Sans faire preuve de naïveté en croyant que la loi nous protège et que tout le monde va la respecter, que peut connaître le citoyen sur les pratiques de surveillance par les États et les entreprises ?
Stéphane Bortzmeyer, ingénieur spécialiste des réseaux informatiques, viendra vendredi 28 septembre 2018 de 19h à 21h animer un apéro-discussion au Centre social des Abeilles de Quimper 4 rue Sergent Le Flao (plan d’accès) sur “Qui vous observe ? WEB et vie privée”
Cette connaissance des pratiques de surveillance par les États et les entreprises est un pré-requis à de futures actions pour améliorer les choses. Par exemple la création au Centre des Abeilles d’un groupe d’échange, de partage et d’entraide où chacun·e· pourra venir poser ses questions et apporter ses connaissances
Tout juste lancée, la boutique de l’Élysée respecte-t-elle le RGPD sur toute la ligne ? Nous avons déposé une réclamation auprès de la Cnil, après avoir identifié différents problèmes susceptibles de se poser dans ce haut lieu de consommation made in France.
Vendredi 14 septembre, l’Élysée a mis en ligne sa boutique officielle. Dans ses rayons, des produits dérivés à l’honneur de l’institution, mais aussi de son chef de file. Le site a fait les gros titres après son lancement. Il aurait enregistré 350 000 euros de ventes en seulement trois jours.
Nous n’avons pas évoqué cette opération commerciale, préférant explorer depuis vendredi l’angle moins clinquant du RGPD. Lorsque l’Élysée lance une telle opération, les données personnelles sont une question sensible, d’autant que sa large couverture médiatique a drainé un grand nombre de badauds. Et c’est justement pour nous assurer d’un parfait respect avec le règlement européen ou la loi de 1978 que nous avons saisi la Cnil, non sans isoler plusieurs difficultés potentielles.
D’abord, qui est responsable de ce site ? C’est Alexandre Benalla, d’après nos confrères de Quotidien, qui s’appuient sur des déclarations durant sa garde à vue (« J’ai sous ma responsabilité la mise en place d’une boutique en ligne et le projet d’une boutique physique qui a pour objet la vente de produits dérivés »).
Sur le terrain juridique, le responsable de traitement est surtout Expendo Organisation, une SARL située à Pigny, dans le Cher, avec pour gérant un certain Cedric Bastié. L’intéressé dispose d’autres mandats similaires, notamment auprès de B2C Communication Evasion. Il a une certaine expérience du Château, pour y avoir animé en 2009 le goûter de Noël.
Quelles sont les difficultés identifiées ? Sur la page relative aux données personnelles, là où le site définit sa politique de gestion de ce patrimoine sensible, plusieurs questions se posent quant à la politique des cookies, ainsi que celle de l’exploitation des données personnelles, outre la durée de conservation des données et les missions du délégué à la protection des données (DPO).
Politique des cookies
Le site affirme déposer « éventuellement » quatre types de cookies : techniques, d’analyse statistique, relatifs aux préférences, et enfin de ciblage ou publicitaires. Ces derniers « limitent le nombre de fois où vous voyez une annonce et aident à mesurer l’efficacité de nos campagnes publicitaires ».
L’acceptation des cookies est simple, pour ne pas dire simpliste : « En poursuivant votre navigation sur le Site Web, vous acceptez l’utilisation de ces cookies » indique un bandeau. Sachant que différents cookies sont susceptibles d’être déposés, notamment des cookies publicitaires, on peut déjà s’interroger sur l’exigence d’un éventuel recueil du consentement de l’utilisateur, qui doit alors être exprès et préalable.
En outre, s’agissant du droit d’opposition à ces traceurs, le site renvoie l’internaute à la configuration de son navigateur (sous Firefox, Chrome, IE et Safari). Cette politique pourrait cependant contrarier la législation en vigueur. Le Conseil d’État dans son arrêt du 6 juin 2018 a d’ailleurs épinglé ces pratiques, à l’égard du site Challenges.fr, non sans expliquer pourquoi :
« Il résulte de l’instruction que les éléments portés à la connaissance des utilisateurs du site" www.challenges.fr " ne leur permettaient ni de différencier clairement les catégories de " cookies " susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c’est à bon droit que la formation restreinte de la Cnil a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de " cookies " et en a déduit qu’il n’avait pas été remédié au manquement à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion ».
Sur le site de l’Élysée, justement, sous Internet Explorer par exemple, la seule alternative offerte aux visiteurs est soit de bloquer, soit d’accepter les cookies dans leur ensemble (« Cliquez sur l’onglet Confidentialité, puis sous Paramètres, déplacez le curseur vers le haut pour bloquer tous les cookies ou vers le bas pour autoriser tous les cookies, puis cliquez sur OK »). Difficile dans ces conditions de s’opposer « à ceux dont le dépôt est soumis [au] consentement préalable » des personnes.
