#AskMeAnything RGPD

J'ai demandé à Mastodon de me soumettre des questions sur le RGPD, en voici les réponses.

Question assez complexe car la base de données des immatriculations, en plus d'être soumise au RGPD, dépend de la Directive 2003/98/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 17 novembre 2003 concernant la réutilisation des informations du secteur public. Pour la faire courte, utiliser cette base de données à des fins commerciales, comme le paiement des péages par exemple, nécessite l'obtention d'une licence spécifique. Cependant ces licences existent et on peut donc imaginer qu'un tel système soit mis en place.

Pour se conformer au RGPD il faudra par contre respecter certains principes : minimisation des données collectées et de la durée de conservation, par exemple.

Sur la question du consentement, je suis partagé. Les gestionnaires d'autoroutes pourraient dire qu'un tel système se base sur leur intérêt légitime à fournir un service performant et permettant un passage rapide au péage. Dans tous les cas, même s'ils se passent du consentement, ils devront prévoir un système d'opt-out, par exemple en mettant en place des fils dédiés sans scan des plaques d'immatriculation.

Questions de @tagada

J'héberge plusieurs instances Mastodon, est-ce que je dois me déclarer à la CNIL ou quelque chose comme ça ?

Que tu héberges une ou plusieurs instances, les déclarations à la CNIL ont été abolies depuis l'entrée en vigueur du RGPD le 25 mai 2018. Par contre, à partir du moment où ton activité d'hébergeur n'est pas "strictement personnelle ou domestique", c'est à dire si ton instance héberge plus que ton compte perso et à la rigueur quelques membres de ta famille ou de tes amis, tu es soumis à l'ensemble des exigences du RGPD et un propriétaire de compte peut demander à exercer ses droits (effacement, portabilité, accès, limitation, etc.). Mieux vaut donc s'y être préparé.

Quel est l'âge minimum d'un⋅e utilisateur⋅ice Internet depuis la RGPD ? Pour n'importe quel site internet ?

Tu as de la chance j'ai rédigé tout un article sur le sujet !

Pour résumer, il n'y a pas d'âge pour accéder à internet. Ceux qui prétendent le contraire le font car ça les arrange et bien souvent pour contourner la loi.

Par contre, certains sites sont tenus d'interdire l'accès aux mineurs. C'est notamment le cas pour ce qui concerne la pornographie. Dans d'autres cas, l'éditeur du site peut avoir à contrôler l'âge avant de donner accès à certains services, comme pour les jeux d'argent par exemple.

Mais toutes ces obligations pèsent sur le propriétaire du site. Ce n'est jamais le mineur qui est en faute s'il accède à un site ou un service qui devrait lui être interdit !

Combien de temps je peux garder les logs de mes serveurs web ?

Question un tantinet complexe car encore débattue. Je vais commencer par expliquer ce que dit le droit français puis expliquer ce qui pose problème.

L'article 6 de la Loi pour la confiance dans l'économie numérique (ou LCEN) impose aux hébergeurs d'un site de conserver "les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires". Ceci étant plutôt flou (quelles données, pour combien de temps ?) Un décret dresse la liste des données visées et précise que celles-ci doivent être conservées un an.

Là où ça se complique, c'est que dans un arrêt appelé Tele2 Sverige AB, la Cour de Justice de l'Union Européenne s'est opposée à "une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique."

La question est donc de savoir si l'obligation de conservation des données prévues à la LCEN est effectivement "une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic". C'est en tout cas l'avis de la Quadrature du Net. Dans ce cas, cette obligation serait contraire au droit européen et devrait donc être abolie.

Pour résumer, en France, les données de connexion des utilisateurs d'un site qui y publient du contenu (donc pas les simples lecteurs), doivent être conservés un an. Mais il est possible que cette obligation soit contraire au droit européen.

Question de @Seven

Que se passe t-il pour les boites qui ne sont pas basées en Europe et ne veulent pas respecter la RGPD?

Alors déjà on dit LE RGPD (c'est UN Règlement). Ensuite, je vais regrouper cette question avec celles de @Troll

Les sites web hébergés en dehors de l'UE sont-ils tenus de respecter le RGPD pour leurs utilisateurs résidents de l'UE ? Et inversement ... Les sites web hébergés dans l'UE sont-ils tenus de respecter le RGPD pour les utilisateurs résidents en dehors de l'UE ?

Pour le coup la réponse est plutôt simple, mais il faut distinguer la théorie (le droit) et la pratique (l'application du droit).

l'article 3 du RGPD ne laisse pas de place au débat : "1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union. 2. Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union"

En gros, si le client ou la société est dans l'UE, le RGPD s'applique. Si aucun des deux ne l'est, le RGPD ne s'applique pas.

