre figures ?

[Aeris] Si on reprend l'exemple du livraison de pizza, vous allez sur le site du livraison de pizza, vous allez avoir...

[Aeris] vous voulez vous faire livrer, donc la collègue de l'adresse postale, c'est nécessaire au contrat. Vous allez avoir un de l'Antifraude par exemple pour votre carte bleue ou éviter les robots, des choses comme ça, c'est de l'intérêt légitime.

[Aeris] Donc vous pouvez vous y opposer mais dans ce cas l'entreprise peut dire dans ce cas je te laisse pas l'accès au service ou je vais demander les prix. Vous refusiez l'accès au service si je refuse l'intérêt ? C'est ça oui oui oui.

[Benjamin] On peut me refuser l'accès aux services si je refuse l'intérêt légitime.

[Aeris] Après ça va dépendre justement des cas d'usage mais potentiellement on peut dire ou ça va être plus cher ou ta carte bleue je vais pas l'accepter donc du coup ça peut avoir un service un peu plus dégradé et puis il va y avoir le consentement ça va être les publicités en ligne parce que je veux pouvoir vous cibler sur le pour me rémunérer un peu avec votre visite et du coup essayer d'avoir vos sens de intérêt etc. et ça ça va être du régime du consentement.

[Benjamin] Ok, si j'ai la mesure d'audience par exemple, ça rentre où ?

[Aeris] Et c'est là où justement c'est en termes de juridique, aujourd'hui il y a pareil une grande bataille sur le sujet. À mon sens ça devrait relever du consentement, parce que c'est pas nécessaire aux entreprises ou des trop intrusifs en tout cas sur les droits des utilisateurs. En particulier s'ils s'en utilisent des services comme Google Analytics ou autre.

[Benjamin] parce que tu l'as évoqué tout à l'heure, il y a une notion de proportionnalité.

[Aeris] C'est ça, proportionnalité, si vous faites votre mesure d'audience chez vous, avec du Matomo par exemple, qui est hébergé chez vous, vous allez pouvoir être potentiellement plus intrusif, entre guillemets, sur les droits des utilisateurs, par rapport à la foute de base du Google Analytics qui va tout tracer dans tous les coins et avec beaucoup trop de données à sortir. Donc du coup, un Google Analytics va plutôt être dans le consentement, alors qu'un Matomo en auto-hébergement, par exemple, va plutôt être dans de l'intérêt légitime.

[Benjamin] Ok. Et si j'ai un Plausible ?

[Aeris] Plausible, c'est comme du Matomo, ça va être de l'intérieur légitime, et en fait moins vous serez intrusif, plus vous pourrez aller loin dans votre système d'audience, c'est moins vous aurez à demander la vie à l'utilisateur.

[Aeris] C'est vraiment un compromis à faire en fait entre l'intérêt légitime et le consentement.

[Benjamin] OK, donc Matomo, Plausible pour ceux qui ne connaissent pas, c'est des plateformes de mesures d'audience open source. On mettra tous les liens dans les show notes de cet épisode.

[Aeris] Et en vrai, la grosse baston aujourd'hui c'est justement là-dessus, les entreprises ont envie d'aller où plus vite.

[Aeris] ou avec des réflexions de l'ancien monde en disant qu'on veut absolument des statistiques d'audience en recroisant tout de A à Z, en ayant le temps capable de tout suivre, mettre de la publicité dans tous les coins et se sont un peu embêtés parce que ce retrouve va devoir demander du consentement qu'ils ne veulent pas parce qu'ils disent consentement à peu près 80-90% de refus de la part des utilisateurs.

[Aeris] surtout quand on le réexplique correctement, ce qui va être fait derrière. C'est ça, il doit être éclairé. Et forcément, si je vous mets face à une bande de consentement, par exemple, pour utiliser Google Analytics, où je vais vous demander de valider les CGV de Google, qui font 400 pages, bah en fait, vous allez dire non en fait, surtout quand vous n'avez pas d'intérêt à dire oui.

