Démystification du RGPD - Xavier Mouton-Dubosc et Benjamin Benifei

Titre :
Démystification du règlement général sur la protection des données
Intervenants :
Xavier Mouton-Dubosc alias dascritch - Benjamin Benifei
Lieu :
Capitole du Libre - Toulouse
Date :
novembre 2017
Durée :
45 min
Visualiser la conférence
Diaporama support de la présentation
Licence de la transcription :
Verbatim
transcription réalisée par nos soins.Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l’April.

Description

Un texte européen entrera en application en mai prochain pour protéger la vie privée des individus ainsi qu’encadrer la collecte et les transferts de leurs données personnelles. À l’inverse de dizaines de webinars paranos, cette présentation du règlement général sur la protection des données (RGPD) vise à rappeler les fondamentaux, les droits des uns ainsi que les obligations des autres. Si comme beaucoup d’experts RGPD, vous n’avez pas lu le RGPD, cette conférence est faite pour vous.

Transcription

Xavier : On est là pour démystifier le RGPD et vite parce que tout simplement, dans 188 jours il entre en action. C’est pour ça que je parlais tout à l’heure de la date de l’examen qui sera donc le 25 mai et on va tous y passer ! Bonjour, je suis dascritch, je suis développeur, je fais aussi une émission sur Radio FMR qui s’appelle CPU et, accessoirement, je fais des fois des trucs avec d’autres comparses qu’on appelle des Cryptoparties.
Benjamin : Bonjour à tous. Merci d’être venus. Je m’appelle Benjamin Benifei, je suis consultant en protection des données et donc je faisais de la protection de la vie privée, avant que ça soit cool, avant qu’on parle du RGPD à tout bout de champ.
Xavier : Avant 78 ?
Benjamin : Waouh ! Pas avant 78 !
Xavier : Comme on n’a pas le temps, on va faire un petit peu un résumé des épisodes précédents pour ceux qui n’étaient pas là bien évidemment. D’abord, ficher les citoyens, c’est quelque chose qui est relativement vieux. Je vous rappelle, par exemple, que l’état-civil est l’une des causes qui fait que Jésus s’est retrouvé dans une mangeoire puisque Joseph était appelé à faire son recensement en Galilée. Richelieu, lui-même, fichait ses opposants. À partir du XIXe, eh bien on commence à faire des élections, des élections censitaires, donc il fallait justifier qu’on avait un certain revenu pour voter et les pauvres, de toutes façons, pas besoin ! En 1914, comme on allait lancer une guerre, on a fait une grande réforme des finances de l’État et on a créé l’impôt sur la fortune ce qui voulait dire, bien évidemment, qu’il fallait que l’on sache, en fait, ce que gagne chacun.
En 1941 à l’époque l’Allemagne avait un petit peu écrasé la France… Comment ça c’est le cas maintenant ! Non, pas du tout ! Ce n’est pas la même chose ! Donc l’exercice de l’armée a été suspendu. On demande à un haut-fonctionnaire de préparer le retour de l’armée au cas où, on ne sait jamais ! Enfin ils font ça un petit peu dans leur coin sans prévenir le reste du gouvernement de Vichy. Cette personne s’appelle René Carmille et va créer, en fait, un premier fichage de l’ensemble des citoyens français. Le but du jeu est de recenser tous les hommes valides qui seraient susceptibles de reconstituer une armée.
Et pour cela, il va créer un numéro d’identifiant unique pour tous les Français qui va être constitué de l’année de naissance, le mois de naissance, le département, un numéro à trois chiffres qui représente la commune et trois chiffres qui est le placement, en fait, dans le registre des naissances. Ça vous rappelle peut-être quelque chose, le numéro Insee. Mais il manquait un premier chiffre et comme ils se sont dit bon, là ça va peut-être un peu se voir. Le gouvernement de Vichy leur a dit : « Ah mais c’est super, pourquoi il n’y a pas de place. — Ah, mais c’est par foyer. — Non, on veut vraiment par individu. » Donc ils ont rajouté un premier chiffre où on en a en 1 les hommes et en 2 les femmes. Maintenant vous savez que c’est non seulement sexiste, mais c’est aussi pour dire allez messieurs, partez à la bataille.
Mais est-ce que vous savez, qu’en fait, ce premier chiffre avait d’autres numéros en usage. Ainsi en 3 et en 4, on y mettait les indigènes des colonies ; en 5 et en 6 les juifs des colonies. Attention les juifs de France étaient dans la classification 1 et 2. En 5 et en 6 c’est pour une question purement juridique, c’est parce que les juifs des colonies comptaient moins que les Français et colons, mais comptaient plus que les indigènes de nos colonies ; c’est beau la vie ! Et 7 et 8 pour les étrangers.
Bref ! On va bien évidemment garder le numéro Insee par la suite, qui nous sert encore actuellement, mais le ministère de l’Intérieur, en 1972, va se dire mais c’est bien pratique quand même d’avoir toutes ces infos sur les Français ; on va peut-être, grâce à la puissance du plan informatique, accumuler plus d’informations sur les Français ; par exemple on va prendre non seulement leur numéro de sécurité sociale, mais on va le croiser avec les fiches de police puisqu’on en a plein. On va y mettre aussi les impôts, après tout pourquoi pas ! Puisque toutes les banques sont nationalisées, elles vont nous donner tous les fichiers qu’elles ont sur chacun des Français là-dessus et puis les assurances aussi derrière, et tout ça.