Maintenant se pose la question de la pratique. Imaginons que Bob, citoyen français, possède comme source d'info principale un média australien. Inquiet de l'utilisation de ses données, Bob demande l'accès aux données que la société australienne détient sur lui, mais la société refuse. Bob saisit alors la CNIL pour voir son droit respecté. Et bah concrètement, si la société n'a pas d'établissement dans l'UE, je me demande bien comment la CNIL va l'obliger à respecter le RGPD. Elle ne peut pas se rendre en Australie pour la contrôler puisqu'elle n'est pas compétente sur le territoire australien. On peut toujours imaginer qu'une amende soit prononcée mais bon... encore faut-il que la société paie. L'application du RGPD au-delà de l'UE risque donc d'être un sacré casse-tête dans les années à venir.

Question de @Jeremyg

Qu'est-ce que le RGPD au sens idéologique du terme puis au résultat final...

On part donc dans le politique et le méta-juridique... Évidemment pour cette question la réponse tient plus de l'opinion, mais je vais quand même essayer.

Pour l'idéologie du RGPD, je vais retenir deux caractéristiques de ce texte.

Tout d'abord, le RGPD aborde la question des données personnelles sous l'angle de la vie privée. Pour le droit européen, protéger les données personnelles c'est donc protéger une liberté fondamentale, nécessaire pour garantir le caractère démocratique de nos sociétés (interdit de rire). En comparaison la loi californienne de protection des données (CCPA), entrée en vigueur le 1er janvier 2020, considère que la protection des données relève du droit commercial. On protège les données pour assurer un fonctionnement sain du marché de la données. D'ailleurs cette loi parle de "consommateurs" là où le RGPD parle de "personnes". Bon le RGPD parle aussi de favoriser un marché commun de la données, mais l'approche est tout de même différente.

La deuxième spécificité que je retiens est que le RGPD a une vocation extra-territoriale (cf. question précédente). Il s'applique au-delà des frontières de l'UE. Pour certains c'est justifié car l'UE doit avoir une autorité morale sur le monde et guider les pratiques des autres pays, pour d'autres c'est une forme d'ingérence, voire de néocolonialisme. Ce qui est certain, c'est que les États-Unis ne se privent pas d'adopter des lois à portée extra-territoriales depuis longtemps et que le RGPD est aussi un acte de défi à ce pays. Il suffit de voir les conflits entre RGPD et Cloud act pour s'en convaincre.

Bon et il faut aussi le dire, le RGPD c'est aussi pour faire la nique aux GAFAM, leur pomper du fric autrement puisque l'impôt ne marche pas, et tenter de favoriser une tech européenne.

Pour ce qui concerne les résultats du RGPD, je dirais que le premier est une certaine prise de conscience de l'exploitation des données. Pour les conséquences à plus long terme, cela dépendra des autorités, des associations et des entreprises qui œuvreront à faire que le RGPD soit réellement appliqué.

Question de @fredurb1

Sous-traiter la gestion d'un site web collectant des données sans risquer de se retrouver hors la loi.

Si j'étais taquin je dirais que ce n'est pas une question...

Sinon, la réponse est plutôt simple en fait. Pour ne pas être hors la loi, il faut s'assurer que son sous-traitant présente les garanties prévues à l'article 28 du RGPD. Pour ça rien de plus simple, prendre la liste des exigences prévues à cet article et les intégrer dans le contrat de sous-traitance. Dernière chose à faire, informer de cette sous-traitance dans la politique de confidentialité. Cela suffit à être conforme. En réalité même pas besoin de vérifier que le sous-traitant respecte le RGPD, il suffit qu'il s'engage à le faire, via la clause dont j'ai parlé.

Dernière chose, la situation se complique un peu si le sous-traitant se situe hors de l'Union Européenne. Mais ce n'était pas la question... qui n'en est pas une d'ailleurs 😎

Parce que beaucoup de gens pensent que le R vient de regulation en anglais, et disent donc la régulation, ce qui ne veut rien dire. Il s'agit d'UN règlement, au masculin donc.

Question de @jerry_wham

*Combien d'établissements hospitaliers (publics et privés) et de médecins (en cabinet privé ou en maison médicale) sont en conformité avec le RGPD ?

J'ai eu beau chercher, je ne trouve pas d'étude sur la question.

D'expérience, je n'en ai encore jamais vu... mais qui sait.

Merci à tous pour vos questions. J'espère que les réponses auront été satisfaisantes. En tout cas cet exercice m'a bien plu et je n'hésiterai pas à renouveler l'expérience.