Catégorie : Vie privée

  • Emails, chif­fre­ment et vie privée

    Image avec une personne (à queue de cheval), qui envoie un email à travers le réseau jusqu'à son serveur, qui envoie à travers le réseau jusqu'à mon serveur, qui envoie à travers le réseau jusqu'à une autre personne (à chapeau)
    Alice veut envoyer un email à Bob.

    Que peut-on sécu­ri­ser là dedans ? On va essayer d’y voir clair.

    Le schéma stan­dard n’est pas très glorieux

    Les trans­fert entre Alice, Bob et leur serveur sont quasi­ment toujours sécu­ri­sés aujourd’­hui. À l’en­voi c’est SMTP pour un client email, et HTTP pour un webmail. À la récep­tion c’est IMAP ou POP pour un client email, et HTTP pour un webmail.

    La commu­ni­ca­tion entre les serveurs est géné­ra­le­ment sécu­ri­sée mais les proto­coles ne garan­tissent pas qu’elle le soit toujours.

    Les emails tran­sitent par contre en clair sur les deux serveurs. Si Alice et Bob laissent leurs messages sur le serveur, l’his­to­rique y est aussi en clair.

    Envoi : Jaune
Serveur d'envoi et historique : Rouge
Liaison entre les deux serveurs : Jaune
Serveur de réception et historique : Rouge
Réception : Vert

    La vision histo­rique, GPG et S/MIME

    La solu­tion histo­rique qui ne demande aucun chan­ge­ment majeur sur toute la chaîne c’est d’uti­li­ser GPG ou S/MIME.

    Alice chiffre l’email avant de l’en­voyer et Bob le déchiffre au moment où il le reçoit. Le réseau et les serveurs ne voient que le contenu chif­fré, illi­sible.

    Le compro­mis c’est celui de la lettre postale. Les tiers n’ont pas accès au contenu mais savent encore qui a écrit à qui, quand et depuis où. Même le sujet de l’email est en clair (et ça en dit parfois beau­coup).

    Si vous écri­vez à un avocat, à un jour­na­liste, à un hôpi­tal, à une person­na­lité ou à qui que ce soit d’in­té­rêt, on conti­nuera à le savoir. Ça peut révé­ler presque autant de chose que le contenu lui-même.

    Chaîne d'envoi à réception : Bleu-vert

    Cette vision est aujourd’­hui consi­dé­rée comme peu perti­nente, même par ses défen­seurs de l’époque. Elle est complexe à mettre en œuvre, repose sur des échanges de clés qui ne sont pas si évidents, et n’offre pas assez de confi­den­tia­lité. Ça reste toute­fois « l’état de l’art » sur l’échange d’email.

    Il y a un effort avec Auto­crypt pour auto­ma­ti­ser PGP de manière oppor­tu­niste mais ça a son lot de complexité et de compro­mis de sécu­rité.

    Agir de son côté

    La solu­tion histo­rique repose sur le chif­fre­ment par l’ex­pé­di­teur. Si l’email n’est pas chif­fré à la base, on se retrouve dans le système stan­dard. En pratique peu le font, soit parce qu’ils ne savent pas, soit parce que c’est compliqué, soit parce que ce n’est pas proposé par leurs outils.

    Dans toute la suite on va donc se concen­trer un seul côté, faute de pouvoir faire chan­ger nos inter­lo­cu­teurs.

    Réception : Rouge
Archives : Rouge
Traitement : Rouge
Communication : Vert

    Tiers de confiance

    Les emails en entrée seront toujours en clair. La seule chose qu’on peut faire c’est cher­cher un pres­ta­taire de confiance et s’as­su­rer que personne d’autre que lui n’a accès au serveur.

    Le pres­ta­taire de confiance c’est à vous de le choi­sir. Ça peut être une ques­tion d’in­ter­dire le profi­lage, l’ex­ploi­ta­tion statis­tique des données ou la publi­cité ciblée. Ça peut ausi être une ques­tion d’em­pê­cher les fuites ou l’in­tru­sion d’États.

    Sur le premier point les petits pres­ta­taires sont souvent exem­plaires. Sur le second point il est plus facile d’avoir confiance dans un petit acteur qu’on connait bien, mais sa sécu­rité et sa résis­tance aux pres­sions seront peut-être plus faibles.

    Dans tous les cas, cet acteur sera soumis aux lois et aux auto­ri­tés de son pays ainsi qu’à celui du pays qui héberge ses serveurs, pour ce qu’il y a de bien comme pour ce qu’il y a de mauvais.

    Réception : Jaune
Archives : Rouge
Traitement : Rouge
Communication : Vert

    Le choix pour nous, euro­péens, c’est souvent de savoir si on accepte que notre serveur soit ou pas soumis aux lois de surveillance des USA. La soumis­sions aux USA inter­vient dès que l’en­tité qui nous héberge a une présence légale ou maté­rielle dans ce pays, ce qui malheu­reu­se­ment est le plus souvent le cas pour les acteurs inter­na­tio­naux.

    Réception : Orange
Archives : Rouge
Traitement : Rouge
Communication : Vert

    Chif­fre­ment du stockage

    Certains services vous diront que les emails sont stockés chif­frés. C’est un chif­fre­ment unique­ment au stockage.

    Le serveur conti­nue à avoir les clés, donc la capa­cité de lire les emails. C’est mieux que rien, mais ça ne couvre qu’une petite partie du problème.

    Réception : Jaune
Archives : Orange
Traitement : Rouge
Communication : Vert

    Chif­fre­ment à la volée

    Tant que les emails restent lisibles sur le serveur, ça peut fuiter.

    Pour sécu­ri­ser les archives, Mail­den — proba­ble­ment via Dove­cot — chiffre immé­dia­te­ment l’email dès qu’il est reçu, à partir de la clé publique du desti­na­taire. L’his­to­rique est sécu­risé.

    Lors que l’uti­li­sa­teur se connecte avec son client email habi­tuel, le mot de passe reçu sert aussi à accé­der à la clé de déchif­fre­ment le temps de retour­ner les emails. Clé privée, mot de passe et conte­nus en clair sont effa­cés une fois la connexion termi­née.

    L’his­to­rique est protégé mais le serveur a quand même briè­ve­ment accès à tous les emails à chaque fois qu’on se connecte.

    Réception : Jaune
Archives : Vert
Traitement : Orange
Communication : Vert

    Déchif­fre­ment côté client

    On peut faire la même chose mais avec le déchif­fre­ment côté client, comme dans le scéna­rio GPG décrit tout au début.

    Les emails sont chif­frés dès qu’ils sont reçus, et trans­mis chif­frés au client. C’est le client qui s’oc­cu­pera de les déchif­frer.

