Mise à jour de la base de données, veuillez patienter...

Lors d’une élocution du président de la république face aux maires, un point a été soulevé : celui de l’anonymat. Emmanuel Macron souhaite que l’anonymat, sur Internet, soit levé progressivement. Pourquoi ? Quel est le problème ? Est-ce une bonne idée ? Décryptage.

L’anonymat, un problème ?

Dans son élocution, dont la partie qui nous intéresse est consultable ici, Emmanuel Macron a déclaré qu’il souhaitait une levée progressive de l’anonymat. Cela répondrait à un besoin « d’hygiène démocratique du statut de l’information », il estime que c’est une priorité pour la démocratie, afin de pouvoir « distinguer le vrai du faux » car « aujourd’hui, on a beaucoup d’informations, tout le temps, mais on ne sait pas d’où elle vient. »

C’est une façon de remettre chaque personne face à ses responsabilités et ses propos, l’idée est qu’il ne soit plus possible de diffuser de fausses informations, de proférer des insultes, des menaces ou autres joyeusetés sans qu’on sache immédiatement qui tient de tels propos.

On notera qu’à la fin du passage, le président déclare que cette levée d’anonymat permettrait de savoir « d’où les gens parlent et pourquoi ils disent des choses. », des propos assez larges, flous et inquiétants.

Il est vrai que l’usage de l’anonymat a, comme toute chose, deux faces, une bonne et une mauvaise. La mauvaise est que de nombreuses personnes pensent pouvoir tout dire, tout déclarer, certains allant même jusqu’à proférer des insultes, des intimidations, voire des menaces de mort. De plus, des profils un peu techniques savent globalement bien masquer leurs traces afin d’être difficilement identifiables. Dans certains cas, l’anonymat est un obstacle pour les forces de l’ordre, qui ont parfois besoin de réponses rapides, voire immédiates dans certaines enquêtes, l’anonymat serait également un obstacle à lever pour ces raisons.

Si le souhait de lutter contre la diffusion des fausses informations, contre les propos outrageants, contraires à la loi et, plus généralement, contre les comportements conduisant à tout cela est plus que louable et va dans l’intérêt commun, il est néanmoins nécessaire de s’interroger quant à la solution proposée, qui n’est pas sans conséquences.

Pour commencer, l’anonymat, le vrai, est-ce que ça existe ?

La réponse est simple : non, ou très peu et dans des conditions très spécifiques. Disposer d’un pseudonyme ne fait pas de vous une personne anonyme, des recherches, généralement assez rapides, permettent aisément de vous identifier. Pour être exact, il faudrait parler de pseudonymat, de « presque anonymat », ou « d’anonymat en surface ». Votre serviteur, par exemple, est derrière un pseudonyme : Numendil. Seulement, des recherches rapides, non techniques et accessibles à tout le monde permettent de savoir quelle est mon identité civile (et si vous vous posez la question, oui, c’est voulu, et assumé, ce fut un temps nécessaire).

L’anonymat n’existe pas, ou très peu comme je le disais, car le fonctionnement même d’Internet fait qu’il est plutôt ardu de l’obtenir.

Prenons un cas pratique (et déjà peu commun) : une personne derrière un pseudonyme, inscrite à partir d’une adresse e-mail factice, utilisant un VPN pour se connecter.

Il faut que l’individu reste connecté à son VPN, il ne doit ni se connecter en direct au réseau social où il est enregistré, ni directement à son adresse e-mail factice pour valider son inscription, et encore… son VPN connait sans doute sa véritable adresse IP, voire des informations plus poussées dans le cadre d’un VPN payant. Cette adresse IP peut être raccordée à un individu par l’intermédiaire d’une demande à son fournisseur d’accès à Internet… il peut, alors, être identifié. C’est pour cette raison qu’on préfère parler de pseudonymat, pseudo-anonymat : ça y ressemble, ça s’en rapproche, mais ce n’est pas un anonymat total, complet, parfait, quelqu’un, quelque part, sait qui vous êtes.

Si les personnes à l’appétence technique le savent et le comprennent, il n’en est pas de même pour une partie non négligeable des techniciens de la loi, députés, ministres, voire manifestement du président…

Pour ces derniers, les efforts d’identification semblent trop lourds, trop longs à mettre en œuvre, c’est une des raisons qui fait que, depuis des années, des politiques déclarent çà et là que l’anonymat d’Internet est un réel problème.

La solution consisterait, purement et simplement, selon ces derniers, à faire sauter cet anonymat, sur les réseaux sociaux, blogs, sites, …

Une mauvaise réponse à un vrai problème.

Je l’ai déjà dit par le passé, faire sauter l’anonymat est une très mauvaise idée, qui serait, à n’en pas douter, contreproductive et à l’exact inverse du but recherché de la démarche.

Premièrement, comme expliqué précédemment, la plupart des personnes derrière un pseudonymat sont aisément identifiables, au prix de quelques efforts. L’arsenal juridique en la matière est déjà fort riche, l’arsenal technique pour automatiser l’identification d’une personne l’est tout autant : chercher des adresses IP, des métadonnées, des logs laissés çà et là, recroiser des informations, ça se fait déjà, parfois de façon automatisée, via des logiciels qui font très bien le travail.