Bref ! Évidemment cela pose quand même un problème pour les développeurs qui sont derrière et qui doivent construire ce fichier, fabuleusement nommé SAFARI [Système automatisé pour les fichiers administratifs et le répertoire des individus]. La chasse aux Français est ouverte ! Je vous rappelle qu’à l’époque, quand même, on faisait des ratonnades. C’est dire si c’était très mal choisi !
Bien évidemment, ces développeurs ne sont pas exactement d’accord puisque l’information sur ce fichier SAFARI n’est absolument pas publique ; on se le fait, là aussi, dans le petit coin tranquille de notre ministère. Donc des informaticiens vont écrire un courrier au journal Le Monde. Le Monde va publier, en 1974, non seulement leur tribune, mais aussi une enquête sur ce fichier SAFARI et les implications que cela a derrière. Cela va faire un véritable tollé. Bref ! Cela va aller jusque devant le Parlement ; il va avoir un gros débat juridique là-dessus et on arrive à la loi dite informatique et libertés.
Benjamin : La loi informatique et libertés de 78. On vous a mis le tout premier article qui indique que l’informatique doit être au service du citoyen. C’était vraiment assez puissant de commencer une loi, en 78, par ces termes. C’est quelque chose qui est toujours d’actualité aujourd’hui, puisque vous savez qu’il y a tout plein de réflexions sur la gouvernementalité algorithmique, le pouvoir des algos, donc cet article reste plus que jamais d’actualité.
Xavier : Mais voilà, cette loi, en fait, date de 1978, mais elle sera quand même révisée au fur et à mesure et puis étendue, par le jeu des autres lois. Si vous vous intéressez un petit peu aux amendements et à comment se constitue une loi en France, vous saurez que ce ne sont que des commits sur GitHub, c’est à peu près la même chose d’ailleurs. On retrouve le Code civil sur GitHub, c’est bien qu’il y a une raison ! Et d’ailleurs, elle passera carrément au niveau européen, puisque ce sera plus ou moins réunifié, parce que les autres pays ne nous ont pas attendus. Peut-être que vous ne le savez pas, mais dans la Constitution du Portugal, il y a un article de la Constitution qui précise très clairement ce que l’État n’a pas le droit de récolter comme informations et de centraliser comme informations sur les citoyens et surtout en croisements de fichiers, ce qui était très précoce. Et c’est aussi le cas pour les autres pays, bien évidemment.
Corollaire, de cette loi, on crée une haute autorité qui s’appelle la CNIL, qui est la Commission informatique et libertés, qui a donc principalement pour mission d’abord de contrôler et de censurer les fichiers de l’État, mais aussi de contrôler. C’est-à-dire que les entreprises doivent faire une déclaration auprès de la CNIL quand elles créent un fichier et, éventuellement, de vérifier l’usage qui est fait de ce fichier et de le censurer sous le prix d’une belle amende. Ça on le verra tout à l’heure. Et cela instaure un droit aux particuliers à la rectification des informations ; attention, des informations inexactes. Ce n’est pas l’occasion pour dire qu’on est haut-chevalier de je ne sais quoi ou titulaire de la rosace, de la légion quelconque.
Malheureusement cette loi, quand même, montre ses limites ainsi que sa directive européenne qui en découle, tout simplement parce que, entre temps, est arrivé Internet. On va faire des achats sur Internet et puis on va commencer à avoir une industrie qui va arriver qui va être l’industrie de la publicité. Donc on va commencer à récolter des informations, à faire du profilage sur les gens et, qui plus est, ce sont des entités qui ne sont pas soumises aux lois européennes puisque, bien souvent, elles sont placées en dehors de l’Europe, du moins pour les plus grands acteurs de ce côté-là.
En aussi en 2001, on a un triste événement le 11 septembre – non il ne faut pas croire qu’on ne parle que de Toulouse –, mais qui va instaurer pas mal de lois qui attendaient sur une étagère un événement triste, grave, mais oh ! Ça tombe bien ! J’ai une loi antiterroriste et là-dessus on va retirer à la CNIL le droit de sévir et de censurer, en fait, les fichiers de l’État, à tel point qu’il y avait je crois, à l’époque, quelque chose comme 70 fichiers illégaux de police ; tout d’un coup ils sont devenus légaux puisque la CNIL n’avait plus le droit de rien dire dessus !
Parallèlement, en 2003, la Californie instaure, en fait, une nouvelle obligation. C’est une loi qui oblige les entreprises qui entreposent des données personnelles sur des individus de prévenir ces individus si ces données ont fuité à cause d’un piratage, d’une malveillance ou, tout simplement, d’un administrateur système qui aurait mieux fait, quand même, de faire son boulot. Cette loi va être transposée au fur et à mesure dans différents États des États-Unis ; même Barak Obama va faire un discours, d’ailleurs, si je me trompe, devant le Congrès. En 2015, ça va devenir, en fait, une loi fédérale.
Il faut savoir que cette loi va aussi inspirer le législateur européen. Il se trouve qu’en 2002, en Europe, on avait une directive e-Privacy sur la gestion de la vie privée sur Internet et c’est la révision de 2009 de cette e-Privacy qui va justement apporter plus ou moins le concept d’obligation d’informer en cas de fuite d’une donnée personnelle. Mince !
Benjamin : C’est vrai, il y a peut-être un petit souci !