    Atten­tion, les méta­don­nées sont toujours en clair dans les archives. Ce qui est chif­fré est plus en sécu­rité qu’a­vec Mail­den, mais il y a moins de choses chif­frées (les méta­don­nées en clair peuvent révé­ler beau­coup).

    Réception : Jaune
Archives : Bleu
Traitement : Bleu
Communication : Vert

    Proton Mail fait ça, en utili­sant GPG en interne et des clients emails spéci­fique pour inter­agir avec les serveurs. De ce que je comprends, toute­fois, le service pour­rait être soumis aux lois US. Si c’est confirmé, ça les rend pour moi beau­coup moins « de confiance ».

    Réception : Orange
Archives : Bleu
Traitement : Bleu
Communication : Vert

    Chif­fre­ment de l’en­ve­loppe

    Tuta va plus loin. Ils se sont distan­ciés de GPG et chiffrent tout l’email, enve­loppe incluse.

    En échange la recherche dans les emails se fait forcé­ment côté client (le serveur n’a plus accès aux méta­don­nées néces­saires), ce qui peut être handi­ca­pant pour fouiller dans de grandes archives.

    Il n’y a pas non plus à ma connais­sance de solu­tion pour gérer une sauve­garde auto­ma­tique régu­lière de l’ar­chive email.

    Réception : Jaune
Archives : Vert
Traitement : Vert
Communication : Vert

    Ok, je dois utili­ser Tuta alors ?

    C’est très loin d’être évident.

    Tuta impose d’uti­li­ser ses propres logi­ciels pour accé­der aux emails. Impos­sible d’uti­li­ser les outils habi­tuels via POP ou IMAP. Il y a aussi des restric­tions d’usage sur la recherche dans les archives. Le tout se fait aussi avec un abon­ne­ment non négli­geable.

    Si vous êtes sensibles aux ques­tions de vie privée, par convic­tion plus que par besoin, allez-y. Jetez toute­fois un œil aux compro­mis comme celui de Mail­den, qui permet d’uti­li­ser les proto­coles et outils stan­dards.

    La réalité c’est que pour à peu près tout le monde, tout ça apporte des contraintes à l’usage ou au prix pour un gain très virtuel. Aucun humain ne va lire vos emails, et il y a peu de chances que le contenu ne fuite en public, simple­ment parce que ça n’in­té­resse personne.

    Tout au plus, vue la tour­nure que prennent les États-Unis, si vous appar­te­nez à une mino­rité, ça ne coûte pas grand chose de rapa­trier vos données en terri­toire euro­péen par sécu­rité plutôt que les lais­ser chez Google, Apple ou Micro­soft. Si l’Eu­rope prend le même chemin dans le futur, il sera temps de passer à Proton ou Tuta à ce moment là.

    Si vous êtes quelqu’un en vue, Proton ou Tuta peuvent avoir du sens, mais presque plus parce que ces héber­geurs ont la sécu­rité en tête que parce que les emails y sont chif­frés. Gmail ferait tout autant l’af­faire pour les mêmes raisons.

    Si vous êtes réel­le­ment en danger en cas de fuite de vos emails, Tuta est peut-être ce qui ressemble le plus à une solu­tion mais le mieux est de ne simple­ment pas utili­ser l’email. Ce sera toujours impar­fait parce que ce n’est pas prévu pour être confi­den­tiel à la base. Il y a aujourd’­hui d’autres solu­tions plus perti­nentes.


    Simple et effi­cace

    Dans tout ça il y a quand même une solu­tion qui n’a pas été abor­dée et qui mérite d’être souli­gnée : Récu­pé­rer ses emails très régu­liè­re­ment et ne pas lais­ser ses archives en ligne.

    Parfois le plus simple est encore le plus effi­cace. Tant qu’il n’y a pas besoin d’ac­cé­der aux archives en ligne ou depuis le smart­phone, ça fait très bien l’af­faire.

    Réception : Jaune
Communication : Vert
Archives locales : Vert
  • Le monde tel qu’il aurait pu être. Lundi 20 novembre 2023

    Le conseil consti­tu­tion­nel avait déjà déclaré le droit à la vie privée comme un prin­cipe consti­tu­tion­nel. Suite à une ques­tion prio­ri­taire de consti­tu­tion­na­lité, le conseil va désor­mais beau­coup plus loin.

    La plus haute juri­dic­tion a constaté que l’in­fla­tion des mesures et des moyens permet­tant l’ac­cès aux données privées avait changé le contexte dans lequel nous vivons. Dans ce nouveau contexte, le droit à la vie privée ne saurait être effec­tif sans garan­tir le droit au chif­fre­ment des échanges et des données.

    Avec cette décla­ra­tion, le conseil consti­tu­tion­nel met fin à toute velléité du gouver­ne­ment à inter­cep­ter ou faire analy­ser les messa­ge­ries chif­frées comme What­sapp direc­te­ment au niveau des serveurs de l’édi­teur. Il est probable que cela mette fin aussi à l’obli­ga­tion de commu­niquer la clef de déchif­fre­ment d’un télé­phone portable sur requête des forces de l’ordre lors des gardes à vue.

  • Le monde tel qu’il aurait pu être. Vendredi 17 novembre 2023.

    Le jour­nal d’in­ves­ti­ga­tion Disclose a révélé l’usage illé­gal de recon­nais­sance faciale dans les vidéos surveillances de 34 villes de France. Ce logi­ciel est aussi utilisé à la police judi­ciaire, dans diffé­rens services de la police natio­nale, dans les préfec­tures de police de Paris et de Marseille, à la sécu­rité publique et la gendar­me­rie natio­nale, hors de tout cadre légal.

    Ce matin le ministre de l’in­té­rieur a réagit ferme­ment.

    Le ministre de l’in­té­rieur a pris connais­sance de faits graves dans gestion des images de vidéo-surveillance dans plusieurs collec­ti­vi­tés et services de l’État.

    Le ministre de l’in­té­rieur réaf­firme son atta­che­ment au respect de la loi et aux liber­tés publiques. L’ad­mi­nis­tra­tion publique est tenue à la plus grande exem­pla­rité du fait des pouvoirs qu’elle détient.

    Des enquêtes admi­nis­tra­tives ont été dili­gen­tées dans les services de police, de gendar­me­rie et préfec­tures. Les préfets sont char­gés de faire cesser les infrac­tions auprès des collec­ti­vi­tés terri­to­riales.

    Un suivi sera mis en place avec la presse dans un mois après les premières conclu­sions.

    En fonc­tion des résul­tats de l’enquête, s’il est confirmé que les viola­tions étaient conscientes, les respon­sables seront pour­sui­vies au niveau disci­pli­naire et au niveau judi­ciaire.

