Le 25 mai 2018, entre en vigueur, le règlement européen sur la protection des données personnelles. Voté par le parlement européen le 14 avril 2016, le règlement n°2016/679 s'applique d'autorité dans l'ensemble des 28 pays de l'Union européenne sans que chaque état n'ait à l'adopter. Les objectifs du règlement sont d'accroître la protection des personnes concernées par le traitement des données personnelles et de responsabiliser les acteurs de ce traitement.
Qu'est-ce que ça nous apporte en tant qu'individus ? Et en quoi devrait-il s'appliquer à nos petits sites amateurs ou associatifs ?
Que faut-il faire ? ce n'est pas encore bien clairement expliqué, mais il n'y a plus trop de temps maintenant.

Les principes clés du RGPD selon la synthèse de Wikipedia :

• cadre légal harmonisé au sein de l'UE
• application extra-territoriale aux sociétés extra-européennes dès qu'elles ciblent des résidents européens par le profilage et leur proposent des biens et services
• consentement explicite et positif des citoyens pour reprendre le contrôle de leurs données privées
• droit à l'effacement des données personnelles
• droit à la portabilité des données personnelles (pouvoir les transférer d'un service à un autre)
• profilage : toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant - article 22
• imposer aux organisations la protection des données personnelles dès la conception des produits, services et systèmes et la sécurisation par défaut du système d’information - article 25
• notification en cas de fuite des données
• Majorité numérique fixée à 16 ans par l'UE, mais peut être adaptée selon les pays : en France, c'est à partir de 15 ans qu'un adolescent protège lui-même ses données et pourra, par exemple, s'inscrire sur les réseaux sociaux sans autorisation parentale.

Des réactions au RGPD notamment à l'étranger

Google, Microsoft et les autres, mettent à jour leurs conditions générales d'utilisation et en profitent pour nous extorquer des acceptations exprès et détaillées pour un paquet d'utilisations de nos données dont on ne soupçonnait même pas l'existence. Avec chaque fois, comme pour la mise à jour de Windows la semaine passée, un bel argumentaire plus marketing que juridique pour détailler tout ce qu'on loupe en refusant, le tout relevant parfois du chantage : tu acceptes expressément ou ton compte est supprimé. "Voulez-vous vraiment les refuser? Vous ne serez plus en mesure d'utiliser le site web et les applications pour tablettes ou mobiles d'Airbnb si vous refusez les conditions actualisées." Voilà pour le consentement libre et éclairé. Notons que fin avril-début mai, Google a supprimé son slogan de 18 ans "Don't be evil" (ne soyez pas maléfique) du code de conduite distribué aux employés. Tirez-en les conclusions que vous voulez.

Selon Le Hollandais Volant , "Ça y est : des dizaines de sites bloquent les utilisateurs européens car l'UE veut protéger nos données mais les sites refusent de se bouger pour nous."
C'est la première conséquence de la future applicabilité du règlement européen sur la protection des données personnelles : le bannissement des internautes Européens. Le même effet qu'une censure.
Il y en a même qui en font du business pour aider les sociétés à bannir les internautes européens. L'article qualifie d'infâme le RGPD.
Certaines entreprises se détourneraient déjà du marché européen. https://www.bleepingcomputer.com/news/security/new-service-blocks-eu-users-so-companies-can-save-thousands-on-gdpr-compliance/

Et pendant ce temps, le 23 mars dernier, le congrès américain a voté en procédure accélérée le Cloud Act qui renforce l'ingérence des autorités américaines sur les opérateurs de cloud américains et s'oppose donc frontalement au RGPD qui interdit dans son article 48 les transferts ou divulgations de données hors de l'UE. Le Cloud Act :

• peut contraindre les entreprises américaines à divulguer des informations personnelles sur leurs utilisateurs dans le cadre d'enquêtes, même lorsqu'elles ne sont pas stockées sur le territoire américain
• permet à l'exécutif américain de négocier avec d'autres gouvernements des accords bilatéraux pour des échanges d'informations, sans recourir au juge pour faire valider les demandes.
  Source Les Échos

Sommes nous concernés pour nos sites web?

Rappelons l'article 25 du RGPD : imposer aux organisations la protection des données personnelles dès la conception des produits, services et systèmes et la sécurisation par défaut du système d’information, c'est là où les webmestres utilisateurs de CMS demandent des adaptations aux codeurs. Pour les CMS que j'utilise, ça carbure un peu et les webmestres utilisateurs européens sont plus exigeants que les autres, demandant un pack de conformité au RGPD prêt à installer. Mais les codeurs du monde du logiciel libre ne disposent pas de l'armada de juristes des acteurs commerciaux du secteur et tardent à fournir une solution complète.

Quelle solution, d'ailleurs ? Nous ne collectons pas grand chose : il y a bien la pose des cookies pour le bon fonctionnement, la collecte de quelques infos au moment de l'inscription membre ou info-lettre.