Xavier : Vous savez ce qu’elle a introduit aussi la directive de 2009 ? Elle a introduit, bien évidemment, le grand bandeau que là on va vous mettre de suite [Avec une diction de plus en plus rapide] : « En poursuivant l’écoute de cette conférence, vous acceptez nos CGV [conditions générales de vente] et l’utilisation de cookies pour vous proposer des contenus et services adaptés aux centres d’intérêt qui nous permettent l’utilisation de boutons de partage sociaux. Pour en savoir plus et gérer ces paramètres, demander Simon sur la mailing-liste orga@capitoledulibre. » C’est fait !
Benjamin : Parfait !
Xavier : 2012. On a un dépoussiérage qui est fait à l’initiative d’un groupe constitué aussi bien des écologistes allemands et d’une élue du Parti pirate, auprès du Parlement européen pour revoir, justement, et unifier l’ensemble de ces directives, puisque les directives ne sont pas toutes uniformes, pas toutes transposées sur le domaine national.
Benjamin : Les lois des États membres de l’Union européenne sont plutôt disparates et donc on s’est dit, enfin le législateur européen s’est dit qu’il fallait peut-être harmoniser tout cela. C’est pour cela qu’on a commencé à parler, dès 2012, d’une nouvelle norme en matière de protection de la vie privée des citoyens européens et le règlement général est ce qui a abouti. Personnellement j’ai lu quatre ou cinq versions. Dascritch va vous dire pourquoi ça s’est précipité vers la fin, pourquoi tous les députés européens et les instances européennes se sont dépêchés.
Xavier : Je ne vais même pas vous le dire. Il y a un excellent documentaire qui est passé sur Arte, qui a suivi l’écriture de cette loi, où on voit les représentants des partis populaires, donc les partis de droite ; le rapporteur est face à une immense pile de papiers et députés et partis de droite lui disent : « Écoutez, vous voyez tout ça, ça ce sont tous nos amendements. Vous les jetez là, parce qu’après ce que vient de nous dire Snowden avant-hier ! »
Cela va permettre, en fait, une mise à jour réelle de l’ensemble des pratiques sur la gestion de la vie privée. Cela va aussi limiter les tentatives de contrôle voulu par certains gouvernants des États européens, je ne pense pas que de la France, mais par exemple aussi de la Pologne, de la République tchèque, de l’Angleterre – oui ils font encore partie de l’Europe. Bref This is RGPD !
Benjamin : Ce qu’il faut voir, en fait, c’est qu’avant on avait une directive européenne en matière de protection des données. La directive doit être transposée, c’est-à-dire le droit national doit s’adapter. Le règlement est d’application uniforme sur tout l’espace de l’Union européenne et les États ont une marge de manœuvre très réduite pour adapter leur droit national à ce règlement et à ses principes.
Xavier : Même si elle existe. Si vous lisez, elle existe. On va rester quand même sur le terme RGPD, ce sera plus simple pour nous tous. Mais le grand défi ça va être dès maintenant. En fait, on est en plein dedans et la plupart des gens ne s’en aperçoivent absolument pas. Le grand défi va être de se préparer à ce qu’elle soit appliquée. Et pour cela Paul-Olivier Gibert qui est le président de l’association, en fait c’est une association qui regroupe les CIL de France, donc les correspondants informatique et libertés, a dit à ce sujet : « Pas mal d’opportunistes incompétents proposent de l’accompagnement RGPD. »
Benjamin : On s’est dit…
Xavier : Pourquoi pas nous !
Benjamin : Pourquoi pas nous !
[Rires]
Donc on va juste poser deux-trois bases, les définitions, pour qu’on parle tous de la même chose.
Une donnée à caractère personnel qu’est-ce que c’est ? Vous avez les journalistes ou les écrits de vulgarisation qui vous parlent très souvent de « donnée personnelle ». Le terme idoine, le terme qu’on trouve dans les normes c’est « donnée à caractère personnel ». Tout simplement, une donnée à caractère personnel c’est une donnée qui permet d’identifier indirectement ou directement une personne physique.
On parle ensuite, désolé pour tout ce blabla un peu juridique, mais il faut qu’on pose les bases, il y a ensuite un deuxième acteur outre la personne concernée dont on va traiter les données, dont on va collecter les données, dont on va croiser les données, on a le responsable de traitement. Le responsable de traitement c’est celui qui pose les finalités et les moyens du traitement de données à caractère personnel. Et le traitement des données à caractère personnel c’est, très schématiquement, toute opération sur des données à caractère personnel, de la collecte à la suppression et tout au long de la vie de ces données dès lors qu’on les consulte, dès lors qu’on y a accès, dès lors qu’on les transfère, dès lors qu’on les chiffre ; tout ça ce sont des traitements de données à caractère personnel. Donc vraiment, dès lors qu’il y a une opération sur les données, de la création du fichier jusqu’à sa destruction, ce sont des traitements. Et tous ces traitements entrent dans le cadre des diverses normes et notamment du RGPD, règlement général sur la protection des données.
Xavier : Et maintenant vous êtes là, on va vous faire participer, on va faire un quiz, alors n’hésitez pas à répondre. C’est un QCM relativement simple et dites-vous bien que d’autres parlent plus du RGPD que nous et en savent moins que vous. Et on le voit tous les jours et encore ce matin ! Bref, on y va. Première question.