    Extrait de commu­niqué de presse du Minis­tère de l’in­té­rieur.
  • Le monde tel qu’il aurait pu être. Mercredi 15 novembre 2023

    La CNIL a enfin rendu ses conclu­sions vis-à-vis de l’uti­li­sa­tion frau­du­leuse du fichier des coor­don­nées en prove­nance de l’es­pace sécu­risé agents publics afin de diffu­ser une propa­gande poli­tique sur les retraites.

    Elle a su éviter un simple rappel à l’ordre qui n’au­rait eu aucun effet. Elle a noté que le problème était d’au­tant plus grave qu’il était commis par un ministre en fonc­tion à l’aide de l’au­to­rité de son mandat mais à des fins de mili­tan­tisme hors du cadre de leur fonc­tion.

    Elle a donc trans­mis le dossier à la justice pour que le ministre soit pour­suivi person­nel­le­ment.

  • Valiuz et données person­nelles

    Tout commence par Décath­lon

    Dans les paramètres de mon compte, "Utilisation des données", je découvre "Valiuz", pour "Enrichir mon compte Decathlon par mes interactions avec les autres enseigne de l'alliance Valiuz (et réciproquement)"

Mauvaise surprise, le partage de données est pré-coché (quid du RGPD ?). Decathlon se permet donc de mettre en commun vos données personnelles avec d'autres enseignes dont Auchan, Boulanger, Kiabi, LeroyMerlin ou Norauto

    Je découvre en août un message Twit­ter qui parle de partage de données par Décath­lon à un hub de données nommé Valiuz, et tout ça n’a pas l’air neuf.

    Suite à ma requête, Décath­lon m’in­forme que mes données n’ont jamais été parta­gées et que c’est une anoma­lie d’af­fi­chage.

    Note : Je pars de là mais Décath­lon a été propre du début à la fin des échanges et, pour peu qu’on croit effec­ti­ve­ment à la réponse de l’er­reur d’af­fi­chage, je n’ai stric­te­ment rien à leur repro­cher.


    Valiuz

    Par contre j’ai poussé avec Valiuz.

    Valiuz regroupe quasi­ment toutes les enseignes du groupe Muliez (Decath­lon, Auchan, Kiabi, Boulan­ger, Leroy Merlin, Boulan­ger, Norauto, etc.). Le but est (je cite) « de mettre en commun avec un groupe d’en­seignes les infor­ma­tions vous concer­nant ».

    La page « comment ça fonc­tionne » laisse peu de doutes : Ils analysent les données person­nelles de plusieurs enseignes et en tirent de nouvelles infor­ma­tions person­nelles, qu’ils repar­tagent aux diffé­rentes enseignes dont je suis client.

    À partir de mon compte Kiabi ils peuvent savoir que j’ai un fils, et le parta­ger à Décath­lon. À partir de mes achats Auchan ils peuvent savoir que j’aime les produits frais et le parta­ger à Boulan­ger qui voudra me vendre des produits de cuisine.

    À partir de mes achats chez LeroyMer­lin ils peuvent infor­mer Norauto que je suis quelqu’un qui fait ses achats le samedi en passant dans les maga­sins plutôt que par le web.

    À partir des adresses de mes livrai­sons, de mon compte utili­sa­teur ou de mes maga­sins Jules, ils peuvent dire à Elec­tro Dépôt que j’ai démé­nagé.


    Données person­nelles

    Bref, Valiuz, à son compte ou en tant que sous-trai­tant (on y revien­dra), traite des données person­nelles détaillées de prove­nance multiple, les recoupe, déter­mine des infor­ma­tions person­nelles nouvelles qu’il va repar­ta­ger à diffé­rentes enseignes.

    Valiuz joue ici le rôle du hub centra­li­sa­teur pour les données.

    Leur page « données person­nelles » indique qu’ils croisent ainsi les données person­nelles des diffé­rents acteurs dont sexe, âge et loca­li­sa­tion, les histo­riques d’achat, des éven­tuels pistages publi­ci­taires obte­nus via le web ou le mobile si vous accep­tez les cookies, mais aussi des données tierces acces­sibles en ligne et des bases de données de tiers.

    Ce n’est pas rien, et éton­nam­ment, la grande majo­rité se fait sans consen­te­ment préa­lable.


    Absence de consen­te­ment préa­lable

    Si Décath­lon me répond que l’ac­ti­va­tion par défaut de Valiuz dans mon profil utili­sa­teur est une anoma­lie d’af­fi­chage, Norauto informe eux que l’uti­li­sa­tion de Valiuz relève de leur inté­rêt légi­time, et n’est donc soumis à aucun consen­te­ment préa­lable. De fait, ils ont en effet trans­mis à Valiuz tout mon histo­rique d’achat.

    De manière très éton­nante, autant Valiuz que Norauto invoquent l’in­té­rêt légi­time des tiers comme raison du partage des données vers les autres membres de l’al­liance.

    Pour infor­ma­tion, ce partage basé sur l’in­té­rêt légi­time des membres de l’Al­liance, ne concerne que les membres qui vous connaissent déjà et pour lesquels vous ne vous êtes pas oppo­sés.

    Décla­ra­tion Norauto

    S’agis­sant de la base légale des trai­te­ments de données mis en oeuvre par Valiuz pour le compte des entre­prises parte­naires, celle-ci repose:
    – sur l’in­té­rêt légi­time de chaque entre­prise de comprendre les attentes de ses clients, de mettre à jour leurs données, et d’amé­lio­rer la perti­nence des commu­ni­ca­tions qu’elle peut leur adres­ser.

    Décla­ra­tion de Valiuz

    Le paravent de la pseu­do­ny­mi­sa­tion

    La première ligne de défense est d’es­sayer de dire que les données sont parta­gées sous forme de pseu­do­nyme [et que donc ça n’est pas bien grave].

    Votre adresse email, adresse postale ou encore votre numéro de télé­phone sont trans­for­més pour ne pas être compré­hen­sibles (prenom.nom@­mail.com deviennent 1a2b3c4d5e6f7…) et servent unique­ment à regrou­per les infor­ma­tions corres­pon­dant à un même client, de façon auto­ma­tique.

    Ces infor­ma­tions ne sont jamais trans­mises à nos parte­naires, qui vous contac­te­ront donc unique­ment si vous leur avez fourni vos coor­don­nées et donné votre accord pour être contacté(e).

    Valiuz, page « mes droits »

    NORAUTO partage à VALIUZ des données pseu­do­ny­mi­sées
    […]
    Les données trai­tées par VALIUZ sont chif­frées de sorte que VALIUZ n’est pas en mesure de vous iden­ti­fier direc­te­ment avec ces données (données “pseu­do­ny­mi­sées”).

    Norauto, charte sur les cookies et les données Person­nelles

    Malheu­reu­se­ment ça ne protège de rien du tout.

