Archives du mot-clé CNIL

Data Privacy vs. Loi Renseignements (#MeasureCampParis)

Ce post a pour vocation de résumer la discussion que j’ai animée au récent MeasureCamp Paris, le deuxième du nom, qui a eu lieu le 27 juin 2015.

Le MeasureCamp est une non-conférence qui se tient à Londres tous les 6 mois, et à Paris une fois par an. Pour en savoir plus sur MeasureCamp, rendez-vous sur le site MeasureCamp Paris.

Cette discussion était sur le thème de la Data Privacy à l’heure de la Loi Renseignements, le tout sans aucun support. Nous n’étions que 4, ce qui en soi témoigne de l’intérêt et de l’indignation des Français à ce propos (un peu d’ironie ne fait pas de mal, c’est juste que ça m’énerve encore un peu plus).

La discussion s’est déroulée en 3 temps :

  1. Présentation sommaire de la Loi Renseignements (dans ses très grandes lignes… Le texte complet à jour, avec ses diverses annexes est ici), inclus le tracking systématisé, le sujet des IMSI-catchers et les questions sur l’absence de réaction politique (sauf à l’extrême-gauche) et de mouvement citoyen. Seuls de rares activistes du net (comme Guillaume Champeau de Numérama, « La Loi Renseignement adoptée définitivement. Et maintenant ? », la rédaction de la Quadrature du Net, « La France dans l’ère de la surveillance de masse ! Résistons ! », ou encore celle de Libération, « Anti-surveillance : extensions du domaine de la lutte ») ont semblé s’y intéresser, sous un autre angle que celui de la Sécurité Publique, i.e. celui des Libertés Individuelles, largement bafouées ;
  2. Nous avons évoqué ensuite ensemble les différences fondamentales entre les contraintes que nous imposent la CNIL, ou dans le cadre professionnel des bodies comme la DAA ou l’ESOMAR (l’instance de régulation du Market Research), et l’absence de contrôle (et de contre-pouvoir) pour les instances qui piloteront cette Loi, notamment le bâillonnement des lanceurs d’alerte, ce qui crée d’un côté des distorsions légales, notamment au-niveau de la conservation des données (quelles data ? combien de temps ? où ?), de la définition de ce que sont les PII (Personally Identifiable Information), et du rôle des Data Analysts dans la curation des bases de données et des contenus (communication des informations aux autorités ? sur quelles bases ? quel contenu ?) ;
  3. Enfin, nous avons évoqué particulièrement les soucis que cette Loi pourrait générer au niveau de notre business, que ce soit avec Quentin de ClicData, côté analyste, ou Sophie de Peugeot, côté industrie, avec les possibles problèmes que pourrait poser l’application de cette Loi aux transfrontaliers ou entreprises étrangères (soumis à d’autres législations), et aux risques sur le business en-dehors de France, entre autres du point de vue du stockage des données (peut-on espionner des données françaises stockées à l’étranger, ou au contraire des données étrangères stockées en France ?). Il faut aussi noter la question soulevée des coûts de l’installation et de la maintenance d’une infrastructure nécessaire à l’observation de la masse considérable de donnée qu’il faudra traiter. Pour information, récupérer les données d’un seul GGSN (la passerelle s’interfaçant avec les autres réseaux de données, essentiellement internet) pour un seul opérateur mobile, c’est au moins un TéraByte par jour… A date, la France compte 4 opérateurs mobiles qui ont de 3 à 6 GGSN chacun, ce qui nous fait une bonne quinzaine de TéraBytes par jour, rien que pour le trafic internet mobile. Quel ministère va supporter ces coûts ? Si ce n’est pas précisé (pas d’enveloppe clairement attribuée dans le prochain budget) , est-ce qu’on a affaire à une baudruche gouvernementale qui ne vise alors pas simplement à donner le change vis-à-vis d’une situation politique particulière ?

En conclusion, nous nous sommes promis de continuer à agiter la communauté, afin d’obtenir des éléments de réponse, et surtout de faire en sorte que l’application de cette Loi ne soit pas au détriment des citoyens que nous sommes… Et que nous obtenions des clarifications, notamment des règles d’application pour nos businesses respectifs.

Et maintenant? Résistons!

 

Quand l’Etat vend vos données personnelles…

…c’est avec l’accord de la CNIL!

Les gesticulations médiatiques des gouvernants de tous bords, protestant contre les multinationales américaines qui collectent vos données pour de vils motifs commerciaux, n’y feront rien : en France, l’Etat et les entreprises publiques font exactement pareil.

