RGPD : progrès ou cauchemar ?

Plantons le décor : lundi 15 mai, 9h30, je suis au boulot, invitée à une présentation du RGPD, faite par notre DPD. Et voilà que je découvre du même coup que dans l’organigramme de mon labo il y a un DPD (Délégué à la Protection des données) et qu’il est garant de l’application d’une chose qui m’avait totalement échappée jusque là, de son petit nom RGPD ou Règlement Général pour la Protection des Données, qui entre en vigueur le 25 mai 2018. « Quel est le rapport avec ce blog ? » me direz-vous. Et bien, plus qu’on pourrait le penser de prime abord. S’ils souhaitent être en règle vis-à-vis de ce règlement, bon nombre de blogueurs vont en effet devoir appliquer quelques modifications sur leur blog.

Mais qu’est ce que le RGPD ?

Pour la définition, je vais m’en référer à celle donnée dans ce site :

Le Règlement Général pour la Protection des Données est une réglementation européenne qui prend application le 25 mai 2018. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.
Le but de cette réglementation, qui va venir secouer les pratiques des professionnels et des particuliers sur le web : assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.

D’où les questions suivantes :

– Que sont des données à caractère personnel ?
Il s’agit de données qui permettent d’identifier, directement ou indirectement, un individu. Donc le nom, l’adresse (pas uniquement postale), l’âge, le sexe, le n° de téléphone, …

– A qui s’applique le RGPD ?
Le RGPD (ou GDPR pour les anglo-saxons) s’applique aux entités (entreprises, associations,…) qui traitent des données personnelles relatives à un résident de l’UE.
Il ne s’applique pas aux données traitées dans le cadre d’activités exclusivement personnelles ou domestiques. Donc, si vous conservez les données personnelles des utilisateurs de votre site uniquement en local sur votre ordinateur vous n’êtes pas concernés.

Et là les blogueurs se disent : « ouf ça va, je ne suis pas concerné, je ne fais pas de commerce, je ne collecte aucune donnée personnelle »…

« Mauvaise réponse ! »

Car une adresse email, une adresse IP, … sont autant de données à caractère personnel, donc :

  • Si votre blog comporte une newsletter ou un service qui permet à vos lecteurs de s’abonner pour recevoir une notification quand vous publiez un nouvel article, vous collectez des données personnelles (adresse email au minimum)
  • Si vous autorisez les commentaires sur votre blog, vous collectez des données personnelles (nom, adresse email, adresse de site web, …)
  • Si votre blog comporte un formulaire de contact, vous collectez des données personnelles (adresse email au minimum)

Ces informations ne sont pas stockées uniquement sur votre disque dur. Elles sont chez votre hébergeur, dans des services de stockage en ligne, …

Et s’ajoutent à cela les données personnelles dont vous avez délégué la gestion à d’autres entreprises, au travers des services que vous avez installés sur votre blog :

  • les boutons de partage des réseaux sociaux : Facebook, Twitter, Google+, …
  • les systèmes de gestion des commentaires : Disqus, …
  • les systèmes de suivi des statistiques de consultation : Google Analytics, JetPack, Matomo, …
  • les services qui gèrent les avatar : Gravatar, …
  • les services de newsletter : MailChimp, MailJet, …

D’ailleurs, vous avez dû constater que les fournisseurs de services et d’outils auxquels nous avons confié nos données et celles de nos blogs se mettent au pas et nous inondent depuis quelques semaines avec des messages nous informant d’une mise à jour de leur politique de confidentialité, que nous devons accepter en cochant des petites cases. Toute cette agitation est liée à l’entrée en vigueur du RGPD.