Secundo, l’objectif concerne une partie très minoritaire, quoi que très visible et très présente, des individus… mais la levée d’anonymat concernerait tout le monde. Pour de nombreuses personnes, bien plus nombreuses que les nuisibles abordés précédemment, la levée de l’anonymat aurait de très fâcheuses conséquences : limitation de la capacité à s’exprimer librement, exposition à des risques de représailles, persécutions, harcèlement à plus grande échelle ou par d’autres moyens que les actuels. De nombreux professionnels ne sont pas en capacité de s’exprimer s’ils doivent le faire en utilisant leur identité civile : l’armée, la gendarmerie, la police, les médecins, les avocats et bien d’autres encore sont tenus à des obligations et à un secret professionnel. Ils ne pourraient pas alerter l’opinion publique ou relater des faits inadmissibles sous leur identité civile.

Certaines situations (des vols, des agressions ou des viols par exemple) ne sont connues que grâce à l’anonymat qu’Internet permet. Les victimes de ces actes ne pourraient pas s’exprimer sans anonymat, les représailles seraient rapides et évidentes. Dans ces situations, les femmes seraient davantage touchées par tout ce qui pourrait survenir. Elles sont déjà, malgré l’anonymat dont certaines disposent, insultées, traquées, stalkées, menacées voire agressées physiquement par des dérangés qui vont jusqu’à les retrouver… si elles étaient obligées d’être sous leur identité civile, ça ne pourrait qu’être pire.

Comment parler de violences conjugales en utilisant son identité civile ? C’est tout bonnement inconcevable.

En résumé : la levée de l’anonymat conduirait nécessairement à une diminution de notre capacité à nous exprimer, entraverait notre liberté d’expression et pourrait avoir de très importantes conséquences.

Pire, la levée de l’anonymat conduirait à une forme d’autocensure, de méfiance permanente des propos tenus, ce n’est bon pour personne, y compris pour le semblant de démocratie dont nous disposons.

Tertio, les personnes diffusant de fausses informations ou tenant des propos inadmissibles, voire illégaux, ne changeraient pas de façon de faire. La plupart ne sont pas derrière un pseudonyme, ils s’expriment avec leurs noms et prénoms de la vie civile, et assument totalement les propos tenus. Dès lors, lever progressivement l’anonymat pour en trouver quelques-uns reviendrait surtout à pénaliser la grande majorité.

L’anonymat est un sujet à part entière, de nombreux papiers et de nombreuses études existent sur le sujet. Par exemple, pour le rapporteur spécial de l’ONU sur la liberté d’expression, l’anonymat est même une composante essentielle à la liberté d’expression. En 2015 déjà, David Kaye, alors Rapporteur spécial des Nations unies sur la promotion et la protection de la liberté d’opinion et d’expression, exhortait les gouvernements à renoncer à la levée de l’anonymat sur Internet car cela pouvait interférer avec le droit à la liberté d’expression. Le rapport est consultable ici (doc) et on peut d’ailleurs y lire la chose suivante :

« In this sense, encryption and anonymity technologies are specific media through which individuals exercise their freedom of expression. » (Section C, point 26, dernières ligne, page 10).

Pour beaucoup de personnes, certainement plus neutres, plus objectives et moins impliquées que moi, l’anonymat n’est donc ni plus ni moins qu’un des piliers de la liberté d’expression, et c’est bien vrai. Sans la capacité actuelle dont nous bénéficions, à savoir celle d’une forme d’anonymat tout relatif certes, mais une forme d’anonymat quand même, nous ne serions pas libre d’aborder un tas de sujets, allant de situations de la vie quotidienne à des drames, en passant par les métiers, la religion, la sexualité, …

Vous l’aurez compris, je ne souhaite pas qu’un jour, nous soyons dans l’obligation de devoir présenter un titre d’identité pour pouvoir s’inscrire et communiquer en ligne, consommer un contenu sur une plateforme ou écrire un commentaire. Cela conduirait irrémédiablement à un affaiblissement de notre capacité nous exprimer librement.

En conclusion, l’anonymat, c’est comme quasi n’importe quelle chose sur terre : c’est un outil, un moyen, on peut s’en servir pour faire le mal, certes, mais la vaste majorité des personnes ne l’utilisent pas ainsi. L’outil est neutre, les comportements non. Et il ne faut ni blamer ni interdire l’outil, il n’y est pour rien.

L’arrivée du RGPD, le 25 mai 2018, renforce la protection des données à caractère personnel des individus et confère de nouveaux droits à ces derniers. J’ai décidé de faire usage de mon droit d’accès auprès d’un certain nombre d’entreprises et vous partage, ici, le bilan de mes actions.

Plantons le décor

Comme le dit si bien Rayna Stamboliyska dans son article : “Exercice des droits à l’ère du RGPD : un sport de combat”  , c’est une « fausse surprise que de réaliser le désordre » ambiant en matière de protection des données à caractère personnel. La première loi relative au sujet existe depuis 1978. Nous sommes en 2018 et certaines entreprises n’appliquent pas totalement une loi déjà vieille de 40 ans.