    Déjà parce que les données sont assez complètes (loca­li­sa­tion, âge, enfants, histo­rique d’achat complet, et ça croisé entre plus de 20 enseignes en ligne et en physique) mais aussi parce que l’iden­ti­fiant est un iden­ti­fiant unique partagé juste­ment fait pour lier les données des diffé­rentes enseignes entre elles.

    servent unique­ment à regrou­per les infor­ma­tions corres­pon­dant à un même client

    Valiuz, page « mes droits »

    afin que ces dernières soient analy­sées par VALIUZ après mise en commun de ces données avec celles four­nies par les membres de l’al­liance

    Norauto, charte sur les cookies et les données Person­nelles

    On a un joli paravent mais mais cette pseu­do­ny­mi­sa­tion n’em­pêche ni le croi­se­ment des données ni l’iden­ti­fi­ca­tion (on passera sur la confu­sion entre chif­fre­ment et pseu­do­ny­mi­sa­tion dans les infor­ma­tions de Norauto).

    Pire ! Vu qu’il s’agit ensuite de récu­pé­rer des infor­ma­tions person­nelles (adresse obso­lète, habi­tudes d’achat), cet iden­ti­fiant est expli­ci­te­ment fait pour permettre une ré-iden­ti­fi­ca­tion par les desti­na­taires, et ne rien masquer.

    Bref, données person­nelles en entrée, données person­nelles en trai­te­ment, données person­nelles en sortie, fait pour être des données iden­ti­fiantes par tous les acteurs qui les utilisent réel­le­ment.


    Paravent de la sous-trai­tance

    J’ai envoyé une demande d’in­for­ma­tion à Valiuz. Pour eux, sauf pour ce qui concerne le cookie publi­ci­taire, ils ne sont que sous-trai­tant des diffé­rentes enseignes. Ils ne réalisent aucun trai­te­ment à leur propre compte.

    Valiuz agit en qualité de sous-trai­tant de ses diffé­rents clients (entre­prises parte­naires)

    Décla­ra­tion Valiuz

    Valiuz agit en qualité de sous-trai­tant de Norauto

    Décla­ra­tion de Norauto

    Tous insistent que les données sources ne sont pas parta­gées à d’autres acteurs, ni même entre membres de l’al­liance

    Nous atti­rons votre atten­tion sur le fait que ces données ne sont pas trans­mises ou rendues acces­sibles aux entre­prises parte­naires de Valiuz, ni à d’autres tiers.
    […]
    Seule Valiuz a accès à l’en­semble des données trans­mises par ses entre­prises parte­naires. Concrè­te­ment, cela signi­fie par exemple que l’en­seigne X n’a pas connais­sance de vos données d’achat ou navi­ga­tion inter­net au sein de l’en­seigne Y et vice versa.

    Décla­ra­tion de Valiuz

    Seul Valiuz a accès à l’en­semble des données trans­mises par Norauto.

    Décla­ra­tion de Norauto

    Moi je veux bien mais du coup, comment les trai­te­ments mention­nés plus haut sont-ils possibles ?

    Soit c’est Valiuz qui est respon­sable de trai­te­ment. Dans ce cas il y a de leur part des fausses décla­ra­tions de sous-trai­tance, un trai­te­ment non déclaré sans consen­te­ment, et un partage d’in­for­ma­tion person­nelles ensuite aux diffé­rentes enseignes. Du point de vue des enseignes il y a aussi de fausses décla­ra­tions de sous-trai­tance, un partage de données person­nelles à un tiers sans consen­te­ment, et une collecte de données person­nelles sans consen­te­ment en retour.

    Soit c’est bien chaque enseigne qui est respon­sable de trai­te­ment, Valiuz n’est qu’un sous-trai­tant. Comme il y a expli­ci­te­ment croi­se­ment entre les données des diffé­rentes enseignes, chaque enseigne est respon­sable de son trai­te­ment, pour lequel elle accède à son compte à l’en­semble des données des autres enseignes. Il y a alors fausses décla­ra­tions sur le fait que les données ne sont pas parta­gées aux autres enseignes, et partage sans consen­te­ment de données détaillées.

    Valiuz et l’al­liance cherchent à noyer le pois­son en jouant sur les deux tableaux avec un saupou­drage de pseu­do­ny­mi­sa­tion au milieu mais en réalité ça ne tient pas, dans aucun des cas.


    La suite, la plainte

    Je vais poser mon dossier à la CNIL, avec l’en­semble des pièces. Outre les délais, ça va deman­der que la CNIL cherche réel­le­ment à comprendre et ne s’ar­rête pas sur les décla­ra­tions de surface de Valiuz et des diffé­rentes enseignes.

    Mon histo­rique avec la CNIL ne me rend pas super opti­miste si je suis seul à poser un dossier. Pour avoir toutes les chances que ça bouge, il faudrait un effet de masse.


    Et vous ?

    Vous pouvez signa­ler votre oppo­si­tion au trai­te­ment auprès de Valiuz et des diffé­rentes enseignes.

    Si vous voulez que ça bouge, je vous recom­mande cepen­dant d’abord de faire des requêtes d’in­for­ma­tion au titre du RGPD puis de porter plainte auprès de la CNIL (ça se fait faci­le­ment en ligne).

    Pour ça je vous recom­mande de NE PAS faire oppo­si­tion auprès de Valiuz ou auprès des diffé­rentes enseignes avant obten­tion par écrit de toutes les infor­ma­tions que vous souhai­tez et qui vous permet­tront de porter plainte, pour éviter qu’ils ne puissent vous dire « je n’ai plus rien sur vous ».

    Ça veut dire :

    1. Deman­der à chaque enseigne si elle a trans­mis des données vous concer­nant à Valiuz
    2. … le cas échéant la liste exhaus­tive de ce qui a pu être échangé à desti­na­tion de Valiuz ou des autres enseignes parte­naires et en prove­nance de Valiuz ou des autres enseignes parte­naires
    3. … sous quel régime cette trans­mis­sion a pu être faite (inté­rêt légi­time, consen­te­ment préa­lable, etc.) et le cas échéant la preuve de votre consen­te­ment
    4. … si pour les diffé­rents trai­te­ments décrits sur https://valiuz.com/comment-ca-fonc­tionne/ , l’en­seigne est seule respon­sable de trai­te­ment avec Valiuz en sous-trai­tant, ou si Valiuz et l’en­seigne sont co-respon­sables de trai­te­ment, ou si Valiuz est le respon­sable de trai­te­ment au sens du RGPD
    5. … dans le cas où Valiuz n’est que sous-trai­tant, les croi­se­ments néces­saires aux trai­te­ments décrits et pour lesquels l’en­seigne est seule respon­sable néces­si­tant l’ac­cès aux données des autres parte­naires, c’est l’en­seigne qui doit donc avoir léga­le­ment accès à ces données et pas unique­ment Valiuz, deman­der sous quel régime ces données ont-elles été obte­nues
    6. … de faire suivre à Valiuz une demande d’ac­cès pour l’en­semble des données déte­nues vous concer­nant

    Puis

    1. Deman­der à Valiuz les mêmes infor­ma­tions 1 à 6, en refor­mu­lant pour inver­ser la situa­tion.

    Je ne fais pas de brouillon a reco­pier, ça aura surtout du sens si ça vient de vous. Je peux aider (et proba­ble­ment d’autres en commen­taires) si vous avez des ques­tions.