Jusqu’ici il est impossible de se faire retirer d’une liste de démarchage publicitaire.

Je vais vous demander de lever la main ceux qui pensent que oui ; ça veut dire qu’il y en a qui ont tenté, peut-être. Ceux qui pensent que non, ce n’est pas impossible. Ouais ! Et ceux qui pensent qu’ils ne sont pas sûrs. C’est mitigé, hein ! Mais ça reste une grande majorité de non. Et ça tombe bien.
Benjamin : Le RGPD, le règlement général, est souvent présenté par divers prestataires comme une révolution. En fait non, ce n’est juste que la continuité des normes qu’on avait en vigueur, une harmonisation et, effectivement, les normes en vigueur prévoyaient le fait de pouvoir faire supprimer ses données dès lors qu’elles n’étaient plus pertinentes. Il y a des conditions pour accéder aux données qui vous concernent, les données qui sont traitées et qui vous concernent, mais vous pouviez, et vous pourrez après et vous pouviez avant le 25 mai 2018, faire supprimer les données, notamment vous concernant pour le démarchage publicitaire dès lors que vous n’êtes plus intéressé.
Xavier :

Jusqu’ici la CNIL a très peu sévi.

Qui pense que oui ? Ça fait bien 40 % de la salle. Qui pense que non, la CNIL a très bien sévi jusqu’ici ? Zéro ! [Sifflement]. Et qui ne se prononce pas. Ouais ! 30 %.
Benjamin : La CNIL, Commission nationale de l’informatique et des libertés, qui existe depuis 1978, est une autorité administrative indépendante et, en fait, elle a sévi. Elle fait des contrôles concernant des fichiers d’opérateurs publics comme d’entreprises privées et elle a sévi. Le problème, c’est qu’elle fait avec les moyens qu’elle a. La CNIL c’est, je crois, 250 personnes. L’équivalent de la CNIL, l’ICO [Information Commissioner’s Office], l’équivalent britannique, a 500 personnes, donc on voit beaucoup plus l’action quotidienne de l’autorité de protection britannique. Mais le problème c’est que la CNIL a mis des amendes, la CNIL a contrôlé, la CNIL a publié des mises en demeure. Vous vous souvenez tous du petit bandeau qu’il y avait sur google.fr tout un week-end, qui a fait tomber le site de la CNIL parce que tout le monde cliquait sur le lien en bas de page. Donc voilà !
Xavier : Et aussi une chose par rapport à l’ICO. La CNIL a un plateau téléphonique. On peut les appeler sur des questions, alors que l’ICO, tout est sur le Net. La contrepartie c’est que le site de l’ICO est superbe.
Benjamin : Ouais, c’est vrai. J’ai vu votre question. On parle souvent des sanctions pécuniaires, c’est-à-dire des amendes pour parler du RGPD. Vous avez pas mal de boîtes qui vous font de la pub en disant « faites attention, mettez-vous en conformité parce que vous risquez jusqu’à, oui, c’est vrai c’est dans les textes, jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires mondial » ; du chiffre d’affaires mondial, je précise. Oui, ça fait peur, mais personnellement je serais responsable de traitement, je serais une entreprise pas en conformité, j’aurais plus peur qu’on me file une autre sanction, par exemple la sanction d’arrêter le traitement. C’est-à-dire vous ne pouvez plus collecter les données ou vous ne pouvez plus utiliser les données. Imaginez si, par exemple, très schématiquement, on empêchait à Google de collecter des données sur tous les citoyens européens ? Personnellement, je pense que ça leur ferait beaucoup plus de peine qu’avoir une amende, certes qui paraît exorbitante. J’avais une question, je ne sais pas si on les prend au fur et à mesure.
Xavier : Non, on va les prendre après parce qu’on a vraiment beaucoup de points et tout va dépendre du temps qu’on aura, donc je suis vraiment désolé !

Une adresse IP, une adresse Mac, ne sont pas des données à caractère personnel.

Qu’est-ce qui pense que oui, ce ne sont pas des données à caractère personnel ? Une fois, deux fois, trois fois. Ouais, on va dire 5 %. Non, c’est une donnée à caractère personnel. 80 %. Et qui ne sait pas ? Bon, c’est une uniforme.
Benjamin : Je reviens à la finition que j’ai posée il y a trois ou quatre slides. Dès lors que ça permet d’identifier une personne physique, une personne précise, c’est une donnée à caractère personnel. En l’espèce, on a eu des décisions de justice au plus haut niveau puisqu’on a eu des décisions de la CJUE, Cour de justice de l’Union européenne. Par exemple, vous êtes un fournisseur d’accès à Internet, vous savez très bien lequel de vos abonnés se trouve derrière quelle adresse IP à un instant donné. Donc dès lors, c’est une donnée à caractère personnel.
Xavier :

Le RGPD est illisible, il est écrit in English tecnocrat from from Brussels comme les autres règlements européens.

Qui pense que oui, c’est illisible ?
Benjamin : Dans tous les sens du terme.
Xavier : Non il est lisible ? 50-60 %, ouais pas mal. Et ne se prononcent parce qu’ils n’ont pas lu, 20 %. D’accord !
Benjamin : Il y a beaucoup de gens qui ne l’ont pas lu, de toutes manières.
Xavier : Il faut être honnête. Moi j’ai trouvé beaucoup plus illisible que ça, je vous rassure !
Benjamin : Le règlement général est, bien entendu, traduit dans toutes les langues de l’Union européenne. Certes, il est un peu volumineux, mais la data est partout. On nous rebat les oreilles sur ça, donc il était important, quand même, de préciser le régime de tous ces traitements de données à caractère personnel. Oui, effectivement, c’est plus lisible que du Marc Lévy !
Xavier : En plus, je vais vous dire une chose, c’est que moi-même, je ne suis pas franchement un spécialiste, mais je me le suis fadé en un week-end, et ce n’est que de la bonne pratique à l’intérieur. C’est d’une lisibilité, franchement ! C’était l’été, donc j’étais près de la piscine, les deux me tentaient autant. Honnêtement, rarement j’ai vu un règlement européen aussi lisible. Plongez-vous dedans. Et pas « non, non ce n’est pas la peine de le lire, c’est illisible ! » On ne citera personne, on ne fera du name and shame !
Benjamin : C’est mal parti !
Xavier : Non, parce qu’il y a des spécialistes RGPD qui disent aux entreprises : « Ne perdez pas de temps à essayer de le lire ! » Et après on se rend compte qu’eux-mêmes ne l’avaient pas lu.

Le RGPD a été créé pour que les GAFAM prennent encore plus de nos données personnelles.

Qui pense que oui ? OK. Qui pense que non ? Ouais ! 80 %. Et qui pense que oh ! 10 %. On pensait que vous aviez vu du Laurent Alexandre, un truc comme ça. Mince !
Benjamin : On avait dit pas de name-shaming !
Xavier : C’est bien. Bref ! Vous avez bien compris qu’en fait le RGPD a été motivé, effectivement, sur la concentration en silos des données et il est vraiment passé comme une lettre à la poste, justement par les révélations Snowden, par le fait que les services de renseignement pompent d’autant plus facilement la donnée que tout est dans certains silos.

Le RGPD a été écrit par les GAFAM pour empêcher les entreprises européennes d’être compétitives.

