La RGPD vaut t-il vraiment quelque chose ?

Attention, cette page utilise des cookies. Chat perché !

J'ai été le méchant de l'histoire

J’ai commencé à travailler comme développeur il y a quelques années dans une startup big data, Qunb. Nous avons créé un outil transformant les données brutes Google Analytics en slides. Simple et respectable.

Après quelques années, la startup (future ex-unicorn) d’optimisation e-commerce Ve Interactive, nous a racheté. J’ai alors aidé à vous pister sur des milliers de sites au travers des cookies. Pour vous proposer une “meilleure expérience de navigation” avec de la “pub personnalisée plus proche de vos attentes”, il va sans dire.

Yep, je suis (ou du moins j’ai été) un “bad guy”. Dénoncez moi sur Twitter #BalanceTonFabien, mais je pense qu'il y a prescription !

J’ai aujourd’hui raccroché les gants dans ce domaine, Mea culpa.. J’ai créé mon entreprise (évident vous me direz, vous lisez cela sur son site...) et je ne défends aucun intérêt particulier.

Comme un ancien braqueur repenti, je pense pouvoir donner quelques tuyaux sur comment le milieu fonctionne, et pourquoi RGPD n'est pas si parfait que cela.

Inutile dites vous ?

Peut-être devriez vous lire le texte de loi si vous pensez que cela protège votre vie privé. La RGPD n’est pas loin d’être inutile (pour ne pas dire complètement). Presque impossible à mettre en oeuvre. Pour vous épargner cette lecture fastidieuse et soporifique (que je me suis infligé), je limiterais au maximum les citations.

Savez-vous ce qui est définit comme vos données personnelles par la RGPD?

[...] «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; [...]

Cette vague définition, permet à un nombre généré aléatoirement sur mon site web pour vous identifier, de devenir votre donnée personnelle. Vous voilà heureux propriétaire.

Savez-vous concrètement de quelles données son à disposition lorsque vous visitez un site ?

Votre adresse IP, quelques informations à propos de votre ordinateur et votre navigateur.

C’est tout.

Aucun moyen de collecter d’autres données sur vous, à moins que vous la donniez. Vous devez, soit l’écrire dans un formulaire, soit il doit vous être demander une autorisation (comme pour votre localisation par exemple). Pas à grâce à la RGPD; mais pour des raisons techniques de sécurité, mis en place nottament par les navigateurs et la nature même du Web. Je vais vous surprendre, mais les développeurs ont travaillé à la protection de votre vie privée bien avant que les politiciens. Surprenant non ?

Le consentement (#BalanceTesInfos)

Que permet de faire un cookie ?

Il est possible de créer un identifiant et le stocker sur votre navigateur web. Votre navigateur, pas votre ordinateur. Ainsi, quand vous revenez sur le site avec ce même navigateur, il est en mesure de le reconnaître.

Pas plus.

A moins que vous donniez des informations sur votre identité qu'il est possible de relier à votre identifiant, la seul information est que vous êtes revenu sur le site.

La toute première chose que vous avez besoin de comprendre à propos de la protection de vos données personnelles est que cela est de votre ressort en première instance. Vous pouvez les protéger simplement en ne les donnant pas sans réfléchir. La RGPD n’est pas le protecteur de vos données, vous l’êtes.

Parlons consentement. Agréons qu’un identifiant seul n’a aucune valeur. Si entrer son nom, âge, sexe, et autres dans un formulaire n’est pas considéré comme un consentement, qu’est-ce donc ? Je vous donne mon nom mais je ne refuse qu’il soit utilisé ? Voyons ce que la RGPD en dit.

Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. [...] La personne concernée a le droit de retirer son consentement à tout moment. [...] Il est aussi simple de retirer que de donner son consentement. [...]

Reprenons l'exemple de la propriété de votre identifiant unique.

Pour le générer, une preuve de votre clic d’un bouton “consentement” est nécessaire sur une page expliquant ce qui va en être fait (et de toutes autres données personnelles).

La seule façon de s’assurer de votre consentement à 100% est de bloquer l’accès à n’importe quelle page web contenant de la donnée personnelle avant de vous rediriger vers une page où il est expliqué ce que je vais en faire.

Personne ne veut ce genre d’expérience utilisateur, ce qui explique probablement pourquoi quasiment aucun site ne le fait, et personne ne s'en offusque.

Il y a une seule façon de ne PAS vous rediriger vers la “page de consentement” à nouveau à votre prochaine visite. Utiliser un cookie et identifier votre navigateur web pour vérifier que votre consentement à déjà été donné.

N’oublions pas qu'il vous a été donné l’opportunité de consentir en un seul clic , et que la “page de consentement” s’est présentée à vous sans action de votre part. Il paraît alors tout naturel qu’il en soit de même pour la “page de retrait”. Doit-on ajouter un bouton sur chaque page web pour donner la possibilité de retirer votre consentement à tout moment ?

[...] le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. [...] Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.