    Si d’aven­ture vous n’ob­te­nez pas les mêmes réponses que moi, faites-moi signe. Ça sera inté­res­sant.

    La liste des contacts est la suivante (à contac­ter sépa­ré­ment mais si vous formu­lez bien votre demande vous pouvez faire un copier/coller pour toutes les enseignes et n’avoir une version spéci­fique que pour VALIUZ eux-même) :

    VALIUZ mesdroits@­va­liuz.com
    AUCHAN dpo@au­chan.fr
    LEROY MERLIN dpo@­le­roy­mer­lin.fr
    BOULANGER cil@­bou­lan­ger.com
    ELECTRO DEPOT dpo@e­lec­tro­de­pot.fr
    JULES dpo@­hap­py­chic­group.com
    BIZZBEE dpo@­hap­py­chic­group.com
    ROUGE GORGE rela­tion.client@­rou­ge­gorge.com
    GRAIN DE MALICE contact@­grain­de­ma­lice.fr
    ONEY donnees-person­nel­les@o­ney.fr
    NORAUTO vosdon­nees­per­son­nel­les@­no­rauto.fr
    KIABI data­pro­tec­tio­nof­fi­cer@­kiabi.com
    SAINT MACLOU contact-dpo@­saint-maclou.com
    TAPE A L’OEIL mesdon­nees­per­son­nel­les@t-a-o.com
    TOP OFFICE dpo@­top-office.com
    FLUNCH contact.cnil@­flunch.fr
    3BRASSEURS contact.cnil@­les3­bras­seurs.com
    NHOOD (Aushop­ping) dpo@n­hood.com
    DECATHLON https://www.decath­lon.fr/help/app/ask/cat_id/920
    PIMKIE dpo@­pim­kie.com
    CHRONODRIVE clients@­chro­no­drive.com
    ALINEA donnees-person­nel­les@a­li­nea.com


  • Usage de jet privé et vie privée

    Pour reprendre une polé­mique récente, les ✅ ok ou ❌ ko pour moi :
    (les exemples sont fictifs)

    ok ✅ Notre premier ministre est actuel­le­ment en dépla­ce­ment à Munich, il a pris un jet privé pour faire l’al­ler-retour dans la jour­née.

    ok ✅ Qui dans les 10 célé­bri­tés les plus atten­dues a pris un jet privée pour venir monter les marches au festi­val de Cannes ?

    ok ✅ Les 10 plus grandes fortunes de France rejettent en moyenne chacun en un mois unique­ment avec leurs jets privés autant qu’un français moyen en 40 ans.

    ok ✅ 40% des PDG du CAC 40 utilisent leur jet privé pour des trajets de moins d’une heure.

    ok ✅ Sur les célé­bri­tés que nous avons étudié, nous avons même iden­tité des trajets en jet pour voir sa femme une nuit, et un aller-retour pour cher­cher une glace sur la côte à 300 km de là.

    ok ✅ Le jet privé du PDG de Geen­peace a été utilisé pour des trajets courts qui ont une alter­na­tive en train à grande vitesse.

    ko ❌ Léon Zitrone utilise deux fois plus son jet privé que l’abbé Pierre, avec deux usages par semaine.

    ko ❌ Voici les dépla­ce­ments récents du jet privé de Léon Zitrone, il est actuel­le­ment à Rodez où vit juste­ment sa fille.

    ko ❌ Léo Zitrone a fait un aller-retour de 300 km en jet privé pour manger une glace au glacier bien connu de Toulouse.


    Dans mes réflexions :

    • Est-ce une personne publique dans le cadre d’un dépla­ce­ment public ou une personne privée dans le cadre d’un dépla­ce­ment privé ou lié à une entre­prise privée ?
    • Si on est dans le domaine privée, l’in­for­ma­tion pose-t-elle un problème de respect de la vie privé ?
    • Si oui, l’in­for­ma­tion a-t-elle un inté­rêt tel dans le débat public, avec ce niveau de détail et l’iden­ti­fi­ca­tion nomi­na­tive, que ça renverse le besoin de vie privée ?

    Il n’y a pas de réponse toute faite, mais si l’idée est que ces usages de jet privé sont néfastes et à empê­cher (ce avec quoi je ne suis pas forcé­ment en désac­cord, il faut juste s’ac­cor­der sur un péri­mètre), c’est dans la loi qu’il faut agir et pas via un lynchage public extra­lé­gal.


    Le premier cas concerne une personne publique dans l’exer­cice d’un mandat public. Le second cas des célé­bri­tés avec une vie publique et une vie privée, dans le cadre d’un événe­ment qui fait partie de leur vie publique.

    Les trois cas suivants obtiennent à mon avis le même impact que les derniers au niveau du débat public (y compris celui de cibler certaines caté­go­ries de personnes) sans avoir besoin de donner des noms ou d’in­di­vi­dua­li­ser qui a fait quoi.

    Le 6ème est nomi­na­tif, précis, mais l’enjeu public me semble suffi­sant rapport au fait qu’on parle d’une asso­cia­tion qui aurait (exemple fictif) un discours contraire aux actes et qui a une place impor­tante dans ce débat public précis.

    Les trois derniers je ne vois pas ce qu’ap­porte de plus le nom ou la loca­li­sa­tion. On pour­rait obte­nir le chan­ge­ment de compor­te­ment indi­vi­duel de x ou de y quant à l’uti­li­sa­tion de leur jet privé mais même en nommant les 20 pires on aurait un impact insi­gni­fiant vis à vis du chan­ge­ment clima­tique lui-même. Le béné­fice d’in­di­vi­dua­li­ser ne me semble donc pas présent au point de géné­rer un préju­dice indi­vi­duel.

    Sauf à vouloir faire justice soi-même (ce que je ne cautionne pas), l’enjeu reste un enjeu collec­tif de chan­ge­ment des compor­te­ments ou des poli­tiques publiques et, même si on souhaite viser spéci­fique­ment les ultra-riches du fait de leur compor­te­ment exces­si­ve­ment toxique par rapport à la moyenne, ça peut être obtenu aussi bien avec des statis­tiques non nomi­na­tives.