Sûr qu'en cas d'utilisation de services externes (partage, cartes, pub, stats de visites ...) ça pose aussi des cookies et ça collecte des données et dès le 25 mai, ce sera au webmestre de demander le consentement (pour les cookies et l'utilisation des données perso) aux visiteurs pour chacun des services externes présents sur le site. Ça va refroidir un peu ceux qui ont l'habitude de parsemer leur site d'icônes de partage social, de cartes Google, de pubs Adsense et même de vidéos YouTube.

Donc, j'ai bien cherché, lu et relu sur le RGPD, puis digéré les commentaires, y compris l'intégralité de ce qu'en dit la CNIL. Et la somme de tout cela, c'est RIEN. Du moins pour les sites web de particuliers.

De tout ce fatras de littérature sur le sujet, il transparaît que ce règlement européen ne s'applique qu'aux professionnels et aux grosses associations. Et comme la CNIL en France, telle ses équivalents dans les autres pays de l'UE, est dessaisie de toutes ses attributions, que les déclarations de sites web sont supprimées, il ne resterait comme obligation pour les sites web non professionnels que la gestion des cookies, pour se mettre en conformité avec la législation. Mais ça ne concerne pas le RGPD. Et encore, si ces cookies ne servent qu'à assurer le bon fonctionnement du service fourni par le site, il n'y a pas de consentement à obtenir, juste une information que des cookies sont installés sur l'appareil de l'internaute et qu'il peut les détruire comme indiqué dans le mode d'emploi de son navigateur. En matière de cookie, l'enregistrement d'un consentement ne concernerait que des sites qui utilisent les infos collectées à des fins de marketing ou de profilage.

Pour le site de généalogie, j'ai ajouté dans le footer que si une personne trouve son nom sur le site, elle peut demander à ce qu'il soit effacé par le formulaire de contact. Mais l'obligation existait bien avant le RGPD.

Selon le RGPD, le listage des logs fait l'objet d'une exception au consentement exprès, du moment que cette collecte est réalisée pour des raisons de sécurité et dans une optique d'identification en cas de pratiques illégales de certains internautes. Toutefois, il convient :

• d'informer les visiteurs de cette pratique
• de détruire les logs au-delà d'une durée raisonnable (1 an maximum, il me semble)
• de veiller à ce que les logs ne soient pas publiquement accessibles. (c'est le problème actuel avec mes sites de généalogie, et en attendant une solution, j'ai configuré la collecte à zéro enregistrement et vidé les fichiers de logs)

Sur le site de la CNIL, dont la seule fonction désormais semble être l'assistance à la mise en application du RGPD, il n'existe que 2 catégories de public :

• les professionnels qui doivent s'équiper de tout une panoplie d'obligations (registre, études d'impact des traitements, délégué ...) pour démontrer qu'ils ne sont pas les horribles profiteurs qui pillent nos données persos pour se faire un max de blé sur notre dos.
• les particuliers qui sont par nature des exploités qu'il convient d'aider à se révolter pour défendre les pauvres droits qui leur restent.

Entre les deux, il n'y a personne. Les petit sites de particuliers ou d'association n'existent pas.

Le responsable des sites d'un ministère rejoint mon analyse quand je l'interroge sur les implications du RGPD sur notre site d'association :

"Tout ce que vous risqueriez, dans le pire des cas, c'est un rappel à l'ordre de la part de la CNIL, qui vous expliquerait alors où vous pêchez. Et encore, il faudrait au préalable qu'une plainte soit déposée par un membre du site."

Ce qui importe :

• ne jamais stocker les mots de passe des comptes des utilisateurs en clair dans les bases de données
• tenir précisément la liste des contacts pour lesquels vous stockeriez des données personnelles de façon à pouvoir les alerter en cas d'attaque réussie ou d'exfiltration illégitime de leurs données.
• pour les newsletters, faire une campagne annuelle auprès de tous les destinataires pour leur demander de confirmer leur intention de recevoir la newsletter. Dans le cas de notre association, il s'agit surtout des mails d'information. Car pour le bulletin, leur adhésion vaut consentement (le préciser dans le formulaire d'abonnement et/ou de paiement)"

Mais comme nous le martèle Rick Falkvinge, militant des libertés numériques et fondateur du Parti Pirate suédois : La vie privée demeure de votre responsabilité. Depuis janvier, Framasoft traduit sur son blog les 21 billets de sa réflexion : 21 degrés de liberté. "Dans une série de 21 articles sur ce blog nous examinerons comment le droit à la vie privée, une liberté fondamentale, a complètement disparu quand on est passé à l’ère numérique. Sa dégradation n’est rien moins que catastrophique. Nous aborderons toute une série de domaines dans lesquels la vie privée a tout simplement disparu avec la transition vers le numérique, et où cela nous mène. Pour chacune de ces thématiques, nous examinerons la position des différentes juridictions et les tendances qui se dessinent. La motivation principale est claire — il n’est absolument pas déraisonnable de penser que nos enfants devraient avoir au moins les mêmes libertés fondamentales individuelles que celles dont jouissaient nos parents, et aujourd’hui ce n’est pas le cas. Pas du tout."

Voir là : https://framablog.org/2018/01/15/21-degres-de-liberte-01/

à lire aussi : Les textes officiels sur le site de la CNIL
Source(s) : Wikipedia, Le Hollandais Volant, BleepingComputer, Les Echos