Le 25 mai 2018, entre en vigueur, le règlement européen sur la protection des données personnelles. Voté par le parlement européen le 14 avril 2016, le règlement n°2016/679 s'applique d'autorité dans l'ensemble des 28 pays de l'Union européenne sans que chaque état n'ait à l'adopter. Les objectifs du règlement sont d'accroître la protection des personnes concernées par le traitement des données personnelles et de responsabiliser les acteurs de ce traitement.
Qu'est-ce que ça nous apporte en tant qu'individus ? Et en quoi devrait-il s'appliquer à nos petits sites amateurs ou associatifs ?
Que faut-il faire ? ce n'est pas encore bien clairement expliqué, mais il n'y a plus trop de temps maintenant.
Google, Microsoft et les autres, mettent à jour leurs conditions générales d'utilisation et en profitent pour nous extorquer des acceptations exprès et détaillées pour un paquet d'utilisations de nos données dont on ne soupçonnait même pas l'existence. Avec chaque fois, comme pour la mise à jour de Windows la semaine passée, un bel argumentaire plus marketing que juridique pour détailler tout ce qu'on loupe en refusant, le tout relevant parfois du chantage : tu acceptes expressément ou ton compte est supprimé. "Voulez-vous vraiment les refuser? Vous ne serez plus en mesure d'utiliser le site web et les applications pour tablettes ou mobiles d'Airbnb si vous refusez les conditions actualisées." Voilà pour le consentement libre et éclairé. Notons que fin avril-début mai, Google a supprimé son slogan de 18 ans "Don't be evil" (ne soyez pas maléfique) du code de conduite distribué aux employés. Tirez-en les conclusions que vous voulez.
Selon Le Hollandais Volant , "Ça y est : des dizaines de sites bloquent les utilisateurs européens car l'UE veut protéger nos données mais les sites refusent de se bouger pour nous."
C'est la première conséquence de la future applicabilité du règlement européen sur la protection des données personnelles : le bannissement des internautes Européens. Le même effet qu'une censure.
Il y en a même qui en font du business pour aider les sociétés à bannir les internautes européens. L'article qualifie d'infâme le RGPD.
Certaines entreprises se détourneraient déjà du marché européen. https://www.bleepingcomputer.com/news/security/new-service-blocks-eu-users-so-companies-can-save-thousands-on-gdpr-compliance/
Et pendant ce temps, le 23 mars dernier, le congrès américain a voté en procédure accélérée le Cloud Act qui renforce l'ingérence des autorités américaines sur les opérateurs de cloud américains et s'oppose donc frontalement au RGPD qui interdit dans son article 48 les transferts ou divulgations de données hors de l'UE. Le Cloud Act :
Rappelons l'article 25 du RGPD : imposer aux organisations la protection des données personnelles dès la conception des produits, services et systèmes et la sécurisation par défaut du système d’information, c'est là où les webmestres utilisateurs de CMS demandent des adaptations aux codeurs. Pour les CMS que j'utilise, ça carbure un peu et les webmestres utilisateurs européens sont plus exigeants que les autres, demandant un pack de conformité au RGPD prêt à installer. Mais les codeurs du monde du logiciel libre ne disposent pas de l'armada de juristes des acteurs commerciaux du secteur et tardent à fournir une solution complète.
Quelle solution, d'ailleurs ? Nous ne collectons pas grand chose : il y a bien la pose des cookies pour le bon fonctionnement, la collecte de quelques infos au moment de l'inscription membre ou info-lettre.
Sûr qu'en cas d'utilisation de services externes (partage, cartes, pub, stats de visites ...) ça pose aussi des cookies et ça collecte des données et dès le 25 mai, ce sera au webmestre de demander le consentement (pour les cookies et l'utilisation des données perso) aux visiteurs pour chacun des services externes présents sur le site. Ça va refroidir un peu ceux qui ont l'habitude de parsemer leur site d'icônes de partage social, de cartes Google, de pubs Adsense et même de vidéos YouTube.
Donc, j'ai bien cherché, lu et relu sur le RGPD, puis digéré les commentaires, y compris l'intégralité de ce qu'en dit la CNIL. Et la somme de tout cela, c'est RIEN. Du moins pour les sites web de particuliers.
De tout ce fatras de littérature sur le sujet, il transparaît que ce règlement européen ne s'applique qu'aux professionnels et aux grosses associations. Et comme la CNIL en France, telle ses équivalents dans les autres pays de l'UE, est dessaisie de toutes ses attributions, que les déclarations de sites web sont supprimées, il ne resterait comme obligation pour les sites web non professionnels que la gestion des cookies, pour se mettre en conformité avec la législation. Mais ça ne concerne pas le RGPD. Et encore, si ces cookies ne servent qu'à assurer le bon fonctionnement du service fourni par le site, il n'y a pas de consentement à obtenir, juste une information que des cookies sont installés sur l'appareil de l'internaute et qu'il peut les détruire comme indiqué dans le mode d'emploi de son navigateur. En matière de cookie, l'enregistrement d'un consentement ne concernerait que des sites qui utilisent les infos collectées à des fins de marketing ou de profilage.
Pour le site de généalogie, j'ai ajouté dans le footer que si une personne trouve son nom sur le site, elle peut demander à ce qu'il soit effacé par le formulaire de contact. Mais l'obligation existait bien avant le RGPD.
Selon le RGPD, le listage des logs fait l'objet d'une exception au consentement exprès, du moment que cette collecte est réalisée pour des raisons de sécurité et dans une optique d'identification en cas de pratiques illégales de certains internautes. Toutefois, il convient :
Sur le site de la CNIL, dont la seule fonction désormais semble être l'assistance à la mise en application du RGPD, il n'existe que 2 catégories de public :
Entre les deux, il n'y a personne. Les petit sites de particuliers ou d'association n'existent pas.
Le responsable des sites d'un ministère rejoint mon analyse quand je l'interroge sur les implications du RGPD sur notre site d'association :
"Tout ce que vous risqueriez, dans le pire des cas, c'est un rappel à l'ordre de la part de la CNIL, qui vous expliquerait alors où vous pêchez. Et encore, il faudrait au préalable qu'une plainte soit déposée par un membre du site."
Ce qui importe :
Mais comme nous le martèle Rick Falkvinge, militant des libertés numériques et fondateur du Parti Pirate suédois : La vie privée demeure de votre responsabilité. Depuis janvier, Framasoft traduit sur son blog les 21 billets de sa réflexion : 21 degrés de liberté. "Dans une série de 21 articles sur ce blog nous examinerons comment le droit à la vie privée, une liberté fondamentale, a complètement disparu quand on est passé à l’ère numérique. Sa dégradation n’est rien moins que catastrophique. Nous aborderons toute une série de domaines dans lesquels la vie privée a tout simplement disparu avec la transition vers le numérique, et où cela nous mène. Pour chacune de ces thématiques, nous examinerons la position des différentes juridictions et les tendances qui se dessinent. La motivation principale est claire — il n’est absolument pas déraisonnable de penser que nos enfants devraient avoir au moins les mêmes libertés fondamentales individuelles que celles dont jouissaient nos parents, et aujourd’hui ce n’est pas le cas. Pas du tout."
Voir là : https://framablog.org/2018/01/15/21-degres-de-liberte-01/
à lire aussi : Les textes officiels sur le site de la CNIL
Source(s) : Wikipedia, Le Hollandais Volant, BleepingComputer, Les Echos