Benjamin : Ça c’est quelque chose qu’on entend vraiment beaucoup.
Xavier : On l’entend. Ce qu’on vous écrit, en fait, ce sont souvent des trucs qu’en entend et dans les médias, des fois dans les très gros médias ! Donc qui pense que oui, ça a été écrit par les GAFAM ? Quand on connaît le budget que Google met pour aller voir les eurodéputés, je ne serais pas surpris. Non ? Ouais ! 80 %. Et ni ? 5 %. Au moins soyez honnêtes.
Benjamin : Là on vous a mis le titre complet du règlement. On parle beaucoup de RGPD ou GDPR [General Data Protection Regulation], ce qu’il faut voir c’est qu’en fait ce règlement a deux objectifs, deux finalités principales. La première, c’est la protection des données à caractère personnel des individus situés sur l’espace de l’Union européenne. Et la deuxième finalité, c’est vraiment de favoriser la libre circulation de ces données dès lors que cette circulation est faite de manière encadrée, dès lors qu’elle est respectueuse de la vie privée des individus dont on traite les données ; c’est-à-dire dès lors qu’on les a informés que ces données sont traitées, il y a toute une batterie de principes, dès lors qu’ils savent où vont ces données, ce qu’on va faire avec, etc. D’autant plus, au sein de l’Union européenne cette libre circulation des données est acquise.
Par contre, plus largement à l’échelle mondiale, ce qu’il faut voir c’est qu’il y a diverses conditions, notamment le fait d’adhérer à des principes protecteurs, le fait d’avoir une loi nationale dans le pays où on envoie les données qui est protectrice également des données à caractère personnel. Il ne faut pas voir le règlement comme quelque chose qui va empêcher les entreprises d’être compétitives, qui va les empêcher de faire du business. Au contraire, on pense que ce processus d’amélioration continue de la protection de la vie privée c’est quelque chose qui pourrait être un avantage compétitif des entreprises européennes comme américaines, etc. Comme on va le voir dans quelques slides.
Xavier : Et comme on l’a dit ce sont des bonnes pratiques. Notamment il y a tout ce qui est gestion documentaire. Si vous êtes intéressé à tout le cadre juridique sur la GED [gestion électronique des documents], ce n’est ni plus ni moins que les transpositions des normes ISO. Voilà.

Les entreprises américaines sont bien mieux préparées que les entreprises européennes.

Qui pense que oui ? 15 %. Qui pense que non, elles sont moins bien préparées. 35 %. C’est à vue de pif et à vue de pif, d’ailleurs, qui pense que pif, paf même pas ? 30 % ne sait pas. Eh bien je vais vous surprendre.
Benjamin : Il y a pas mal d’études qui montrent que les grosses entreprises américaines, notamment ce qu’on appelle les GAFAM, sont mieux préparées pour être conformes au 25 mai 2018 aux règles du règlement général sur la protection des données. Oui, effectivement, il y a pas mal d’entreprises françaises qui n’étaient déjà pas conformes aux textes de 1978, remaniés, etc., mais là, pour le règlement général, ça devient vraiment pressant de se mettre en conformité.
Xavier : Et à vrai dire, c’est un cabinet d’avocats qui, je crois, est basé à Chicago, qui a la plus grande masse d’informations sur d’abord la différence entre le droit américain et le droit européen, mais aussi sur les transpositions de chaque pays, ce que cela change dans chaque pays. C’est quand même affolant de voir qu’un cabinet d’avocats américain fournisse une masse de documentation monstrueuse sur son site à tel point qu’on aurait plus envie de dire à des grosses boîtes européennes allez les voir. C’est terrifiant !
Benjamin : Ou plutôt allez-les voir ou mettez-vous vous-même en conformité. Clairement.
Xavier :

Le Privacy Shield va rester.

Peut-être expliquer.
Benjamin : Je vais expliquer très brièvement ce qu’est le Privacy Shield. Comme je vous ai dit, il y a des mécanismes qui permettent d’assurer une protection des données à caractère personnel lors des transferts internationaux, notamment il y a Privacy Shield. Le Privacy Shield, ce sont des entreprises américaines qui peuvent adhérer à certains principes qui sont censés apporter un niveau de protection adéquat pour les données qui transiteraient, par exemple, de la France vers les États-Unis.
Le problème c’est que le Privacy Shield est la suite du Safe Harbor, le Safe Harbor qui a été invalidé par la Cour de justice de l’Union européenne. Pourquoi ? Parce qu’un étudiant autrichien, Maximilian Schrems, que vous connaissez peut-être, a réussi à faire invalider la décision de la Commission européenne qui instituait le Safe Harbor parce que les garanties sur les données personnelles des citoyens européens n’étaient pas là, dans le Safe Harbor. Maximilian Schrems est d’accord pour dire que le Privacy Shield c’est la même histoire.
Xavier : Bon ! Qui pense que le Privacy Shield va rester ? 2 %, d’accord. Non ? 15 %. Et ne se prononcent pas ? Je pense que là-dessus il y a une belle indécision. Juste pour savoir, vous avez déjà une idée de pronostic, là, pour qui va être président du mouvement En Marche. Honnêtement…
Benjamin : On espère bien que non. Parce que c’est vrai que le Privacy Shield ce n’est pas mal d’auto-certification. Certes, on a fait entrer des tiers pour assurer la conformité des entreprises américaines, mais ce n’est pas génial. Ce n’est pas le niveau de protection qu’on attend au sein de l’Union européenne. Donc on pense que la CJUE, la Cour de justice de l’Union, va invalider ce mécanisme. Je vous rappelle que ça avait été un énorme chaos quand le Safe Harbor avait lui-même été invalidé. On avait plein d’entreprises européennes qui démarchaient leurs sous-traitants en leur disant : « Vous avez des données personnelles concernant nos salariés ou nos clients. Qu’est-ce que vous faites si vous les envoyez aux États-Unis parce le Safe Harbor est tombé ? » C’était un joyeux bordel parce qu’il n’y avait plus de mécanisme, enfin il y avait d’autres mécanismes, mais le mécanisme principal qui permettait l’envoi de données entre l’Union européenne et les États-Unis…
Xavier : Qui autorisait !
Benjamin : Oui, qui autorisait ce transfert, ce mécanisme principal n’était plus en vigueur ; il a été invalidé. On pense que ça va être pareil pour le Privacy Shield d’ici quelques années.
Xavier : Deux fichiers dont il y a une copie systématiquement aux États-Unis alors que ce sont des données purement européennes :
SWIFT, le système des traitements des données des paiements par Carte bleue. Tout paiement par carte bancaire que l’on fait en Europe, même si ça reste en Europe, il y a une copie qui va aux États-Unis ; c’est pour la lutte contre, pas contre le terrorisme, mais contre les narcotrafiquants.
Un autre c’est le PNR, c’est le fichier des passagers qui n’est pas encore totalement unifié et qui comporte une masse d’infos sur vous absolument stupéfiante et qui est, cette fois-ci, pour les lois antiterroristes. Les Américains ont exigé des Européens que ce fichier soit hébergé chez eux, sinon ils faisaient une fouille pratiquement au corps de tous ceux qui venaient par les compagnies aériennes européennes. Sympa !
Benjamin : Il nous reste cinq minutes, me dit-on.
Xavier : OK.