Absence de procédure pour certains, de moyens de contact voire de mentions relatives à l’exercice des droits pour d’autres, réponse automatique indiquant que l’adresse mail contactée, pourtant récupérée sur le site officiel, n’existe pas … sont tant d’obstacles qui vous donnent envie de jeter l’éponge. N’y voyez pas le mal, 40 ans après informatique et libertés, des mois après RGPD, les entreprises ne sont simplement pas toutes organisées pour pouvoir répondre à des demandes d’individus, malgré les obligations existantes, c’est ça, la réalité du terrain.

Même s’il est problématique pour une organisation gérant des données à caractère personnel de ne pas savoir s’organiser pour respecter les droits des personnes, il faut aussi avouer que peu de gens connaissent leurs droits. Encore moins en font usage. Les entreprises se pensaient donc globalement « tranquilles », convaincues qu’elles avaient « le temps ». Jusqu’au RGPD, où de nombreux individus ont simplement pris conscience des droits existants, et ont décidé de les utiliser.

Résumons donc : une majorité d’entreprises n’est pas encore prête à répondre correctement à des demandes d’exercice d’un droit, qu’il existe depuis des années ou non. J’ai souhaité faire le point sur ma vie numérique, savoir qui disposait de quoi, sur ma personne, et j’ai commencé à solliciter différentes organisations traitant mes données afin d’exercer mon droit d’accès.

Le droit d’accès, mais encore ?

Exercer ses droits, ça semble plutôt facile sur le papier. En pratique, c’est loin d’être le cas.

Les mentions légales, les conditions générales d’utilisation, les politiques de confidentialité, sont autant de documents à lire et analyser pour trouver qui contacter, quelle procédure utiliser pour faire exercer ses droits. Conseil, si vous souhaitez exercer les vôtres, armez-vous d’un (grand) café avant de démarrer votre lecture.

Je ne détaillerai pas davantage l’exercice des droits, l’article de Rayna le faisant très bien, je vous invite à le lire, à nouveau. Ici, nous allons nous pencher sur « la suite », la pratique, et les réponses apportées.

La pratique

Round 1 : j’ai sollicité 21 entreprises afin de faire exercer mon droit d’accès. Sur ces 21, 18 disposaient d’un e-mail fonctionnel, les trois autres indiquant une adresse qui tombe en erreur et m’offrant pour seul réconfort un mail automatique, poli, me disant « désolé, l’adresse e-mail n’existe pas ».

Six des 18 entreprises ont été éliminées au round 2… pour avoir supprimé mes données alors que j’en demandais l’accès. J’imagine que ces entreprises ne doivent pas être habituées à recevoir des demandes, et sous le stress et la panique, elles ont supprimé l’intégralité de mes données au lieu de me les communiquer.

Mention spéciale sur ce round : une entreprise contactée pour un droit d’accès a supprimé mes données et m’a communiqué un e-mail m’indiquant la purge.

Quelques jours après, elle m’a communiqué un second e-mail, me disant qu’ils ne pouvaient pas satisfaire ma demande de droit d’accès, puisqu’ils ne disposaient d’aucune donnée sur moi…

Enfin, quelques jours après ce deuxième e-mail, une dernière communication est arrivée, me disant que si je voulais m’inscrire à nouveau au service, j’étais obligé de prendre contact directement avec l’entreprise, car mon adresse e-mail était « blacklistée », afin que je ne sois pas inscrit à nouveau sur leur systèmes… Il semble donc que la société conserve des informations sur moi, malgré la suppression annoncée, l’opération de « blacklistage » n’étant pas réalisable autrement.

Nous voilà au round 3, avec 12 entreprises toujours en course. Sur ces 12 entreprises, une m’a répondu en une heure qu’elle avait besoin d’un délai supplémentaire pour m’apporter une réponse. J’attends donc le retour de ladite entreprise.

Quatre entreprises ont répondu correctement, avec de bonnes informations, en me demandant de justifier de mon identité car elles n’étaient pas à même d’affirmer avec certitude que j’étais bien qui je prétendais être. A ce titre, ils m’ont demandé de justifier de mon identité, par tout moyen valable, et une entreprise m’a d’ores et déjà communiqué mes données. Bon point pour elle. Les trois autres n’ont pas encore donné suite, mais nous sommes dans le délai légal.

Ce qui nous laisse sept entreprises.

Bienvenue à Galère-Land.

Sur les sept entreprises restantes, cinq entreprises n’ont pas accusé la réception de ma demande. Je ne sais donc pas si elle est reçue, si elle est traitée, en cours de traitement ou si elle est tombée aux oubliettes.

Une entreprise n’a pas donné suite à ma demande pour le moment, mais phénomène improbable… je reçois des communications d’eux, communication que je ne recevais pas avant et qui sont clairement à vocation commerciale. Ecrire au DPO a donc conduit l’entreprise à m’adresser des e-mails commerciaux, que je n’avais pas avant et auxquels je n’ai pas consenti. Je vous laisse apprécier l’ironie de la situation, et j’espère pour eux qu’ils vont corriger rapidement le tir, la CNIL n’appréciant sans doute pas la pratique.