  • Donnée acces­sible dans l’es­pace public

    Une donnée acces­sible dans l’es­pace public n’est pas une donnée libre d’uti­li­sa­tion

    Il y a le droit d’au­teur, le droit des bases de données, les règles d’uti­li­sa­tion des données person­nelles, le cas spéci­fique des infor­ma­tions appar­te­nant à l’État, et proba­ble­ment bien d’autres choses.

    La licéité de l’in­for­ma­tion ou de certains usages de l’in­for­ma­tion n’en­traine pas celle d’un autre usage de cette même infor­ma­tion

    C’est parti­cu­liè­re­ment vrai pour tout ce qui est données person­nelles, où chaque trai­te­ment et chaque fina­lité est indé­pen­dante des autres.

    C’est vrai aussi de manière géné­rale : Que la donnée soit utili­sable dans certains cas n’im­plique pas que tout ce que vous en ferez sera forcé­ment légi­time, ni mora­le­ment ni léga­le­ment.

  • Pas sous mon nom public

    Sommes-nous en guerre ou sous une dicta­ture ? Évidem­ment pas. Nous vivons au contraire dans le confort de la démo­cra­tie. De quoi devrait-on se proté­ger ? De rien.

    Un élu, sur Twit­ter, à propos du fait d’être sous pseu­do­nyme

    Et pour­tant… je n’ai pas forcé­ment envie de mettre mes collègues, ma famille, mes clients, mes amis, mes voisins, mon employeur ou mes enfants de tout ce que je fais dans le moindre détail.

    Il n’y a aucun besoin de se sentir grand résis­tant à une sombre dicta­ture pour ressen­tir le besoin d’une vie privée ou d’un jardin secret.

    Le pseu­do­nyme c’est ce qui permet de parfois parler libre­ment sexe, handi­cap, poli­tique, amour, mala­die, droit du travail, avor­te­ment, reli­gion… ou simple­ment faire une surprise.

    Vous voulez des exemples ? Ils sont libres, repre­nez ceux que vous voulez et n’hé­si­tez pas à m’en propo­ser d’autres :


    Mathis est en plein ques­tion­ne­ment sur la sexua­lité et veut en discu­ter sans renon­cer à sa vie privée.

    Lena cherche des recom­man­da­tions pour trou­ver un psycho­logue, elle n’a pas trop envie qu’on s’en serve pour la discré­di­ter dans le cadre du divorce en cours.

    Capu­cine a un passé spor­tif au lycée. Ce ne fut pas au point d’être profes­sion­nelle mais elle était un peu connue, via un surnom. C’est là qu’elle a rencon­tré son conjoint, qu’ils ont formé leur groupe d’amis. Le surnom c’est un peu son nom à elle, et c’est resté. C’est son iden­tité désor­mais, même au travail. Si elle utili­sait son nom, nombreux sont ceux qui ne la recon­nai­traient pas.

    Maël rêve de chan­ger de domaine profes­sion­nel mais sans pour autant que son employeur ne le mette sur la touche demain.

    Naïm est profes­seur. Il a le devoir de présen­ter une image neutre mais ne souhaite pas pour autant s’in­ter­dire de parti­ci­per à la vie de la collec­ti­vité avec ses propres opinions.

    Élena a encore 16 ans. Elle est respon­sable, sérieuse et mesu­rée mais sait aussi que ce qu’elle dit ou fait aujourd’­hui ne repré­sente pas forcé­ment qui elle sera dans 10 ans, et ne souhaite pas que ça lui porte préju­dice.

    Sasha a sa meilleure amie qui est griè­ve­ment bles­sée dans un acci­dent de circu­la­tion. Elle aime­rait se rensei­gner pour accom­pa­gner mais sans que son amie soit forcé­ment renvoyée au pire en voyant les discus­sions et les ques­tions.

    Lyna cherche un cadeau pour les 60 ans de son père, qu’ils fête­ront dans deux ans avec toute la famille. La surprise ne doit pas être éven­tée.

    Thibault vient de se faire déce­ler un cancer et ce n’est pas facile à expliquer à ses ados. Il a besoin d’en parler sans qu’ils ne lisent toute la conver­sa­tion en amont sur Inter­net.

    Alice ne sait pas comment gérer son fils de 5 ans qui a du mal à se passer de couches. Elle n’a évidem­ment aucune envie que les copains de son fils l’iden­ti­fient quand ce dernier sera au collège.

    Louna souhaite parti­ci­per à la vie poli­tique, et parti­cu­liè­re­ment pour promou­voir le revenu de base. Elle sait que ça lui porte­rait tort avec son employeur actuel et renonce à sa liberté d’ex­pres­sion pour l’ins­tant.

    Justine a subit des harcè­le­ments. Depuis elle inter­vient sous une autre iden­tité en ligne, pour se proté­ger, elle et ses proches.

    Ismaël a été alcoo­lique quand il était jeune. Il n’a plus bu une goute depuis 10 ans mais on ne lui ferait plus confiance dans son milieu profes­sion­nel si ça se savait. Heureu­se­ment, les alcoo­liques anonymes portent bien leur nom.

    Imran est une personne connue. Pas sous ce nom là. Mais juste­ment, il a une passion pour le moyen orient et inter­ve­nir sous son nom public dans les forums risque­rait de lui atti­rer du harcè­le­ment de la part de xéno­phobes et radi­caux divers.

    Char­lie et sa compagne sont liber­tins. Ils assument leur vie mais n’ont pas forcé­ment envie d’en faire étalage auprès de leurs amis et de leurs voisins.

    Gabriel a l’im­pres­sion qu’il se passe des choses louches au bureau. Ça n’est pas le water­gate mais il souhaite se rensei­gner sur la loi et les usages sans risquer son poste.

    Giulia a simple­ment besoin de pouvoir discu­ter avec des amis ou connais­sances en ligne, tranquille­ment, sans que demain un inconnu ne l’in­ter­pelle au travail ou dans ses loisirs pour réagir à ce qu’elle a dit la veille.

    Adrien a un ex-petit ami jaloux. Il n’y a pas de harcè­le­ment mais avoir des comptes sans son nom civil sur les réseaux sociaux lui permet d’échap­per à la surveillance constante et de se sentir un peu plus tranquille.

    Eden perd ses cheveux. Rien de scan­da­leux ni de honteux mais il le vit mal. Il en a parlé sur les réseaux sous pseu­do­nyme, a obtenu du soutien, a tissé des liens et, si ce n’est plus le sujet de discus­sion aujourd’­hui, s’est fait de vrais amis. Chan­ger d’iden­tité main­te­nant serait pour lui renier son vécu et reve­nir en arrière à une époque peu appré­ciée.

    Pauline est née Victor. Pour l’ins­tant il n’y a aucune procé­dure admi­nis­tra­tive en ce sens mais c’est juste ainsi qu’elle le vit.