Si une entreprise met ses données sur AWS, elle est en tort avec le/la RGPD.

Qui pense qu’héberger ses données sur Amazon Web Services nous met en tort vis-à-vis du RGPD ? Qui pense que non ? Ouais c’est bien. Et qui pense que uhh ! OK.
Bon, alors d’abord c’est « le », parce que c’est le règlement. T’exagères ! Et ensuite, comme on l’a dit, ils ont des très bons cabinets d’avocats, ils sont très bien conseillés et qui plus est, Amazon Web Services, ils ont des zones en Europe. Ça va même plus loin parce que, par exemple Microsoft, suite à la révélation des écoutes d’Angela Merkel, Microsoft Allemagne, leur solution Office qu’ils proposaient aux entreprises, ce n’est plus Microsoft qui opère, maintenant c’est Deutsche Telekom et c’est juste un accord de licence. Ils sont allés devant, d’ailleurs, une commission de défense du Sénat américain qui n’était pas content. « Mais comment ça, mais comment ça se fait ? — Ah non c’est juste un accord commercial, il n’y a aucun lien, on ne peut pas vous filer les infos. » [Sifflement].
Benjamin : Quand vous avez recours à un prestataire, notamment de cloud, vous avez toute la liste de ses certifications, toute la liste des méthodologies qu’il utilise notamment pour être conforme à diverses normes dont le futur RGPD, enfin le RGPD. Donc vraiment, bien sûr, il faut avoir confiance en ces certifications, mais allez-y, allez jeter un coup d’œil dessus. Amazon Web Services, sans faire la pub pour ce prestataire, vous avez toute une flopée de mesures qui sont prises et mises en œuvre et qui sont, selon Amazon, compliant, conformes avec le RGPD.
Xavier : Alors que certains centres d’appel out-sourcés par des opérateurs français, au secours !

Si un sous-traitant est en faute l’entreprise cliente est aussi en faute.

Qui pense que oui ? 50 %. Tout d’un coup on est passé à 80 ! Qui pense que non ? 2 %. Qui pense que uhh ? 10 %.
Eh bien oui !
Benjamin : Oui, ne sous-traitez pas vos erreurs. C’est ce qu’on a bien voulu mettre en exergue sur cette slide. C’était déjà le cas avant le GDPR, mais là, le règlement général alourdit la responsabilité du sous-traitant et également du responsable de traitement puisqu’il faut s’assurer de la bonne conformité de l’un et de l’autre avant de sous-traiter.
Xavier : « Bonjour. Je suis un autre opérateur du gaz. — Vous avez eu mon numéro comment ? — Ah je ne peux pas vous le dire, mais on l’a acheté donc on n’y est pour rien. » Rendez-vous le 25 !

Si j’achète un téléphone chinois pas cher sur Amazon, le constructeur n’est pas soumis au RGPD puisqu’il est basé en Chine, bien évidemment, et il peut continuer à récupérer un max de données sur moi grâce à ses spywares.

Qui pense que oui ? 15 %. Qui pense que non ? 70 %. Qui pense qu’il ne sait pas et qui ne lit même pas, d’ailleurs, les conditions générales d’utilisation de son téléphone ? 15 %.
Benjamin : C’est difficile et facile à la fois. Ce qu’il faut voir, une minute il nous reste, c’est que le champ d’application du règlement général concerne en fait les données des citoyens européens mais également de toute personne située dans l’espace de l’Union européenne. Donc le champ est vraiment très large. Théoriquement, on pourra poursuivre ce fabricant chinois qui ajoutera ses propres conditions générales d’utilisation en plus de celles de l’OS, par exemple Android, et toute la question ça va être de pouvoir traîner en justice si on veut, ou de faire une opération de contrôle de la CNIL, par exemple, contre ce constructeur chinois.
Xavier : On est tous les deux chez OnePlus !

Si votre site est mal conçu, est mal sécurisé, cette fois-ci c’est pan-pan cul-cul.

Qui pense que oui ? 45 %. Qui pense que non ? 0. Et qui ne sait pas ? Ouais, 30 %. C’est déjà le cas.
Benjamin : C’est déjà le cas. En fait vous aviez une obligation de sécurité qui perdure dans le GDPR, dans le règlement général. Mais ce qu’il faut voir c’est que beaucoup de prestataires parlent de ?
Xavier : 300 000 euros d’amende jusque-là, qu’est-ce que c’est ? Cent mètres carrés en centre-ville.
Benjamin : Maintenant a va être une très grosse amende !
Xavier : Paniquez ! [L’expression « très très grosse amende » clignote sur fond rouge].
Benjamin : On vous a dit que dans les sanctions il y avait vraiment l’obligation de cesser tout traitement et ça, de notre point de vue, c’est aussi important d’en parler que des amendes.
Xavier : Attention, c’est 4 % du chiffre d’affaires global, même pour une filiale. Donc c’est l’ensemble du groupe qui prend, mais pour une asso c’est aussi la même règle qui s’applique sachant que c’est la moins favorable des deux, donc c’est au moins deux millions d’euros, quand même ! Il y a un plancher donc ça va faire pas mal !
Benjamin : Non, ça sera proportionnel.
Xavier : Ça va faire mal ! Fais-les paniquer, sinon je ne vends pas ta presta.