Soyons clair : nous étions déjà tous concernés par la protection des données personnelles. La loi « Informatique et Libertés », ou loi n°78-17 du , imposait une déclaration à la CNIL des données personnelles collectées. Des sanctions étaient prévues, mais rarement appliquées.
Le RGPD s’applique pour sa part à l’échelle européenne et les sanctions sont nettement plus dissuasives (jusqu’à 2 % à 4 % du chiffre d’affaires de la personne ou entreprise concernée ou jusqu’à 20 millions d’euros).
Il est bien évident que les plus concernés par ce règlement sont les entités qui font du commerce en ligne, et en tout premier lieu les GAFAM ou « géants du web ». Les petits blogueurs ne risquent sans doute pas grand chose, mais ils peuvent néanmoins souhaiter se mettre un peu plus en conformité avec la loi.

Que faire ?

Les règles de base sont : ne pas demander plus d’infos que nécessaire (si l’adresse email suffit, pas besoin du nom), demander expressément le consentement des visiteurs qui s’identifient sans cases cochées a priori, afficher la politique de confidentialité du site, prévenir tous les abonnés dans les 72 h si le site a été hacké et que leurs données personnelles sont susceptibles d’avoir fuité.

Pour ceux qui utilisent comme moi wordpress.org, il est conseillé de faire la mise à jour vers la version 4.9.6. Elle intègre des modifications nécessaires à la prise en compte du RGPD et propose des outils d’aide (comme la création de la page « politique de confidentialité » et des informations sur ce qu’elle doit contenir).
J’ai trouvé quelques articles intéressants sur le sujet :

Les plateformes de blog (wordpress.com, blogger…) ou les autres CMS vont sans doute publier des infos sur le sujet, si ce n’est déjà fait.

Personnellement, j’ai fait a minima :

  • création d’une page « politique de confidentialité« , signalée dans le footer de mon site
  • suppression de la demande du nom dans le formulaire de contact et ajout d’une case à cocher par laquelle l’utilisateur indique clairement qu’il accepte la politique de confidentialité de mon site (avec lien vers l’article en question)
  • changement du paramétrage de Google Analytics, en suivant les indications données ici

Pour faire mieux, il faudrait/faudra :

  • que je change le paramétrage de l’extension affichant l’alerte sur les cookies, pour indiquer clairement aux visiteurs la liste des cookies en question et leur permettre d’en désactiver certains s’ils le souhaitent
  • que je m’intéresse à la façon dont webtrees va intégrer les contraintes de la RGPD dans la gestion des utilisateurs
  • que je traduise en anglais et en italien le texte de la page de confidentialité

Le RGPD, un progrès ?

Je ne suis pas certaine que ces actions suffiront pour que mon site soit « en règle » vis-à-vis du RGPD, mais je ne pense pas non plus que je courre un grand risque. De toutes façons, j’arrive là à la limite des contraintes que je trouve tolérables, pour un site perso uniquement destiné au partage d’une passion. Si ça s’aggrave, je crois que je mettrai la clef sous le paillasson.

Sous prétexte de limiter l’intrusion des GAFA dans notre vie privée, nos chers dirigeants sont en train de limiter de plus en plus nos espaces de liberté et d’échanges. Je ressens de moins en moins d’écart entre la vie quotidienne des protagonistes de Brazil ou The Handmaid’s Tale et la mienne, et ça me fait vraiment flipper.

D’ailleurs les premières conséquences tombent déjà :

Encore une fois, parque qu’elles ne peuvent (veulent ?) pas s’attaquer aux vrais responsables, les autorités ont choisi la punition collective. Et encore une fois, la punition collective n’ennuiera que ceux qui n’avaient jamais sciemment fait un mauvais usage de ces pratiques, certes néfastes, sans empêcher ceux dont c’est l’intérêt et qui en ont vraiment les moyens de continuer.

Il paraît que le RGPD est fait pour que l’Europe se dote d’une barrière législative face aux géants américains. Mais en plein déploiement du RGPD, les USA votent le Cloud Act qui oblige toute entreprise des USA, même opérant en Europe, même sur des données UE, même stockées en UE, à transmettre toute donnée personnelle sur requête des autorités US, en violation totale du RGPD…

Nous vivons décidément une époque formidable !