Enfin… mon « grand gagnant ». Une entreprise s’est retrouvée à commettre une violation de données en répondant à ma demande de droit d’accès. Ladite entreprise m’a communiqué les informations relatives à mon identifiant… qui appartenait manifestement à une autre personne avant. Et c’est ainsi que j’ai appris l’identité de la personne disposant de mon identifiant avant moi, de son nom, son prénom, son adresse, bref. Il semble que le service juridique se soit rendu compte de « la boulette », puisqu’ils m’ont contacté, pour tenter de me justifier l’erreur, me dire qu’elle n’arriverait plus, que c’était de ma faute et de celle du service client, qui a traité la demande, qui était « offshore ».

Non seulement les informations transmises ne sont pas les miennes, mais en plus l’entreprise n’assume pas son erreur et comble du comble elle ne m’a pas indiqué que ma demande était traitée en dehors du territoire de l’Union.

J’étais quelque peu…mécontent, mécontentement que j’ai signalé. Depuis, plus aucune nouvelle, plus de réponses. Dommage.

Bilan

Sur 21 entreprises, cinq ont répondu « dans les clous » à ma demande. Moins de 25%. Ce n’est certes pas un bon chiffre, mais il reste encourageant pour la suite. Les réponses qui m’ont été fournies sont complètes, bonnes, citent la règlementation de façon précise. Les réponses m’invitant à patienter également, le délai de réponse est mentionné, les justifications du temps de réponse sont communiquées.

Le niveau de maturité des organisations n’est pas homogène, certaines comprennent bien les enjeux, font preuve de sérieux, d’autres pas. Certaines s’y prennent parfois mal, peuvent être maladroites, là où d’autres ne vous répondent pas, ne semblent pas vous considérer et vous spamment alors que vous ne l’avez jamais demandé. Il reste encore un long chemin à parcourir pour un certain nombre d’entreprises, reste à savoir si cela se fera dans la bonne intelligence, ou dans la douleur des sanctions.

Il fallait bien un titre un peu « putaclick » pour un sujet qui l’est tout autant. Et pour un retour sur ce blog, délaissé depuis des mois, faute de temps. Rentrons directement, sans mauvais jeux de mots, dans le vif du sujet : l’accès aux sites pornographiques, le Pr0n, comme on dit sur les Internets. Notre bon Secrétaire d’État au Numérique, Mounir Mahjoubi, vient de proposer une solution « innovante » pour contrôler l’accès aux sites dédiés à la pornographie : le tiers de confiance. Qu’est-ce ? Est-ce une bonne idée ? C’est la question à laquelle je vais essayer de répondre.

Posons le décor…

Le problème est le suivant : sur Internet, personne ne sait qui vous êtes vraiment, comprenez par là qu’un enfant de, admettons, 12 ans, peut cliquer sans aucun problème sur « oui, je suis un adulte et oui je veux voir des gens en train de pratiquer une activité sexuelle X, Y ou Z » (plutôt X en l’occurrence).

Les sites pornographiques ne vous demandent pas, en France du moins, de justifier ou de prouver votre identité pour accéder aux contenus, il vous suffit de cliquer sur un « je reconnais être majeur », voire simplement taper une adresse et « paf », vous voilà sur le site, avec un accès direct aux contenus.

De nombreuses personnes, des parents, des hommes et des femmes politiques, des personnalités, cherchent depuis des années un moyen de restreindre l’accès à ces contenus destinés aux adultes… seulement, une solution – entendons-nous bien, une solution fonctionnelle et respectueuse de votre intimité – n’existe tout simplement pas, dès lors qu’elle se situe ailleurs que sur votre ordinateur, installée, en dur. A ce titre, un proxy, type « contrôle parental », peut répondre à ce besoin, de façon plus ou moins précise.

Ce constat semble partagé par la classe politique, qui cherche, depuis des années, un moyen fiable de restreindre l’accès des sites pornographiques aux seules personnes adultes identifiées comme telles, et comme étant donc en droit d’aller se rincer l’œil, et autres joyeusetés, le secteur étant très imaginatif.

La solution miracle de « Magic Mounir »

Le « tiers de confiance ». Un « tiers de confiance », tel que présenté par le secrétaire d’état au numérique, consiste à s’identifier sur une plateforme, laquelle va dans un premier temps attester de votre identité; avant de transmettre un jeton, ou token, au site que vous souhaitez visiter, qui vous laissera alors passer et naviguer en paix.

On pourrait résumer cela en un agent de sécurité, connu de l’endroit que vous souhaitez visiter, qui vérifie votre carte d’identité et qui vous laisse rentrer. La direction de l’endroit ne sait pas qui vous êtes, n’a pas connaissance de votre identité, mais elle fait confiance à l’agent, le « tiers de confiance » donc, qui lui a dit « Ok il peut passer ».

La mise en place d’un tel système revient à poser une question, la plus importante sans doute : à qui doit-on faire confiance ? Qui peut devenir votre tiers de confiance pour identifier les visiteurs et leur permettre un accès aux vidéos ?

Il faut que le tiers soit sérieux, exemplaire, qu’il soit neutre, qu’il soit au fait que les accès qu’il va permettre sont tout de même sensibles, puisque ces derniers donnent accès à des images, sites et vidéos, disons-le clairement, de cul.