L’exploitation des données personnelles
Au point 4 de la page relative aux données personnelles, on découvre également qu’une inscription à la newsletter de la boutique entraine l’envoi « à intervalle régulier des actualités de la Présidence et des offres proposées sur le site Web ». L’utilisateur dispose alors « à tout moment la possibilité de [se] désabonner en cliquant sur le lien prévu à cet effet situé en bas de chacune des newsletters ».
Le point 5 relatif à la transmission des données personnelles à des tiers nous apprend que le responsable de traitement « peut être amené à transmettre vos Données Personnelles […] à la Présidence de la République qui pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l’actualité de la Présidence ».
Remarquons déjà qu’il n’est plus précisé cette fois que cet envoi est conditionné à l’inscription à la newsletter. L’articulation des points 4 et 5 interroge du coup : présentée ainsi, elle rend théoriquement possible l’envoi d’actualité par l’Élysée alors même que la personne concernée ne s’est pas inscrite ou bien s’est désinscrite de la newsletter.
Les termes sont en outre très généreux (transmission de « vos Données personnelles »). Or, selon le point 1, l’expression « vos Données personnelles » comprend « notamment vos nom, prénom, adresse, numéro de téléphone, adresse de courriel, données bancaires, identifiant, mot de passe et autres informations qui permettent votre identification et que vous mettez à disposition d’EXPENDO ORGANISATION à tout moment ». Faute de nuance élémentaire, toutes ces informations pourraient être transmises à l’Élysée.
Durée de conservation, information préalable
Le site n’indique pas exactement la durée de conservation. Aucun souci en principe, le RGPD autorise cette situation, tout en exigeant « les critères utilisés pour déterminer cette durée » soient communiqués.
Ces critères sont définis au point 3 de la page relative aux données personnelles (« Toutes les Données Personnelles collectées sont stockées sur un serveur offrant toutes les garanties de sécurité et sont conservées pendant une durée n’excédant pas la durée nécessaire à la réalisation des objectifs figurant à la Section 3 ci-avant ») :
Il y aura donc conservation des données personnelles aussi longtemps que devra par exemple être assurée la gestion du compte client ou le suivi d’activités de l’internaute sur le site. Peut-on vraiment parler de « critères » avec un objectif si flou ?
L’article 13 du RGPD oblige également le responsable à informer la personne concernée de son « droit d’introduire une réclamation auprès d’une autorité de contrôle ». Sauf erreur, ce droit n’est pas indiqué.
Le délégué à la protection des données personnelles
Selon le RGPD, « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » (article 38).
Pour garantir l’effectivité de ces missions, la Cnil ajoute que le délégué (ou DPO en anglais) « doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions ». Par ses fonctions, le DPO doit pouvoir agir « d’une manière indépendante ».
Le choix organisationnel du traitement questionne. Selon cette page relative aux conditions générales de vente, le DPO est joignable à l’adresse « contact @ expendo.org ». Or, il s’agit de la même adresse que celle du responsable de traitement (« veuillez contacter la société EXPENDO ORGANISATION, responsable du traitement de vos Données Personnelles dans le cadre de l’activité du Site Web, en envoyant un courriel à contact @ expendo.org »).
Avec cette logique de pot commun, des courriers que la personne concernée pense adresser au seul DPO risquent donc d’être accessibles à une quantité indéterminée de tiers non habilités.
Nous reviendrons sur ce dossier, notamment si la Cnil décide de lancer une enquête.
oui , c’est bien ce qu’il y a d’écrit sur l’article , c’est juste ma photo qui est naze . sur masto les gens ont trouvé l’article sur le web ça rend vachement mieux !
De mon point de vue, une excellente conférence mais je m’interroge. L’intervention des militants anti-linky m’a donné l’impression que je n’avais pas écouté la même conférence. Quarante minutes de dénonciation de l’utilisation des données personnelles par les Gafam mais aussi les services des états et des entreprises en générale pour conclure qu’aux yeux de ces militants il n’y a que les compteurs linky qui posent problème. Je schématise un peu mais pas de trop
Cette entrée par le linky peut-être le début d’une prise de conscience de l’ensemble des problèmes mais je reste interrogatif
Plus généralement quel discours avoir pour présenter cette problématique des données personnelles et du web à des publics divers et variés
L’atelier qui devrait s’ouvrir aux Abeilles sur ce sujet, ne devrait pas manquer de travail…
Pas forcément mais mon interrogation portait sur les différentes manières de comprendre une conférence
Je l’ai trouvé simple mais pas simpliste, complète et je m’aperçois que des personnes qui s’expriment ne semblent pas avoir entendu la même chose que moi
Ca n’a rien de nouveau mais je reste toujours un peu naïf et idiot en pensant que tout le monde comprend comme moi
Stéphane Bortzmeyer, ingénieur spécialiste des réseaux informatiques, viendra vendredi 28 septembre 2018 de 19h à 21h animer un apéro-discussion au Centre social des Abeilles de Quimper 4 rue Sergent Le Flao (plan d’accès) sur “Qui vous observe ? WEB et vie privée”
. sur masto les gens ont trouvé l’article sur le web ça rend vachement mieux !