On a trois jours pour prévenir nos clients que nous avons eu une brèche dans nos données qui les concernait.

Qui pense que oui ? 15 %. Qui pense que non ? 10 %. Qui ne se prononce pas ? On va dire le reste.
Benjamin : Très schématiquement, lorsque vous êtes responsable de traitement, dans le cadre du règlement général vous êtes obligé de prévenir l’autorité compétente, en France la CNIL, si vous avez subi une fuite de données. Donc une fuite, qu’elle soit malhonnête ou non ; que ce soit un dysfonctionnement technique qui ait fait fuiter les données ou non. Ce qu’il faut voir c’est que s’il y a un risque élevé sur la vie privée des personnes concernées, par exemple de vos clients, vous devez également les prévenir, leur notifier qu’il y eu une fuite des données les concernant.
Xavier :

Si quelqu’un le demande devons-nous lui envoyer toutes les données qu’on a sur lui dans un format dit utilisable.

Qui pense que oui ? 90 %. Qui pense que non ? 10 %. Qui n’ose même pas y songer ? Il y a en un qui a déjà essayé de faire un export sur MySQL !
Benjamin : Ça c’est une réelle avancée du règlement général, c’est le droit à la portabilité.
Xavier : Ça existait déjà !
Benjamin : Non ! Ça n’existait pas !
Xavier : Ah si, en cas de service.
Benjamin : Là, vraiment, le règlement général pose un principe comme quoi vous pouvez, en tant que personne concernée, demander l’intégralité des données que vous avez confiées à un prestataire qui devra vous les rendre dans un format interopérable pour que vous puissiez soit les ré-internaliser chez vous, par exemple monter votre propre serveur mail, en récupérant tous vos mails, ou passer à un autre prestataire de service de mails.
Xavier : Au hasard si vous passez sous Diaspora.

Si j’ouvre un compte bancaire je pourrai exiger que mon nom n’apparaisse pas dans leur informatique. J’aurai donc un compte anonyme.

Qui pense que oui ? Je fais un flop sur cette question. Qui pense que non ? Pratiquement 95 %. Et ne se prononcent pas, ouais ! [Est affiché le nom Cahuzac]. On aurait pu mettre n’importe quel nom. Mais lui s’est retiré, il n’est pas animateur chez C8.
Benjamin : On ne peut pas demander la suppression de données qui sont, par exemple, nécessaires à l’exécution d’un contrat ou nécessaires pour nouer une relation entre le responsable de traitement et son client, la personne concernée.
Xavier :

Un vendeur d’électroménager n’est pas obligé d’effacer mon nom, même si je l’exige.

Vous savez on n’arrête pas de parler du droit à l’effacement. Alors d’après vous ? Oui, il n’est pas obligé d’effacer toutes les données me concernant. D’accord, j’ai 10 %. Qui pense que non ? 60 %. Qui ne se pose même pas la question parce qu’il n’achète pas d’électroménager, il vit dans un meublé ? 15 %.
Benjamin : Là, on a deux intérêts différents qui sont mis en balance. D’un côté la protection de la vie privée et de l’autre la protection du consommateur. Effectivement, dans le cas où il y avait un rappel qui devait être effectué parce qu’un dysfonctionnement pourrait être dangereux pour la personne, eh bien on ne va pas pouvoir demander aussi facilement la suppression des données qui nous concernent parce qu’on a acheté, par exemple, un frigo ou je ne sais quoi.
Xavier : Figurez-vous que je suis dans une boîte de vendeurs d’électroménager, on a obligation de rappeler s’il y a vraiment un danger, un frigo qui devient fou, ce que vous voulez quoi !

Un DPO, c’est le nouveau rôle, c’est le Data Privacy Officer, c’est comme un CIL [Correspondant informatique et libertés], mais en anglais l’intitulé du poste sur LinkedIn est plus chic !

Qui pense que c’est plus chic d’être DPO sur LinkedIn que CIL ? 10 %. Qui pense que non, parce que, de toutes façons, vous n’êtes même pas sur LinkedIn, vous êtes sur Viadeo et les intitulés ne sont qu’en français ? 15 %. Qui ne sait vraiment pas et ne se pose pas la question parce qu’il ne veut même pas l’être. D’accord OK.
Benjamin : Le DPO, pour faire très rapidement, c’est le délégué à la protection des données. Je vois qu’il faut terminer donc je vais faire très court, c’est la suite, la succession du CIL, pour informatique et libertés, qui était présenté, jusque-là, comme le chef d’orchestre de la protection des données à caractère personnel dans une entreprise ou dans une administration. Ce qu’il faut voir c’est que le DPO, le règlement général lui pose des moyens renforcés dans une entreprise ou une administration. Il est obligatoire dans toutes les administrations. Il est obligatoire dans pas mal d’entreprises qui traitent de la donnée, enfin de manière élevée, etc. On va passer à la question suivante très rapidement.
Xavier : Dites-vous bien que si vous faites même un fichier Excel, c’est de la donnée personnelle, avec la liste des clients. Et évitez les champs « commentaire libre ».

Le rôle du DPO est celui d’être un fusible.

Qui pense que oui ? Qui pense que non ? 20 %. Qui pense que uuh ? 20 %. OK.
Benjamin : Le DPO ce n’est pas la variable d’ajustement. Il faut voir que le délégué à la protection des données c’est vraiment la personne qui supervise la protection de la privacy dans une entreprise ou dans une administration, mais ce n’est pas lui qui est responsable en cas de manquement. C’est le responsable de traitement qui l’est in fine.
Xavier :

La CNIL a vraiment dit qu’elle ne ferait pas du zèle dès le 28 mai.