Est-ce que l’accès, une fois autorisé, est autorisé pendant une durée ? Si oui, laquelle ? Le temps d’une vidéo ? Le temps d’une session de navigation ? Un temps humain, en jour ? Si c’est en jour, comment s’assurer que la personne qui était sur un site porno de 08h12 à 08h40 ce matin est la même que celle de 22h00 ? Bref, de nombreuses questions sont soulevées par la présence de ce tiers de confiance et par son mode de fonctionnement également.

Seulement, ces questions techniques soulèvent d’autres questions, plus « morales » : est-ce que je peux, moi, faire confiance à ce tiers de confiance ?

Qu’est-ce qui me dit que les données de ce tiers ne vont pas être utilisées à d’autres fins que celles prévues, à savoir l’identification ? Qu’est-ce qui me dit que ces données ne vont pas être volées, un jour, par un … tiers ? Est-ce que j’ai vraiment envie de signaler chaque visite que j’effectue à un tiers ? Je la signale déjà à mon opérateur, à celui qui gère mon DNS, je ne vais pas, en plus, la signaler à un tiers qui n’a aucune raison technique d’exister, non ?

A ces questions, M. Mahjoubi répond : « nous pourrions utiliser France Connect ».

France Connect, pour celleux qui ne connaissent pas, est le système d’authentification unifiée (SSO en anglais) de l’Etat. Grâce à France Connect, vous pouvez être connecté à certains services de l’Etat, comme le site des Impôts, celui de la Sécurité Sociale (Ameli.fr) ou encore La Poste, et d’autres s’ajouteront à la liste au fil du temps.

L’idée serait donc de rajouter dans ce SSO l’accès à certains sites pornographiques, à côté d’Ameli et des Impôts. Pardonnez-moi l’expression, mais l’idée n’est pas franchement bandante.

La question à vous poser est « est-ce que je suis d’accord pour que l’Etat soit en capacité de savoir que je me suis connecté à telle, telle ou telle heure à tel, tel ou tel site de cul ? »

La réponse, normalement, est non, sauf si vous êtes excités à l’idée que l’Etat puisse disposer de ces informations (après tout, chacun sa source d’excitation).

Enlarge your problem

L’autre problème, plus large, est le suivant : si un tel système était adopté, quels seraient les sites concernés par cette authentification ? Les sites français ? Les sites européens ? Les sites à l’échelle de la planète ?

Et « les sites », quels sites, d’ailleurs ? Avec deux trois mots clefs évidents, il est possible de trouver des images, ou des GIFS, explicitement pornographiques, sur… Google. Est-ce que Google doit être connecté à ce « tiers de confiance », dans la mesure où il permet d’accéder à du contenu pornographique ? La question se pose aussi pour les réseaux sociaux, comme Twitter, où il n’est pas rare de croiser des vidéos entières, des images, des GIFS, de cul, voire de disposer de comptes spécifiquement dédiés au plaisir charnel. Twitter devrait-il être connecté à ce « tiers de confiance » ? Et la question peut se poser sur de très, très très très nombreux sites qui n’ont pas pour objectif principal de permettre l’accès à du contenu pornographique mais, qui, via leurs utilisateurs, en contiennent (coucou Tumblr).

La proposition de M. Mahjoubi est une mauvaise réponse à un vrai problème. L’industrialisation du porno a standardisé un certain nombre de pratiques, et le visionnage de ces vidéos ne devrait pas être possible pour les plus jeunes, premièrement car ces derniers pourraient être choqués, ensuite car ils peuvent ne pas être en capacité de comprendre que c’est un jeu, que ce sont généralement des acteurs, ou des amateurs qui se mettent en scène.

Mais… le « tiers de confiance », ce n’est pas une réponse adéquate. Pour toutes les raisons et les questions indiquées et pour bien plus encore.

Et si « le tiers de confiance », c’était l’éducation (sexuelle) des enfants, et l’accompagnement des parents, sur ce sujet encore trop tabou ?

Attention, cet article n’est pas une analyse juridique, ce n’est que le fruit d’une analyse personnelle, certes détaillée, mais personnelle. Faites attention.

Le 25 mai, c’est bientôt ! A ce titre, Facebook est en train de finaliser sa bascule pour se mettre en conformité avec la loi, le fameux RGPD ou GDPR en anglais, règlement dont tout le monde ou presque parle en ce moment.

Disposant d’une page Facebook et donc d’un compte Facebook, j’ai dû, comme beaucoup d’autres, lire et accepter les conditions pour pouvoir continuer à utiliser le réseau social. Je vous propose un petit retour sur ces nouvelles conditions d’utilisation et, plus globalement, sur la mise en conformité de Facebook au RGPD.

L’accompagnement de Facebook dans la lecture de la loi

Si vous disposez d’un compte Facebook, vous avez reçu un e-mail de chez eux, e-mail qui exige que vous acceptiez, ou non, les conditions générales d’utilisation du réseau social.

On découvre un lien « vérifier maintenant », qui, à titre d’information, se présente sous la forme suivante :

https://www.facebook.com/n/?gdpr%2Fconsent%2F&consent_mode=0&consent_region=0&entry_product=notification_email&aref=xxxxxxxxxxxxxxxx&medium=email&mid=xxxxxxxxxxxxxxxxxxxx&bcode=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&n_m=adresse_e-mail_du_compte_facebook

J’ai modifié mon URL pour vous représenter le type de donnée dont je vais parler.