[Aeris] et c'est là où tous les entreprises cherchent à biaiser le consentement, soit à pas vous expliquer exactement ce qu'est fait, ou à tout mettre sur de l'intérêt légitime, etc. pour pas avoir à vous demander votre consentement.

[Benjamin] Oui, alors toutes les entreprises, non, pas toutes.

[Aeris] Une grosse partie des entreprises qui se courent du courant, mais il y en a qui essaient de faire bien les choses, mais c'est quand même compliqué.

[Benjamin] Et puis encore une fois, je vais pas me faire un avocat du diable, mais il y a aussi beaucoup de gens qui utilisent Google Analytics sans...

[Benjamin] sans avoir conscience des impacts que ça a en termes de données personnelles et de partage de données aussi.

[Aeris] Oui, ça c'est un autre gros problème qu'on a en France même depuis 78 du coup, c'est le contrôle des données, aujourd'hui les gens...

[Aeris] intégrer tout et n'importe quoi en particulier en informatique.

[Aeris] Ils vont sur n'importe quel service ou ce qu'on appelle du SaaS, donc System as a Service…

[Aeris] C'est ce qu'on appelle du SaaS, du software as a service. C'est des logiciels qui sont fournis clés en main par des éditeurs, qui hébergent eux-mêmes.

[Aeris] et du coup les gens cliquent trois boutons, créent un compte, intègrent ça dans leur logiciel à eux.

[Aeris] Et bah ça littéralement dégueule votre vie privée à des centaines de milliers de... En différence, la vie privée de mes utilisateurs. Des utilisateurs, c'est ça. Et vous allez sur un site internet en fait standard, développé, très rapidement, pas cher.

[Aeris] vous allez avoir des trackers dans tous les coins parce qu'ils ont utilisé des briques déjà existantes.

[Aeris] et sans contrôler en fait ce qu'ils embarquaient.

[Benjamin] Mais ça, je pense que ça, très souvent, c'est fait de l'erreur et faite de bonne fois. Alors Google Analytics, on se doute bien que c'est fait pour collecter de la donnée.

[Benjamin] et qu'on commence tout à être sensibilisés,

[Benjamin] mais juste à côté il y a Google Font par exemple. Google Font on sait ce qu'il fait ?

[Aeris] Bah justement Google Font on sait pas trop ce qu'il fait…

[Benjamin] Google font pour ceux qui ne connaissent pas, c'est un site qui permet d'avoir sur son site

[Benjamin] toute une collection de fontes, c'est gratuit, et ça permet d'avoir des super fontes très jolies, il y en a plein et c'est gratuit.

[Aeris] C'est ça, mais le problème en fait c'est que justement ça ne valide pas les conditions du RGPD au sens nécessaire et proportionné.

[Aeris] Aujourd'hui héberger une fonte sur un site internet, ça coûte rien.

[Aeris] C'est un petit fichier qui fait quelques kilo octets, vous mettez sur votre serveur que n'importe qui peut héberger,

[Aeris] et du coup, la nécessité et la proportionnalité, elles n'existent pas si vous utilisez Google Font.

[Benjamin] C'est à dire que si je veux une fonte jolie sur mon site, j'ai moyen de le faire sans avoir recours à Google Font.

[Aeris] C'est ça, vous pouvez faire sans Google Font, ça ne vous coûte rien.

[Aeris] N'importe qui peut l'héberger très facilement, n'importe quel serveur, même sur une Raspberry Pi, n'importe quoi peut l'héberger, donc il n'y a aucune raison de passer par Google.

[Benjamin] Et si je le fais en revanche, ça veut dire que je vais...

[Benjamin] partager avec Google, via Google Font, des informations sur mes utilisateurs.

[Aeris] Et en plus, vous ne savez pas du tout ce qu'ils en font. C'est-à-dire que si vous utilisez Google Font, vous imposez à vos utilisateurs de valider les conditions générales d'utilisation de Google, qui font 400 pages,

[Aeris] que vous n'avez aucun moyen de savoir ce qu'ils font réellement des données derrière. Donc vous n'avez aucun contrôle sur votre sous-traitant, en fait.