5 comments to this article

  1. Monney Eric

    on 21 mai 2018 at 9 h 23 min - Répondre

    Reflexion pertinente oui, mais avec une grossière erreur. Permettez que je développe :

    http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

    « Aux fins du présent règlement, on entend par:

    1)
    «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »

    D’abord, le présent règlement ne change RIEN au lois déjà en vigueurs car il ne s’y substitut pas. C’est écrit noir sur blanc. Ce ne sont que des règles d’application des lois existantes, et non pas de nouvelles lois. Mais revenons à ce qui nous concerne :

    Sous le point 1 au-dessus il est expliqué en premier lieu ce qu’est une personne physique identifiée ou identifiable. Et c’est CE POINT qui règle la création d’un fichier de données comportant des noms et prénoms, afin d’arriver à les identifier aisément. Jusque là, il n’est pas question de « données à caractères personnel », mais encore une fois, juste un fichier de données de personnes physiques identifiées par leurs noms, prénoms ou/et autres liens.

    Parlons maintenant de ce que sont les « données à caractère personnel ». Pour un généalogiste, par exemple, il s’agit principalement des dates qui concernent les personnes de son fichier. Dans un second temps, et afin de placer chaque individu dans son époque ou situation privée, il s’agit également de notes diverses et variées qu’on ajoute à chaque fiche de personne vivante traitée.

    Bon alors pourquoi tout ce blabla ? Pour bien peser sur le fait que des noms, prénoms et liens généalogiques NE SONT PAS des données à caractère personnel. Ce sont des données qui permettent d’identifier une personne. Un point c’est tout …

    Une autre source, peut-être plus « simple » que des articles de lois ou règlements : GUIDE DE LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL. Dans lequel, encore une fois, il n’est pas fait mention de l’usage de noms et prénoms (http://www.europarl.europa.eu/pdf/data_protection/guide_fr.pdf).

    Merci donc de bien vouloir corriger votre affirmation sous « – Que sont des données à caractère personnel ? »

    Eric Monney

    • venarbol

      on 21 mai 2018 at 17 h 54 min - Répondre

      venarbol

      Bonjour et merci pour cette précision, même si je ne suis pas certaine de bien la comprendre.
      Mon article ne traite absolument pas de la gestion des noms, prénoms et autres données enregistrées dans un fichier généalogique, mais bien des données collectées au sujet des visiteurs de ce site. Et je ne vois rien dans votre démonstration qui montre que le nom des visiteurs de ce site ne serait pas une « donnée à caractère personnel ».
      D’ailleurs le document que vous citez en référence indique bien (page 10):
      « Les données à caractère personnel (c’est-à-dire, pour rappel, toute information relative à une personne physique identifiée ou identifiable) peuvent être votre nom, votre date de naissance….)… »

  2. Tonybruand

    on 21 octobre 2018 at 15 h 47 min - Répondre

    Je pense que le meilleur moyen est de restreindre l’accès aux données personnelles à un public s’engageant à ne pas les divulguer les informations personnelles. L’article 35.7 du RGPD autorise un traitement légal de l’information si nécessaire et proportionnel : cela est le cas de la généalogie.
    Les mesures qui peuvent être efficaces :
    – mise en place d’un statut d’invité ou d’ami ;
    – limitation des données accessibles à ces amis pour les personnes vivantes : seule filiation et prénom/nom, lien d’alliance mais pas les dates et lieux de naissance ;
    – charte de non divulgation des données personnelles à faire accepter.

  3. Tonybruand

    on 21 octobre 2018 at 16 h 14 min - Répondre

    Bonjour,
    Le 7 de l’article 36 du RGPD permet des dérogations si nécessaire et proportionnée. La généalogie rentre dans ce cadre.
    Pour que cette dérogation, les données des contemporains pourraient être protégées :
    – données accessibles à des « invités » ou « amis »
    – limitation des données accessibles : nom/prénom/filiation/alliance mais pas dates et lieux naissance/profession/données religieuses politiques etc.
    – signature électronique d’un engagement de non divulgation de ces données à des fins commerciales.
    Le risque pourrait être que des sites comme geneanet ou la base roglo aillent trop loin dans l’application du Règlement à l’avenir.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.