En résumé, Facebook forge donc un lien spécifique pour vous, où il sait :

• Que vous avez cliqué dessus
• Où vous vous situez
• Que vous venez d’un e-mail envoyé par Facebook
• De quelle adresse e-mail vous venez

 

Ce sont des métadonnées liées au lien proposé, nous noterons simplement qu’elles sont assez précises et vous identifient formellement, puisque liées à votre e-mail.

C’est un point de détail, mais en cliquant sur ce lien, vous ne pourrez pas dire que vous ne saviez pas, Facebook disposant, à votre clic, d’un élément de preuve sur son obligation d’information à votre égard.

Ce lien vous renvoie sur une révision des conditions générales d’utilisation, que nous allons découvrir ensemble.

Première étape : la publicité ciblée

La première étape proposée dans cette révision des conditions générales porte sur les publicités ciblées.

Vous pouvez donc accepter ou refuser le pistage publicitaire, mais de façon partielle.

En désactivant ce paramètre, Facebook s’engage à ne plus utiliser de données de ses partenaires pour vous afficher de la publicité… mais Facebook continuera de s’en servir pour « fournir, personnaliser et améliorer » ses produits. Cf. image ci-dessous.

De la même façon, comme vous pouvez le lire, ne pas consentir à la publicité ciblée n’empêche pas Facebook d’utiliser ces données à des fins d’analyses et pour des services commerciaux.

Comprenez par-là que Facebook se réserve le droit d’utiliser vos données, vous n’aurez juste plus de publicité ciblée affichée à l’écran.

Il est impossible, en l’état, d’interdire à Facebook de se servir des données de ses partenaires, la limitation du traitement est donc … limitée. Tout comme le changement de fonctionnement, qui a une portée très limitée. Cela a le mérite d’exister, mais la portée de la modification est bien peu de choses face à la collecte instaurée par Facebook.

Le problème de la publicité ciblée n’est pas tant l’affichage de ladite publicité, Facebook le sait très bien. Le vrai problème de la publicité ciblée est davantage lié aux techniques et mécaniques de collecte et de croisement de données. Et Facebook ne permet pas,  volontairement selon moi, d’intervenir à ce niveau.

Pour une majorité de personnes, le fait de ne plus voir de publicité ciblée devrait suffire, certains penseront peut-être « Chouette, Facebook ne fait plus n’importe quoi avec mes données », à tort.

Facebook n’affiche plus de publicité ciblée, mais continue de faire n’importe quoi avec vos données. Il ne l’affiche simplement plus.

Seconde étape : la reconnaissance faciale

Seconde étape de la mise à jour des conditions générales d’utilisation, la reconnaissance faciale. Proposée par Facebook, elle est, pour le coup, assez claire. Facebook nous explique le principe de la reconnaissance faciale, son fonctionnement (votre photo est analysée et, de cette photo, on calcule une empreinte qui correspond à vous et uniquement à vous. On compare ensuite cette empreinte aux autres calculées et s’il y a correspondance, alors, c’est vous).

Ici, vous pouvez autoriser ou interdire à Facebook de vous reconnaître sur des photos ou des vidéos

Le paramétrage est clair et la formulation de l’interdiction d’usage est formelle. En refusant, Facebook n’est pas autorisé à vous reconnaître sur des photos ou des vidéos. Point.

Troisième étape : les conditions générales

Le problème épineux arrive. Après les deux premières étapes, Facebook vous demande d’accepter les conditions générales d’utilisation.

Dans ces conditions d’utilisation, on retrouve :

• Les services proposés et offerts par Facebook (fournir une expérience personnalisée, vous mettre en contact avec les personnes et les organisations qui comptent pour vous, …)
• Un renvoi, partie 2, vers la politique d’utilisation des données
• Les engagements de Facebook envers la communauté
• Des dispositions complémentaires aux mentions légales
• Quelques autres conditions et politiques qui s’appliquent selon le cas, comme les standards de la communauté, les conditions commerciales, les règles des régies publicitaires, …

Ces conditions sont, dans l’ensemble, relativement claires. Regardons plus en détail la politique d’utilisation des données.

La politique d’utilisation des données

Dans cette politique, on retrouve les données que Facebook collecte (« vos activités, les activités des autres personnes, vos réseaux de contact, les informations relatives aux paiements, les informations relatives à vos appareils, les informations des sites web et applications qui ont recours à nos services, les informations des partenaires tiers et les informations en provenance des sociétés de Facebook »).

Je n’irai pas plus loin dans le détail des différentes politiques de Facebook, elles sont trop nombreuses pour être toutes traitées dans un seul article. Nous allons nous arrêter sur quelques points, et en particulier : « les informations des sites web et applications qui ont recours à nos services »

Le problème des produits Facebook

Les différentes politiques couvrent l’ensemble des produits Facebook… mais les produits Facebook, qu’est-ce que c’est ?