[Aeris] C'est pour ça que ça viole le RGPD aussi, c'est que vous avez un défaut de contrôle de la sous-traitance. Vous utilisez quelqu'un sans savoir ce qu'il fait.

[Benjamin] Mais alors si je veux utiliser le service Google Font sur mon site en respectant le RGPD, qu'est-ce que je dois faire ?

[Aeris] Bah vous téléchargez la police de caractère et vous l'ébergez sur votre serveur vous-mains.

[Benjamin] Non, non, non. Ça c'est une solution de contournement. Si je veux utiliser, parce que je trouve que le service de Google Font, il est vraiment top, et je veux l'utiliser, je veux le mettre en place sur mon site, mais je veux être d'équerre.

[Aeris] En théorie, c'est là où je reviens à aller berger sur votre serveur, parce que vous allez devoir demander le consentement.

[Aeris] Et donc du coup si votre utilisateur refuse les polices de caractère, bah va bien, il va falloir lui proposer une alternative, c'est à dire héberger d'autres façons les polices de caractère sur votre serveur.

[Benjamin] Si j'ai bien compris, ça veut dire que dans ce cas-là, je vais devoir demander à mes utilisateurs le consentement de partager leur données avec Google Fonts et en particulier les 400 pages de CGU et de CGV de Google.

[Benjamin] et que s'il ne veut pas, je lui affiche en Times New Roman.

[Aeris] Oui c'est ça mais du coup en finale autant...

[Aeris] quitte à avoir 80% de refus.

[Benjamin] Si en tant qu'utilisateur, j'ai refusé, j'en assume les conséquences.

[Aeris] Oui mais c'est là où ça devient compliqué parce que...

[Benjamin] Mais donc c'est pas impossible d'utiliser Google Font et de respecter le RGPD. Les deux sont pas incompatibles.

[Aeris] En soi, les deux sont pas incompatibles mais quelqu'un qui va réellement se mettre en conformité pour utiliser Google Font ne se remettra pas en conformité pour utiliser Google Font, c'est à dire qu'il n'y a aucun intérêt.

[Benjamin] Là tu fais un procès d'intention.

[Aeris] C'est pas un procès d'intention, c'est plutôt que de se compliquer, à mettre une baignière de cookie, à demander le consentement, à refaiter le consentement, à avoir un site tout moche, à vous prener les deux kilos au tête de la police de caractère, vous le mettez sur votre serveur et c'est réglé.

[Benjamin] Alors ça on est d'accord, il y a des manières techniques pour faire les choses bien tout en respectant le RGPD.

[Benjamin] Ma question est un peu rhétorique, mais l'idée c'est de voir dans quelle mesure le RGPD m'empêche de faire ce que j'ai envie de faire, parce que peut-être que moi héberger une fonte de 2ko sur mon site, c'est insurmontable parce que j'ai pas envie et que j'ai envie d'utiliser le service de Google Font et j'ai envie de respecter le RGPD.

[Benjamin] la réglementation en vigueur en tout cas.

[Benjamin] mais donc c'est possible.

[Benjamin] Mais c'est compliqué.

[Aeris] C'est même pas que c'est compliqué, c'est que la solution de pas l'utiliser est plus simple. C'est surtout là le... C'est ça.

[Benjamin] Oui, oui, oui, je comprends ce que tu veux dire. Mais je prends des Google Fonts parce que c'est un cas qui est assez typique.

[Benjamin] et qui est très classique, en fait, c'est qu'on rencontre bienfois et bien sûr...

[Benjamin] Je pense que si on faisait une étude sur le nombre de sites qui utilisent Google Font et qui respectent le RGPD, on aurait des surprises et pas forcément des bonnes.

[Aeris] Ah oui, donc c'est sûr que personne n'est conforme à une utilisant Google Font, c'est une certitude.

[Benjamin] Et derrière, les sanctions sont...