    Lila a un voisin trop curieux. Elle n’a proba­ble­ment rien à craindre mais n’a aucune envie qu’il sache tout sur elle, qu’il lise ses conver­sa­tions et ses malheurs du quoti­dien.

    Thaïs se sent incom­pris de ses parents. Il a juste besoin de pouvoir échan­ger avec ses amis sans se sentir surveillé. Il ne l’est proba­ble­ment pas et il le sait très bien mais… à 17 ans on a besoin de sentir qu’on a son propre jardin.

    Lucas est auteur. Il n’a aucune envie de voir débarquer chez lui des lecteurs de son dernier livre.

  • Forts et faibles, vie privée et vie publique

    Le débat à propos des pseu­do­nymes sur les réseaux sociaux n’est qu’une facette de l’op­po­si­tion entre les forts et les faibles. Certains pour­raient même dire de la lutte des classes.

    Non, je ne rigole pas.

    Les puis­sants et privi­lé­giés sont proté­gés par leur statut ou leurs rela­tions. Tout ça est intrin­sèque­ment lié à leur iden­tité. C’est en s’en récla­mant qu’ils peuvent avoir toute la protec­tion de leur posi­tion, de leurs privi­lèges et de leur pouvoir. Deve­nir anonyme c’est à la fois perdre cette protec­tion mais aussi perdre l’im­pact qu’ils ont quand ils s’ex­priment.

    On voit quoti­dien­ne­ment des poli­tiques, des chefs de grandes entre­prises, des artistes connus ou des chro­niqueurs TV avoir des propos into­lé­rables ou d’un mépris que peu de gens pour­raient se permettre publique­ment. C’est leur célé­brité et leur posi­tion qui les protège.


    Pour les autres, c’est le rela­tif anony­mat qui les met à l’abri. C’est ce qui permet…

    • … à Emma, ado, de se cher­cher et discu­ter sexua­lité sans craindre l’in­to­lé­rance de ses parents ou le harcè­le­ment de ses cama­rades de classe ;
    • … à Gabriel de se rensei­gner sur le droit du travail face à ce qu’il vit sans forcé­ment subir une mise au placard de la part de son employeur ;
    • … à Jade de parler de sa séro­po­si­ti­vité sans craindre de voir ses connais­sances s’écar­ter par peur et igno­rance ;
    • … à Raphaël de pratiquer liber­ti­nage ou rela­tions libres via inter­net sans deve­nir la cible des quoli­bets au travail ;
    • … à Louise de discu­ter de possible gros­sesse sans perdre espoir pour son renou­vel­le­ment de CDD par son employeur ;
    • … à Léo d’échan­ger à propos de son mal-être de couple voire de sépa­ra­tion sans que tous les amis soient au courant ;
    • … à Alice, travaillant dans le public d’ex­pri­mer une opinion poli­tique forte et parti­ci­per à la démo­cra­tie de son pays sans qu’on ne lui reproche un manque de neutra­lité ;
    • … à Louis de cher­cher un psy sans que son concierge ne le quali­fie de malade mental et ne lance plein de rumeurs à son sujet ;
    • … à Chloé de parler avor­te­ment avec des gens qui sont passés par là sans que son futur enfant ne lise tout ça 10 ans plus tard et n’en tire de mauvaises conclu­sions qui le pour­sui­vront toute sa vie ;
    • … à Lucas, avocat, de s’ex­pri­mer léga­le­ment sur son métier même s’il ne donne aucun cas concret ;
    • … à Lina, de simple­ment discu­ter de tout et de rien sans être surveillée par son ex et le voir inter­ve­nir partout ;
    • … à Arthur, méde­cin, d’avoir une vie privée sans forcé­ment mettre ses patients au courant de tout et en gardant une certaine distance profes­sion­nelle ;
    • … à Léa, en dépres­sion ou burn out, de vider son sac, oser s’épan­cher et obte­nir de l’aide sans forcé­ment arrê­ter de main­te­nir une façade qui la protège le reste du temps ;
    • … à Adam, qui s’ap­pelle en réalité Moha­med, de pouvoir parti­ci­per à la vie poli­tique sur les réseaux sans être systé­ma­tique­ment renvoyé à l’ori­gine suppo­sée de son prénom, au terro­risme, à l’is­la­misme, ou disqua­li­fié sans son expres­sion à cause de ça ;
    • … à Rose de réflé­chir à une recon­ver­sion profes­sion­nelle ou un chan­ge­ment de travail avec des personnes qui l’ont déjà fait sans que ça ne soit un choix défi­ni­tif qui lui bloque toute oppor­tu­nité à son emploi actuel ;
    • … à Jules d’ex­pri­mer des posi­tions rela­ti­ve­ment accep­tables socia­le­ment aujourd’­hui mais qui pour­raient lui porter tort dans un futur inconnu 5 ou 10 ans plus tard, surtout si elles sont reprises ou comprises sans le contexte d’ori­gine, ou simple­ment s’il a évolué depuis ;
    • … à Anne, trans, de ne pas subir les assauts de tiers qui vont jusqu’à son domi­cile, contac­ter ses proches, essayer de la faire licen­cier auprès de son employeur ;
    • … à Hugo de commu­niquer sur des faits délic­tueux ou problé­ma­tiques qu’il a vu sans se mettre lui-même en danger ou sans avoir à forcé­ment « assu­mer » en cham­bou­lant toute sa vie ;
    • … à Mila d’avoir des contacts dans plusieurs milieux distincts, pouvoir parler macra­més dans ses loisirs sans forcé­ment qu’on lui parle de ses enga­ge­ments poli­tiques ou de ses problé­ma­tiques profes­sion­nelles, et inver­se­ment ;
    • … à Maël de recom­men­cer sa vie sans aban­don­ner toute vie sociale en ligne ni que son passé ne refasse systé­ma­tique­ment surface à chaque échange.

    (je vais m’ar­rê­ter là, vous avez compris le prin­cipe)

    Alors oui, certains font le choix de s’ex­pri­mer à leur nom, parfois ou tout le temps. C’est respec­table et légi­time mais ça doit rester un choix person­nel, aucu­ne­ment un attendu parti­cu­lier de la part de tiers.

    Le pseu­do­nyme est un des éléments primor­diaux à la fois pour proté­ger la liberté d’ex­pres­sion et pour éviter le repli des personnes les plus vulné­rables. S’en couper c’est mettre à risque à la fois la vie démo­cra­tique et celle des indi­vi­dus.


    En réalité, même si elles l’ou­blient faci­le­ment, les person­na­li­tés publiques tiennent elles aussi beau­coup à l’ano­ny­mat et aux pseu­do­nymes.