Oui, parce que le 25 mai c’est un vendredi. On ne met pas en prod un vendredi. Donc le 28 mai, aller on y va, on va taper. D’après vous la CNIL va-t-elle vraiment ne pas faire de zèle dès l’ouverture du RGPD ? Qui pense que oui ? 15 %. Qui pense que non ? 35 %. Et OK. Ils n’ont pas revu leur budget.
Benjamin : Très rapidement, ce qu’il faut voir c’est ce que la CNIL a dit c’est que la sanction n’était pas ce qu’elle recherchait en priorité, mais il y a d’autres autorités européennes qui, du coup, elles ont dit que dès le 25 mai elles engageraient des procédures pour aller chercher ceux qui ne respectent pas le règlement.
Xavier : Le RGPD, ce qui va vraiment vous arriver.
Benjamin : On a isolé trois grands principes.
Ce qu’il faut voir c’est qu’en premier lieu la protection de la privacy, la protection de la vie privée, c’est vraiment au cœur du règlement général. Si vous êtes une entreprise ou une administration qui suit ces principes, vous protégeraient bien la vie privée.
Ensuite, le deuxième grand principe c’est la sécurité. En effet, pas de protection de la vie privée s’il n’y a pas de sécurité des données. La sécurité c’est la sécurité aussi bien informatique, physique, etc.
Et l’accountability, en fait, c’est montrer, c’est avoir la preuve, donner la preuve comme quoi on est conforme. C’est garder les traces de toutes les actions qu’on a mises en œuvre. Faire un inventaire des traitements de données à caractère personnel, un inventaire de tous les flux trans-frontières, etc.
Xavier : Ayez un flux, ayez une documentation, faites même des e-mails dans les boîtes où vous êtes pour faire du rappel à la loi. C’est tout simple, c’est vraiment une facilité. Et, en clair, la donnée personnelle, ce qu’il faut retenir, c’est que c’est vraiment à considérer comme une matière radioactive. C’est quelqu’un qui est dans un autre amphi en ce moment, qui fait une autre conf, qui a cette image fabuleuse : « Si tu ne sais pas ramasser de la donnée radioactive, tu ne tentes pas de la ramasser. Si tu ne sais pas la stocker, tu ne ramasses pas. Si tu ne sais pas t’en débarrasser, tu ne ramasses pas ! » C’est simple : s’il n’y a pas un objectif réel vis-à-vis de l’usage des données pour le fonctionnement normal de votre société, eh bien ne récupérez pas cette donnée personnelle. Si c’est pour essayer de constituer un fichier pour revendre derrière ou pour faire de la retape, oubliez ! Merci.
[Applaudissements]
Xavier : On va en prendre une, deux peut-être grand max. Oui monsieur ?
Public : Ce n’est pas une question, c’est un site qui, je pense, ne respecte pas le RGPD, c’est Datadock.
Xavier : Datadock ? Je serais incapable de le dire et on a fait déjà assez de name and shame, mais je n’en doute pas. Monsieur ?
Public : À qui appartiennent les données des objets connectés ?
Xavier : Les données des objets collectés.
Benjamin : Les données n’appartiennent à personne, en fait. On voit souvent dans les journaux la propriété des données, etc. Non, une donnée ça fait partie d’une personne, ça fait partie de sa sphère, de sa vie privée, donc ça n’appartient à personne. Les données des objets connectés, ça dépend déjà celles que collecte l’objet connecté.
Public : Dans la santé par exemple.
Xavier : Dans la santé c’est très particulier puisqu’il y a une autre loi qui se met en place. C’est-à-dire que les données de santé ne doivent être collectées que dans un certain nombre de datacenters qui sont certifiés et en France ils ne sont qu’une vingtaine.
Benjamin : Sur l’hébergement de données de santé, effectivement, il y a de lourdes normes en France. Ce qu’il faut voir c’est que le responsable de traitement qui doit assurer la sécurité des données, par exemple qui doit informer la personne que ses données sont traitées, c’est celui qui fixe les modalités et les moyens de traitement, de collecte, de croisement des données à caractère personnel.
Xavier : Monsieur ?
Public : En santé, la loi stipule clairement que le propriétaire des données de santé c’est le patient. Le médecin ou l’entité qui reçoit le patient, n’est pas propriétaire de ces données.
Xavier : C’est une loi d’ailleurs, c’est ce qu’on appelle le dossier médical dématérialisé. On ne va pas venir dessus, c’est très long, c’est relativement vieux. Monsieur au fond ?
Public : par rapport à tout à l’heure vous disiez que la CNIL sanctionne une entreprise, pourtant vous avez dit précédemment qu’elle n’a qu’un avis consultatif. Comment est-ce qu’elle peut ?
Benjamin : Non. Parce qu’en fait elle un avis consultatif sur, par exemple, les textes qui sont soumis au Parlement et qui sont votés par l’Assemblée nationale et le Sénat. Ça OK. Il faut séparer de tout ce qui est contrôle et sanction. La CNIL peut aller dans une administration ou une entreprise et elle peut aller vérifier quelles sont les pratiques vis-à-vis d’un fichier. Par exemple est-ce que la CAF, au hasard parce que j’ai le bâtiment en face, est-ce que la CAF respecte.
Public : C’est de l’autre côté la CAF.
Benjamin : C’est de l’autre côté, bon d’accord ! C’est la Poste, là. Est-ce que la Poste met bien en œuvre, par exemple, les mesures de sécurité sur les serveurs, etc. Elle peut aller contrôler. Si ce n’est le cas, elle peut sanctionner. D’abord elle commence par une mise en demeure publique et l’entreprise ou l’administration, très souvent, a la possibilité de se remettre en conformité et alors là, elle clôt très souvent la procédure. Si l’entreprise n’a pas mis en œuvre les mesures attendues, alors là, la CNIL peut prononcer une sanction.
Xavier : Mais en clair, tout ce qui est en rapport avec la police, le renseignement et le militaire, elle ne peut plus rien dire ! Voilà. Désolés. Merci beaucoup. On aimerait vraiment passer plus de temps et j’espère que ça vous a plu.
Benjamin : Merci.
[Applaudissements]

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.