[Aeris] Entre la théorie et la pratique, en théorie effectivement, c'est 20 millions d'euros ou 4% du chiffre d'affaires mondial consolidé. Donc c'est le maximum à retenir. En vrai, c'est parce que vous allez prendre, parce que déjà c'est parce que vous risquez, sauf si vous êtes une très grosse boîte avec beaucoup d'utilisateurs, etc.

[Aeris] Vous allez certainement au mieux avoir une amende de quelques milliers d'euros. Mais si vous êtes en France, je pense qu'on en fera tout un podcast aussi un jour ou l'autre, mais en France vous risquez à peu près rien du tout puisque la CNIL ne fait rien.

[Benjamin] Ça c'est toi qui le dis, mais on va inviter quelqu'un de la CNIL pour venir te tenir tête.

[Aeris] Voilà, je serais très preneur de venir discuter. Mais en gros, les sanctions en France sont très...

[Aeris] anecdotiques concernent essentiellement les gaffames et les entreprises aujourd'hui peuvent violer le RGPD sans avoir aucune conséquence derrière ce qui est un véritable problème.

[Benjamin] Alors ça dépend de l'APD du pays.

[Benjamin] Tous les pays sont pas logés à la même enseigne.

[Aeris] Ah non, pas du tout même. On a eu quelques APD qui étaient problématiques et qui se sont déjà faits sanctionnés, donc on a eu la DPC en Irlande qui ne faisait rien contre les GAFAMs. On avait l'APD Belge aussi qui avait des soupçons de conflits d'intérêt qui ont été démissionnés pour être refondés.

[Aeris] La CNIL, à mon sens, devrait être un peu près dans les mêmes thèmes que c'est de là. Il y a un peu de la CNIL parce qu'il vous veut venir... Oui mais je les accueillerai avec bienveillance. Il a dit qu'on était bienveillants. Et après, par exemple, il y a des APD qui fonctionnaient énormément en Allemagne. Alors ils ont un modèle un peu particulier parce qu'ils en ont une par l'Anders. Donc du coup, ils en ont tout de suite, ça fait plusieurs milliers de fonctionnaires et des centaines de millions d'euros de budget. Donc c'est un peu particulier.

[Aeris] En permanence, c'est pour à peu près tous les sujets. Il y a l'APD espagnole aussi, AEPD, qui est très très efficace.

[Benjamin] On en entend beaucoup parler.

[Benjamin] J'ai l'impression, dis-moi si je me trompe, qu'une grosse différence c'est qu'en France on va avoir tendance.

[Benjamin] à taper sur ce qui dépasse, c'est à dire les très gros, alors qu'en Espagne, tout le monde est un peu plus loge à la même enseigne, même les petits.

[Aeris] Ah oui, c'est ça, même tous les petits typiquement en Espagne, ils vont même jusqu'à taper sur les particuliers. Parce que oui, le RGPD s'applique aussi aux particuliers. Et du coup, ils tapent par exemple sur la vidéo sur surveillance. Des personnes qui vont installer des caméras ou des dash cam dans les voitures ou autres, du coup ils se prennent des amendes puisque c'est non conforme RGPD.

[Aeris] Et donc les amendes sont pas élevées, c'est 750 000 euros. Oui, ça peut commencer à taper. Il y en a eu aussi à 10 000 euros. Des personnes qui ont pris des vidéos dans la rue et qui les ont publiées sur Facebook, ils ont eu 10 000 euros d'amendes parce qu'il y avait des mineurs sur les photos ou des bastons de rue ou des choses comme ça. Du coup, c'était des données sensibles ou des données...

[Benjamin] Donc le RGPD nous protège aussi contre ça.

[Aeris] Oui, oui, oui, dans la théorie, et dans la pratique en Espagne, c'est ça. Et effectivement, les seuls cas qui, en tant que particulier où on est complètement exonéré du RGPD, c'est ce qu'ils appellent les usages strictement personnels et domestiques.