Avant tout, un point méthodologique. Tout formulaire collectant vos données doit offrir à un endroit ou un autre une possibilité de donner ou retirer son consentement quant à l’utilisation de ses données, et notamment sa communication à des tiers. C’est la Loi (notamment l’article 32 section II de la Loi 78-17 du 6 janvier 1978).

Il existe deux types de question (« opt-in » ou acceptation, et « opt-out » ou refus) et deux modes de réponse (« actif » et « passif »), ce qui génère quatre formats différents de recueil du consentement (cf. tableau ci-dessous), et ajoute à la confusion.

Tableau_Opt-in_Opt_out

Le mode de réponse « passif » n’est a priori ni répandu, ni recommandé en France (même s’il n’est pas interdit, à ma connaissance), mais est courant sur les sites américains. Dans ce cas, la case correspondant à la question est déjà cochée, et la réponse de l’utilisateur est enregistrée par défaut. Pour choisir une autre réponse, il faut décocher la case (quand on la trouve…). Bien évidemment, c’est un mode qui ne peut être utilisé qu’en ligne.

Pour les formulaires papier, on doit se concentrer sur le mode « actif », c’est-à-dire quand il faut cocher une case. Evaluons les deux modalités restantes:

  1. « opt-in » actif = l’utilisateur accepte, en cochant une ou plusieurs cases, que ses données personnelles soient stockées, utilisées, transmises à des tiers, etc… C’est le mode le plus respectueux de l’utilisateur, car c’est le seul qui garantisse que celui-ci ait fait volontairement le choix de partager ses données. Mais ce n’est pas la norme…
  2. « opt-out » actif = l’utilisateur refuse que ses données personnelles soient utilisées, toujours en cochant. C’est ce mode qui est la norme en France, et que la CNIL endosse implicitement. En effet, dans la rubrique « questions-réponses » de son site, notamment sous le thème « marketing », la CNIL indique que l’utilisateur d’un service peut « s’opposer » à la transmission des données ou « refuser » leur communication, et donc privilégie le mode « opt-out ».

Evidemment, la conséquence est qu’une majorité d’utilisateurs oublient de cocher les cases (ou pire, ne les trouvent pas), et se retrouvent donc dans de nombreux fichiers commerciaux. Dans le cas d’entreprises privées, dont l’activité dépend de fichiers clients, on peut le comprendre, mais quand il s’agit d’entreprises publiques ou de l’Etat, le mode « opt-out » est beaucoup plus discutable. Deux exemples récents (issus de mon entourage proche):

Exemple 1 : une procuration à la Banque Postale. Ci-joint une partie du formulaire en question.

Optout_Formulaire_Procuration_Banque_PostaleAprès 13 lignes juridiquement obligatoires (et que personne ne lit, bien sûr), juste avant les signatures, on trouve la case à cocher pour refuser « que mes données personnelles soient utilisées à des fins de prospection commerciale« . Ou comment récupérer les informations relatives aux proches d’une personne âgée qui leur donne procuration… La photo est trompeuse, du fait du zoom sur le texte, je ne suis pas sûr que dans le document complet, l’utilisateur visualise aussi bien la case à cocher (ni d’ailleurs que les conseillers financiers n’attirent son attention sur cette case…).

Exemple 2 : un formulaire de demande de modification d’un permis de construire existant, CERFA 13411*03. Ci-joint, le petit libellé, toujours en « opt-out », tout en bas de la page 5 d’un document qui en compte 7, non compris la notice explicative…

Optout_for_CERFA_docEncore plus discret que pour la Banque Postale, la case à cocher étant bien moins visible. Et compte tenu des informations très détaillées qui sont demandées (et qui sont obligatoires!), il est clair que l’usager doit s’opposer à ce que « les informations nominatives comprises dans ce formulaire soient utilisées à des fins commerciales« . Non mais!

L’Etat collecte donc – et surtout revend – les données personnelles de ses administrés, tout en reprochant à Google, Amazon ou Facebook de faire de même… Vous dites contradiction? Je dis opportunisme.

Pour une véritable protection des données personnelles, il faut d’autres outils de ciblage! On parle de « fingerprinting », d’identifiant unique, mais il y a aussi une option non-intrusive, fondée sur le comportement en ligne de l’utilisateur. J’y travaille… Envie d’en savoir davantage? Rendez-vous la semaine prochaine sur ce blog!