La réponse de Facebook est, à nouveau, assez claire sur le sujet :

Les Produits Facebook comprennent Facebook (notamment l’app mobile Facebook et le navigateur intégré), Messenger, Instagram (notamment les apps telles que Direct et Boomerang), tbh, Moments, Bonfire, Facebook Mentions, AR Studio, Audience Network et tout(e) autre fonctionnalité, app, technologie, logiciel, produit ou service proposé(e) par Facebook Inc. ou Facebook Ireland Limited, conformément à notre Politique d’utilisation des données. Les Produits Facebook comprennent également les Outils professionnels Facebook, des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager »), nos SDK et nos API.

(https://www.facebook.com/help/1561485474074139?ref=tos)

Spoiler : l’information qui sera traitée ici est la suivante : « des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager ») »

Ce qu’il faut comprendre, c’est que si vous acceptez les conditions générales, alors vous autorisez Facebook à effectuer un pistage massif de votre activité sur ses produits… dont le bouton j’aime ou celui de partage… boutons présents sur un nombre incalculable de sites web qui n’appartiennent pas à Facebook.

Ce point à lui seul mériterait un traitement à part, du côté de Facebook.

La problématique est la suivante : comment ne pas être pisté sur des sites web qui intègrent des services Facebook ?

La réponse proposée par Facebook est relativement simple : si vous n’êtes pas d’accord, vous devez arrêter d’utiliser Facebook.

La base légale

L’activité de Facebook repose essentiellement, pour ne dire exclusivement, sur des algorithmes, du calcul, du rapprochement de données et de l’analyse de ces dernières. Le business model de Facebook se base intégralement sur ce principe, c’est ce qui fait la pertinence du site et c’est ce que les sociétés qui travaillent avec Facebook recherchent : des informations fiables, qualifiées, un profil riche en information.

L’approche choisie par Facebook fait tout pour préserver son business model, ce n’est d’ailleurs sans doute pas pour rien que Facebook a décidé de proposer un modèle de conformité RGPD aux personnes identifiées comme étant concernées et uniquement à ces dernières.

Seulement, le business model n’est pas une base légale de traitement, au sens du RGPD.

La première partie de l’article 6 du règlement définit 6 bases légales de traitement, que voici :

1. a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
2. b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci;
3. c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
4. d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
5. e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
6. f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Il apparait évident que la base légale du traitement opéré par Facebook n’est pas le point C, ni le point D, ni le point E.

En ce qui concerne le point A, c’est plus nuancé : via la mise à jour des conditions générales d’utilisation et l’obligation des les accepter, je donne un acte de « consentement » à Facebook quant à ce qu’ils font de mes données.

Le point B pourrait être invoqué, Facebook pourrait très bien dire que l’ensemble de ses mesures de pistage sont nécessaires à l’exécution d’un contrat.

Le point F pourrait également être invoqué par Facebook, qui pourrait faire savoir que le pistage est nécessaire aux intérêts légitimes de l’entreprise.

En ayant ce niveau de lecture, pas de problèmes… mais qu’en est-il si on entre vraiment dans le détail ?

NDLR : c’est à ce moment qu’on va vraiment entrer dans « la loi ».

La base légale du consentement (Art. 6-1.a)

L’article 6-1.a doit être rapproché de l’article 4, point 11, qui donne la définition du consentement :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il doit également être rapproché de l’article 7, qui définit les conditions applicables au consentement, en particulier son point 4 :

Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Enfin, il doit également être rapproché du considérant 43 :

Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Les passages soulignés sont de mon fait, pour vous faciliter la lecture.

Facebook vous informe donc d’une actualisation de ses conditions générales d’utilisation, à laquelle vous devez consentir, et je n’ai aucun problème avec ça. C’est même parfaitement logique, comme partout : si vous n’êtes pas d’accord, vous n’utilisez pas, point.

En revanche, dans ces conditions générales d’utilisation, il est fait référence à la politique d’utilisation des données, dans laquelle on parle de l’ensemble des produits de Facebook.

Et il n’est pas possible d’accepter partiellement les conditions générales d’utilisation de Facebook. Par exemple, il n’est pas possible d’accepter la finalité de traitement de données issues exclusivement de Facebook et de refuser les traitements de données en provenance des sites tiers qui embarqueraient le script du bouton « j’aime ».

Partant de ce point, nous pouvons décemment nous interroger quant à la notion de liberté dans le consentement. Je n’ai pas un réel choix, si je veux continuer à utiliser Facebook, je dois accepter, sauf qu’en acceptant, je donne un accès très large à mes données, et que cet accès large présente un potentiel déséquilibre entre les personne concernée, à savoir moi, et le responsable de traitement, à savoir Facebook.

Partant de là, la base légale du consentement est fortement compromise.

La base légale de l’exécution contractuelle (Art 6-1.b)

L’article 6-1.b doit être rapproché du considérant 44, qui dit :

« Le traitement devrait être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un contrat ou de l’intention de conclure un contrat. »

Il est question de nécessité. La nécessité commerciale ne pouvant être invoquée, on parlera de la nécessité technique… qui, elle aussi, est discutable.

Pour proposer de la publicité, Facebook peut faire de la pub dite « contextualisée », c’est-à-dire en référence à la page que vous êtes en train de visiter, au groupe d’intérêt par exemple.