[Aeris] Donc c'est ce que vous feriez en tant que personne lambda, donc sans lien commercial, sans être dans un cadre de boulot ou quoi que ce soit. Donc par exemple si vous employez une nounou à domicile, vous rentrez dans le cadre du RGPD parce que ce n'est pas considéré comme une activité domestique et personnelle. Mais du coup voilà, vos photos de vacances par exemple ne sont pas couvertes par le RGPD, le vote carnet d'adresse n'est pas couvert par le RGPD, vous avez une exemption.

[Benjamin] Qu'est-ce que ça veut dire pas couvert ?

[Aeris] Ah c'est qu'en fait vous n'avez pas à appliquer le RGPD.

[Benjamin] D'accord, c'est-à-dire que si dans mon carnet d'adresse, je mets ton nom et ton numéro de téléphone.

[Aeris] Il n'est pas couvert par le RGPD puisque du coup vous n'avez pas demandé mon avis, vous n'avez pas de mesures de sécurité à prendre, vous n'avez pas de... voilà. Tu peux stocker ça sur n'importe quel serveur en ligne, y compris que chez Google, tu n'auras pas de conséquences derrière.

[Benjamin] Et alors, par exemple, moi, il se trouve que dans mon carnet d'adresse, j'ai ton numéro de téléphone.

[Benjamin] Mais j'ai pas ton nom, j'ai Aeris, donc ça va, c'est pas couvert, c'est pas personnel.

[Aeris] Ah, mais si, ça reste une donnée à caractère personnel. Les données à caractère personnel, c'est très très général. Donc un pseudo est une donnée personnelle, une couleur de vêtements est une donnée personnelle, une plaque mineralogique est une donnée personnelle.

[Benjamin] Comment définit une donnée à caractère personnel ? C'est le RGPD qui définit ça ?

[Aeris] Oui, alors à l'article 4, il y a toute une série de définitions, et en particulier de ce que c'est une donnée à caractère personnel, et en gros, pour faire simple, considérer qu'à peu près tout ce qui vous entoure est une donnée à caractère personnel.

[Aeris] puisqu'à partir du moment où on est capable de remonter à une personne et pas forcément de nommer, c'est-à-dire qu'il faut qu'on puisse isoler l'individu d'une population générale, ça va être une donnée à caractère personnel. Une ombre est une donnée à caractère personnel, une radiographie de la main est une donnée à caractère personnel. Une couleur de cheveux, un tatouage...

[Aeris] Tout ça, ça va être une donnée à caractère personnel, un numéro de matriculation, un numéro de client, une adresse IP aussi. Alors ça, pour le coup, il y a même des décisions de la Cour de justice de l'Union Européenne qui dit une adresse IP est une donnée à caractère personnel puisque votre FI peut vous identifier de toute façon. Mais une adresse IP, c'est issu derrière un proxy.

[Benjamin] Mais une adresse IP s'y suit derrière un proxy.

[Aeris] En théorie, votre fournisseur d'accès est supposé être capable de remonter à votre identité. Et si vous êtes derrière un proxy, on n'est pas pareil, le proxy est supposé collecter vos données.

[Benjamin] Un proxy, c'est un serveur mandataire qui vient masquer les gens qui sont derrière, s'il suit en entreprise et qu'il y a une adresse IP pour l'ensemble des 10 000 salariés de l'entreprise.

[Aeris] En théorie, l'entreprise est supposée garder un journal des connexions et dire qui était derrière tel poste à tel moment.

[Benjamin] D'accord, mais l'adresse IP unique pour les 10 000 personnes, est-ce que c'est vraiment une donnée à caractère personnel ?

[Aeris] Après, à chaque fois il faut de façon faire une analyse individuelle, enfin individuelle. Dans le cas, dans le cas du traitement, est-ce que ça, est-ce que c'est une DCP ou pas une DCP ?

[Aeris] Donc, DCP donner un caractère personnel.

[Aeris] et ça va dépendre aussi du service en face. Par exemple, si j'éberge un forum, par exemple, je vais avoir des adresses IP qui sont peut-être des entreprises, peut-être, enfin, certainement de particuliers. Donc du coup, ça va être des données à caractère personnel. Une adresse IP en particulier sera peut-être une machine ou une entreprise, mais je vais avoir très certainement des adresses IP qui viennent d'un téléphone mobile, qui viennent d'une...