Tout site web doit désormais ce prémunir à la manière d'un site à caractère érotique grâce à la RGPD. Ajouter un texte à la page de consentement pour confirmer que vous avez plus de 16 ans. Sans quoi, il faudra le consentement de vos parents.

Il paraît alors évident que personne ne respecte cette règle.

Qu’arrive-t-il à ceux qui se font attraper ?

C’est le gros problème d’une loi non technique.
Aujourd’hui des entreprises sont misent à l’amende sur de simples appréciations et différences d’interprétation de “termes clairs et simples” (cf. RGPD art. 7). De l’autre côté, la majorité des sites web ne vont et ne peuvent pas respecter RGPD, sans que personne ne s’en émeuve. Pourquoi ? Car la “donnée personnelle” sonne comme quelque chose d’important, mais vaux relativement peu.

Si; peut être quelques centimes quand vous cliquez sur une pub de temps à autres. Les entreprises vont être punies à l'apreciation de régulateurs peut sensible à la réalité technique. Ils peuvent juger de votre compréhension de ce à quoi vous avez consenti pour réprimer ceux qui l’ont reçu. Pendant ce temps là, vos photos de vos dernières vacances et vos commentaires personnels son disponible sur Facebook.

D’autres payent des sommes énormes en prestations pour être certifié “RGPD compliant” auprès “d’expert”. Ils ne seront pas conforme pour autant. Le seul changement réel sera l’ajout d’une popup pour vous demander votre accord de collecte.

Merci les geeks !

Les développeurs ont fait en sorte de protéger vos données personnels bien avant que l’idée de RGPD n'émerge. Depuis au moins 2010, tous les navigateurs web vous permettent de bloquer les cookies “third party”.

Si vous vous inquiétez vraiment pour votre intimité sur le web, utilisez un VPN, naviguez en mode incognito sur un navigateur open source, bloquez les cookies “third party”,... De cette façon, les seules informations personnelles récoltées sont celles que vous donnez explicitement.

Si vous n’avez pas compris la partie concernant les VPN, mode incognito ou l’open source,l'argument que j'apporte sur la subjectivité de l'interprétation me semble validé; ces termes sont des “termes clairs et simples” pour moi et beaucoup d’autres. Moralité: faites vos recherches, n’attendez pas que RGPD ou le gouvernement s’occupe de votre protection.

Au passage, voici un petit bonus: https://gdpr-info.eu/art-9-gdpr/

Il y a une liste de 10 situations dans lesquelles la RGPD ne s’applique pas. La plupart sont en relation avec l’utilisation de vos données par le gouvernement (vous vous souvenez des photos envoyées à votre ex ? Ce sont des “donnée de recherches” maintenant). Mieux: “le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée” (cf. RGPD art. 9 - e) Il est possible d’arguer sur l’interprétation de “manifestement rendues publiques” (encore une fois, texte non technique). De mon point de vue, cela signifie qu'il est autorisé d'utiliser n’importe quel information que vous avez publié sur Internet.

Nous y voila.

RGPD est techniquement impossible à appliquer en bonne intelligence. Notamment à cause de cette notion purement subjective de consentement, qui dépend de la compréhension, voir des connaissances techniques de l’utilisateur. Et si; vous avez consenti, ne serait ce qu’une seul fois; et que ces données sont rendues publiques, vous n’êtes alors plus protégé (difficile de faire “oublier” à Internet…).

Résultat: rien n’a changé, et RGPD semble n’être qu’un coup d’épée dans l’eau.

RGPD protège votre vie privée aussi bien qu’une loi vous protège après avoir été cambriolé. Vous avez DÉJÀ été dépouillé. Les voleurs ont surement déjà revendu votre télé. Ils POURRAIENT être punis plus tard. Au conditionnel.

Si vous voulez vous protéger d’un cambriolage, vous avez besoin d’un verrou et d’une alarme. Si vous voulez protéger vos données, vous avez besoin de mesures techniques.

Est ce que RGPD pourrait être mieux conçu ?

Oui !

Si seulement la “General Data Protection Regulation” traitait réellement de protection et de régulation. Elle aurait par exemple pu faire entrer des considérations techniques. Elle aurait pu contraindre les navigateurs et systèmes d’exploitation à fournir un moyen aux sites et services de bloquer la récolte de donnée “third party”. Elle aurait pu rendre obligatoire pour le FAI (Fournisseur d'accès à Internet) de proposer de cacher votre adresse IP.

Pensez à tous ces technocrates juridiques (très bien) payés pour concevoir cette loi pour finalement accoucher de cette ébauche inapplicable en des termes courtois.

Je ne dis pas que cela est facile.

Je ne dis pas que nous n’avons pas besoin de régulation.

De mon avis, le problème actuel n’est pas l’utilisation de données personnelles en soit, mais plutôt le manque de bon sens sur le sujet. Je pense qu'il est temps de moins créditer les articles à pas cher sur “comment les méchantes sociétés volent nos données” et de mettre en place les moyens existant depuis des années pour protéger vos précieuses données (si vous estimez qu’elles en valent la peine !)

Rage mode off