Facebook peut également limiter les données utilisées dans son algorithme. Il sera moins pertinent, encore que cela reste à prouver, mais techniquement, c’est quelque chose d’imaginable, et pas quelque chose de nécessaire à l’exécution du contrat.

Comprenez par-là que, si demain, Facebook limite son algorithme, le réseau social continuera de fonctionner. Ils feront potentiellement moins d’argent, mais la base « on fait des sous » ne rend pas un traitement conforme à la loi pour autant.

La base légale des intérêts légitimes du responsable de traitement (Art. 6-1.f)

L’article 6-1.f est, lui, à rapprocher du considérant 47 :

Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

Les passages soulignés sont de mon fait, afin de vous faciliter la lecture.

Les affaires liées à Facebook, qu’elles soient anciennes ou récentes, comme celle de Cambridge Analytica, nous démontrent qu’il existe un danger pour les intérêts et les droits fondamentaux de la personne concernée. Partant de ce principe, nous pouvons nous interroger quant à l’intérêt légitime que Facebook pourrait invoquer pour justifier l’exploitation de nos données personnelles.

Je ne fais pas partie de la CNIL, mais il serait intéressant d’avoir son avis sur la question. En qualité d’autorité gardienne de la protection de nos données et d’autorité de contrôle, en France, son retour sur la question serait précieux.

Mesdames et messieurs de la CNIL… ma porte est ouverte.

Mon avis est le suivant : invoquer l’intérêt légitime pour justifier la collecte de nos données personnelles n’est pas une garantie suffisante et ne représente pas une base légale de traitement sérieuse pour Facebook.

Partant de là, je ne vois pas de base légale de traitement vraiment solide.

Hormis la justification financière (« c’est notre business model »), il n’existe pas, selon moi, de base légale assez solide, ni d’acte de consentement assez libre pour justifier l’activité de Facebook et sa conformité au prochain RGPD. Et puisque, comme nous l’avons dit précédemment, la justification « c’est notre business » n’est pas une base légale…

Conclusion

Facebook est en train de se mettre en conformité au RGPD. Mon avis est qu’ils tentent d’établir des bases légales, qui, toujours selon moi, seront méticuleusement inspectées après le 25 mai.

Ces observations iront peut-être dans mon sens, ou peut-être pas, nous allons devoir encore patienter pour savoir si Facebook fait les choses correctement ou non.

Facebook n’est pas une petite entreprise, on peut légitimement supposer qu’ils ont été accompagnés par une armée d’avocats et de conseillers pour établir leurs nouvelles politiques et se mettre en conformité au règlement. Reste à voir si ces avancées seront jugées suffisantes au regard de la protection des données personnelles, surtout quand ce dernier a démontré et démontre encore qu’il n’est en mesure de protéger lesdites données.

Comme dirait LinksTheSun, j’aimerais ouvrir une (

Si vous travaillez dans le monde de la sécurité, le titre du billet vous parlera forcément. Pour les autres, nous allons aborder un point relatif à la sécurité de l’information voire à la sécurité, de façon générale.

Il est important de comprendre que le monde de la sécurité n’est pas quelque chose à part, qui arrive à la fin d’un projet, d’un développement, de l’ouverture d’une activité. Il doit être présent à chaque étape, de quasiment, chaque projet. De la même manière, il est important de comprendre que le monde de la sécurité ne se résume pas à des programmes et des lignes de codes, des services et processus relatifs aux différents systèmes d’informations des sociétés.

Un bon niveau de sécurité s’intéresse à l’ensemble des éléments qui peuvent représenter un danger potentiel, un risque avéré, un point de faiblesse ou, pour résumer, à toute chose ou personne qui accède, utilise ou touche à de la donnée.

Vous vous demandez peut-être où je souhaite en venir ? La réponse arrive d’ici quelques paragraphes, encore un peu de patience.

Votre système d’information est potentiellement très sécurisé, vous avez un système d’identification et d’authentification robuste, les actions des personnes qui accèdent au système sont enregistrées, le matériel qui le compose est identifié, ses failles aussi, les ordinateurs les plus exposés sont mis à jour, sécurisés, chiffrés peut-être, bref… vous disposez d’un niveau de sécurité convenable, ou bon.

Mais est-ce assez ?

La sécurité doit toujours être évaluée en se basant sur le maillon le plus faible de la chaîne.

Et le maillon le plus faible de la chaîne, c’est vous. Pas plus tard qu’hier, une personne qui parlait, non loin de moi, était en train d’expliquer à ses interlocuteurs tout ce qu’elle faisait chaque jour, en donnant des noms d’applications, des problèmes de sécurité, des interlocuteurs et des fonctions au sein d’une entreprise, qui, soyons clairs, exige un niveau de sécurité maximal.

Les exemples sont hélas nombreux, que cela soit dans les transports en commun, les restaurants, dans une file d’attente, au self de la cantine collective ou dans tout autre lieu où, potentiellement, les informations que vous échangez ne sont pas en sécurité.

Comprenez par là la chose suivante : vous aurez beau sécuriser votre système de la meilleure des façons, si votre personnel n’est pas formé ou sensibilisé au risque qu’il représente et, que par inadvertance, il laisse fuiter des données, votre sécurité ne vous sera d’aucune utilité.

Fin de là ).