[Aeris] d'une ligne fibre domestique et donc du coup ça va être des données à caractère personnel

[Benjamin] En gros, toutes façons, une adresse IP dans presque tous les cas de figure C, c'est une de nos caractères personnels.

[Benjamin] Mais il peut y avoir des cas où ça va se discuter.

[Aeris] Oui c'est ça, après tout de toute, tout est à étudier au cas par cas, il n'y a jamais de généralité. Si vous mettez un service en ligne mais qui est dédié uniquement à des machines, par exemple, un savoir de notification ou un savoir mail, vous n'allez pas avoir d'adresse IP dans vos logs. Vous allez avoir des adresses IP mais qui ne sont pas des adresses IP domestiques, qui ne sont pas supposées des adresses IP domestiques, donc vous dites que ce n'est pas des DCP et du coup le RGPD ne s'applique pas.

[Benjamin] D'accord. Et donc on en a parlé très brièvement, enfin très brièvement… On en reparlera plus tard, on en a parlé de cookies, parce qu'on voit que derrière les cookies, il y a la notion de données personnelles. Mais il n'y a pas que les cookies qui sont concernés par le RGPD.

[Aeris] Ah non, c'est à partir du moment où il y a une donnée à caractère personnelle, le RGPD va s'appliquer. Et donc du coup, la donnée à caractère personnelle, ça va être... On parle des cookies, mais par exemple du fingerprinting.

[Benjamin] Alors c'est quoi le fingerprinting ?

[Aeris] La fin de la printing c'est de faire un peu comme les cookies mais version sans vous déposer un cookie. C'est de regarder toutes les caractéristiques techniques de la connexion sur laquelle vous êtes à train d'établir. Ça va être la résolution de votre écran, la carte graphique que vous utilisez, votre time zone, votre langue, tout plein de détails comme ça et essayer d'en déduire un chiffre en fait, en en déduire un nombre qui représente votre identité.

[Aeris] Et donc si on revoit les mêmes caractéristiques un peu plus tard et on dit ah bah c'est la même personne, on obtient le même nombre et du coup ça identifie la même personne.

[Benjamin] D'accord. Donc si je résume – t'as vu comme je fais bien le Candide – le fingerprinting c'est sans utiliser de cookie.

[Benjamin] un moyen technique d'identifier de manière unique un utilisateur.

[Benjamin] C'est-à-dire que l'on va se baser donc non pas sur un cookie mais...

[Benjamin] sur peut-être une adresse IP, est-ce qu'il utilise Safari, Firefox ou Chrome ?

[Benjamin] Est-ce qu'il a un écran monochrome ou couleur ? Est-ce qu'il a un PC ou un Mac ? Et quand je mets tout ça bout à bout, statistiquement je sais que c'est sûr, si j'ai deux fois le même utilisateur, je suis sûr à 99% que c'est bien le même.

[Aeris] C'est ça. Il n'y a pas forcément besoin d'avoir du 100% mais voilà.

[Benjamin] Et là, comme il n'y a pas eu d'utilisation de cookies,

[Benjamin] A la limite, la personne n'est même pas au courant.

[Aeris] C'est un peu le problème de ces traitements-là qui sont faits, est-ce qu'on appelle server-side ? Donc côté serveur et pas côté client, les coups qui sont déposés côté client, les fingerprintings se fait côté serveur, et là, vous n'avez aucun moyen d'en savoir.

[Aeris] que il y a un traitement de données qui est fait sur vous.

[Benjamin] Aucun moyen technique.

[Aeris] Aucun moyen technique ou même aucun moyen tout court. Sauf à rentrer dans des trucs très compliqués. Par exemple l'article 15 du RGPD, vous pouvez demander à l'entité en face « Bonjour, qu'est-ce que tu traites sur moi et merci de me répondre sous un mois. »

[Benjamin] D'accord, mais c'est là où on en revient à ce que tu disais au début, ne pas être un connard.

[Aeris] C'est ça. Et c'est là, on n'est pas supposés faire ça, parce qu'on est supposés indiquer qu'on le fait, même si ça peut être fait de manière invisible, ça ne doit pas être fait de manière invisible. On est censé avertir les gens que le traitement a lieu, et ils doivent être conscients que le traitement a lieu. Et le problème, encore une fois, c'est que les entreprises en face essaient de vous le cacher le plus possible, parce qu'ils n'ont aucun intérêt à ce que vous le sachiez. Si vous le saviez...

[Aeris] vous vous opposeriez au traitement et donc du coup, tout leur système se défendra.

[Benjamin] D'accord, mais toutes les entreprises n'ont pas pour vocation de contourner la loi.

[Aeris] Alors toutes non, certainement, mais beaucoup quand même. Et après, c'est surtout le contour de la loi sans savoir qui la contourne, ou sans avoir vraiment de volonté de la contourner.

[Benjamin] Oui c'est ça, c'est de bonnes fois. Bon après quand on fait du finger printing, c'est un peu délicat de plaider la bonne fois.

[Aeris] C'est ça, en fait, c'est de... C'est de bonne foi, sans être de bonne foi, parce que surtout en France, ou du coup, ça fait 45 ans que ces textes de loi sont existants, il y a beaucoup d'entreprises, que moi j'ai déposé plusieurs centaines de plaintes à la CNIL pour des violations, il y a beaucoup d'entreprises, en fait, qui disent, ah ben je savais pas, ça fait 45 ans en fait. Il y a des lignes directrices de la CNIL qui existent depuis quasiment 20 ans et les entreprises les ignorent.

[Aeris] Donc les ignorent soient parce qu'ils ne le savent pas ou qu'ils n'ont pas voulu savoir, soit les ignorent parce qu'ils étaient au courant, mais juste qu'ils ne veulent pas les appliquer.

[Benjamin] D'accord. Et alors juste pour conclure sur le fingerprinting, si je demande à un utilisateur, son consentement pour faire du fingerprinting.

[Aeris] Ah bah vous faites quoi que vous voulez !

[Benjamin] Là je peux. Donc le fingerprinting c'est pas illégal. C'est juste que c'est encadré par le RGPD.

[Aeris] C'est ça, à partir du moment où le fingerprinting, après c'est pareil, ça va dépendre de votre cas d'usage etc. Mais si vous arrivez à justifier que vous avez besoin de faire du fingerprinting, par exemple, là, dans le cas d'une association, on a fait une lettre ouverte à la CNIL justement pour lui demander de changer ses pratiques. On a besoin d'identifier que les personnes étaient bien uniques et qu'on avait bien affaire à un seul signataire. On a dit : on stocke votre adresse IP, votre user agent, donc quel navigateur vous utilisez. On l'a indiqué clairement sur le site.

[Aeris] Les gens étaient parfaitement conscients de ça, on le fait, on n'a pas leur avis à leur demander.

[Aeris] Et du coup là, c'était pas vraiment du fingerprinting, mais on fait un trainement de données dessus, on a été transparent, on peut le faire. Et le RGPD n'interdit aucun traitement. À partir du moment où vous êtes capable de justifier, que vous l'expliquez, que vous avez une bonne base légale, une bonne finalité, y'a pas de problème. Vous faites ce que vous voulez.

[Benjamin] C'est très clair.

[Benjamin] Donc on a parlé de base légale, on en a cité trois, les trois principales. Rapidement, les autres c'est quoi ?

[Aeris] Les autres, c'est des choses que vous allez voir assez rarement. Il y a l'obligation légale qui est peut-être celle que vous allez voir le plus couramment dans celle qui reste. Donc l'obligation légale, c'est qu'il y a un truc dans la loi qui oblige à le faire. Par exemple dans les banques, ce qu'on appelle le LCBFT, c'est la lutte contre la fraude et le blanchiment et le financement du terrorisme.

[Aeris] les banques ont l'obligation d'aller voir vos comptes et de vous suivre. Elles ont pas le choix. L'également elles sont obligées de le faire donc on est même au-delà de l'incessaire au contrat. C'est la loi d'IQ. La gestion des logs aussi par exemple en France on doit conserver les logs pendant un an même si l'Europe dit plutôt qu'un jour.

[Aeris] Bah vous avez pas le choix, vous le faites, vous ne réfléchissez pas.

[Benjamin] D'accord. Donc, j'ai pas besoin de demander si j'ai un petit serveur Apache

[Benjamin] sur internet, j'ai pas besoin de demander le consentement de mes utilisateurs pour que mon serveur à page logne les connexions.

[Aeris] C'est ça. De toute façon, il y a une obligation légale. Voilà, c'est fait, c'est tout, c'est comme ça. Il y a la sauvegarde des intérêts vitaux. C'est vous aller mourir, on a besoin d'avoir accès à vos données, typiquement votre dossier médical. Vous êtes hospitalisé ou autre. Du coup, sauvegarde de vos intérêts vitaux. Les médecins vont pouvoir accéder à toutes les données qui leur semblent nécessaires pour vous soigner, pour vous sauver, etc.

[Benjamin] et si je suis dans le coma ils ont pas à me demander mon consentement.

[Aeris] C'est ça, ils n'ont pas demandé le consentement, ils peuvent autre passer même les consentements, par exemple l'accès aux dossiers médicals partagés qui normalement est sous consentement, si vous n'êtes pas en capacité de le donner, et bien du coup on va invoquer les sauvegarde des intérêts vitaux et on n'aura pas, vous demandez votre avis.

[Benjamin] c'est ultra permissif en fait le RGPD.

[Aeris] Ah ouais non mais on peut faire tout ce qu'on veut, parti du monde a compris le truc. Et du coup il y a la dernière, c'est Mission d'Intérêt République qui est encore plus rare.

[Aeris] c'est par exemple l'INSEE ou ce genre de choses qui vont avoir des organifes de recherche aussi médicales en particulier vont devoir faire de la collègue de données statistiques, savoir combien vous payez d'impôts, lâche que vous avez, est-ce que vous êtes marié pas à marié, les nombres d'enfants etc. et du coup là ils ont une mission d'intérêt public qui est généralement encadrée strictement par la loi et du coup là ils ont pas votre avis avant de demander, ils ont pas à vous informer

[Aeris] qui font ces traitements là, ils ont bien entendu des mesures de sécurité de protection à prendre, mais dans ces cas là, ils font ce qu'ils ont envie de faire et de besoin de faire.

[Benjamin] Ok, tout ça est très clair, en tout cas beaucoup plus clair que tout à l'heure. J'espère que ça l'est aussi pour vous. Je pense qu'on va en rester là pour aujourd'hui.

[Benjamin] Merci de nous avoir écoutés, c'était le tout premier épisode de RdGP, rien de grave patron.

[Benjamin] On se retrouve dans deux semaines pour continuer de parler de RGPD mais pas que. La semaine prochaine, on aura la chance d'accueillir Benjamin Sonntag qui viendra nous parler d'écologie numérique. D'ici là, n'hésitez pas à vous abonner, à nous mettre des étoiles, alors non pas sur les applications des GAFAMs, mais sur les applications du fait divers. Ce podcast est hébergé par Castopod, solution libre et ouverte d'hébergement de podcasts.

[Benjamin] et vous pouvez liker, repartager et commenter cet épisode directement depuis le Fédiverse, et en particulier sur Mastodon.

[Benjamin] n'hésitez pas à nous suivre et à poser vos questions. Si vous avez des questions d'ailleurs, on essaiera d'y répondre dans le prochain numéro. Pour nous suivre, c'est très simple, c'est @rdgp@rdgp.fr

[Benjamin] Merci Aeris !

[Aeris] Ben merci !

[Benjamin] Et à très bientôt !

[Aeris] Au revoir à tou·te·s !