    Ils sont tous exclus de l’an­nuaire, avec le masquage du numéro sur télé­phone portable, et des pseu­do­nymes et noms de scène quand ils peuvent se le permettre pour garder une iden­tité civile privée. On a eu des litiges pour savoir s’il était raison­nables de publier le vrai nom de certains artistes dans la presse ou sur Wiki­pe­dia.

    S’ils consi­dèrent les pseu­do­nymes sur les réseaux sociaux diffé­rem­ment, c’est que pour eux le réseau social est un espace publi­ci­taire, pas un espace de vie. Ils n’y conçoivent donc que leur vie publique et appliquent aveu­glé­ment le même prin­cipe aux autres. Tant qu’on reste bloqué sur un schéma d’in­ter­net très verti­cal et dédié à la vie publique, c’est certain qu’on ne peut qu’en tirer de mauvaises conclu­sions.

    Pour autant, même pour ceux qui assument leur iden­tité publique, il ne vien­drait à l’es­prit de personne d’em­pê­cher leurs enfants d’uti­li­ser un pseu­do­nyme ou le nom du conjoint sur les réseaux sociaux, pour se disso­cier d’un parent trop connu et reconnu.


    Reve­nons à la ques­tion de lutte entre les forts et les faibles. L’idée de base c’est qu’on a simple­ment un inté­rêt opposé entre la mino­rité publique ou privi­lé­giée et les autres.

    Si la ques­tion semble faire rela­tif consen­sus auprès des person­na­li­tés publiques et personnes déte­nant un peu de pouvoir, de noto­riété ou d’au­to­rité, ce n’est pas qu’il y a consen­sus tout court mais unique­ment qu’ils partagent un contexte commun. Ils militent simple­ment avec un angle de vue qui leur est propre.

    Ils sont pour la levée de l’ano­ny­mat parce qu’ils croient ne pas en avoir besoin — ils sont plus proté­gés par leur statut et leur iden­tité publique — mais aussi parfois parce qu’im­po­ser l’iden­tité publique aux autres qui n’en profitent pas permet de les brider (pas dans le sens « éviter les abus » mais dans le sens « ferme ta gueule sinon… », même si c’est parfois incons­cient).

    Oui c’est une lutte, essen­tiel­le­ment celle des forts contre les faibles. Quand les uns et les autres parlent de proté­ger la vie privée, ils ne parlent simple­ment pas de la même chose, et ne protègent pas les mêmes inté­rêts.


    Oui mais au moins ça mettra fin à l’agres­si­vité sur les réseaux sociaux ?

    Même pas.

    L’in­tui­tion laisse croire que l’iden­tité civile respon­sa­bi­lise, et qu’im­pli­ci­te­ment autrui n’ose­rait pas assu­mer la haine s’il devait commu­niquer en son nom réel. En réalité la haine n’a jamais attendu les pseu­do­nymes.

    Il y a eu des études de faites. Le phéno­mène fonc­tionne en fait dans l’autre sens. Les commen­taires avec un nom public sont même légè­re­ment plus agres­sifs que les commen­taires anonymes. (résumé, anglais, étude, confir­ma­tion par seconde étude)

    Rien d’éton­nant quand on prend un peu de recul. Le pseu­do­nyme est une vraie protec­tion pour sa propre vie privée mais n’est d’au­cune aide quand il s’agit d’at­taquer les autres. La justice saura de toutes façons remon­ter à l’au­teur des propos quand elle le souhaite.

    À l’op­posé, les propos agres­sifs qui ont de la force sont ceux qui sont crédibles et/ou diffu­sés massi­ve­ment. Pour ça avoir une iden­tité publique est un outil, l’ano­ny­mat un boulet.

    Nous avons d’ailleurs des prêcheurs de haine bien iden­ti­fiés qui offi­cient quoti­dien­ne­ment chez nos élus, nos intel­lec­tuels et nos chro­niqueurs TV. Assu­mer leur iden­tité ne leur pose aucun problème, c’est même ça qui donne de la force à leur propos et leur permet de vivre.

    Une autre façon de voir les choses c’est que l’agres­si­vité est souvent là pour attaquer ce qui sort de la norme sociale ou de l’his­to­rique social. Il n’y a pas de crainte à avoir pour soi quand on défend la norme ou ce qu’on croit être la norme, quand on pense être dans le camps des forts et des nombreux.

    Ceux qui ont besoin de la protec­tion du pseu­do­nyme ce sont ceux qui sont en posi­tion de faiblesse ou de mino­rité, ou qui ont le senti­ment de pouvoir l’être un jour. Eux sont par nature prin­ci­pa­le­ment les cibles.

    Forts ou faibles, puis­sants ou gens qui ne sont rien, le combat se situe encore et toujours là. Lais­sons les uns utili­ser leur iden­tité publique et les autres ne pas le faire, à leur choix, tout simple­ment.

  • Usage des données person­­­nelles par France Info et France Télé­vi­sion

    En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience.

    Bandeau en haut de page sur meta-media.fr

    Pardon ? Ai-je bien lu ?

    Alors j’ai fouillé et ce n’est pas beau à voir. Chaque point est à ma connais­sance une viola­tion du RGPD.

    Les fautes sont graves et massives. Elles néces­sitent proba­ble­ment au moins de suppri­mer toutes les données dont on ne peut pas prou­ver qu’elles ont été obte­nues sans vice de consen­te­ment. Il est aussi possible que consi­dé­rant l’am­pleur des données concer­nées, un signa­le­ment offi­ciel de l’ano­ma­lie à la CNIL soit néces­saire de la part du respon­sable de trai­te­ment.

    Ce qui suit concerne France Info et France Tele­vi­sion, et proba­ble­ment une majo­rité des sites du même groupe.

    1/ Manque de consen­te­ment préa­lable

    Lors de l’ac­cès à la page d’ac­cueil de France Info, sans réali­ser aucune inter­ac­tion clavier ni aucune inter­ac­tion souris (pas de clic, pas de dépla­ce­ment de souris au dessus d’élé­ments, pas de défi­le­ment de la page), le site fait des appels à xiti, chart­beat, urba­nair, et face­book avec des iden­ti­fiants uniques.

    Cela veut dire qu’ils opèrent au mini­mum des collectes et trai­te­ments de mesures d’au­dience (et proba­ble­ment des collectes en vue de person­na­li­sa­tion futures) avant d’avoir un quel­conque consen­te­ment, qu’il soit impli­cite ou expli­cite.

    Depuis mai 2018, le RGPD impose pour­tant un consen­te­ment préa­lable avant tout trai­te­ment de données person­nelles, hors certains cas légi­times qui ne peuvent pas inclure la mesure d’au­dience ou la person­na­li­sa­tion de conte­nus, ni la parti­ci­pa­tion à du pistage par des tiers (Face­book).

    Je ne prends pas en compte ici les appels aux régies de publi­cité et autres bases de données de rela­tion client. Il est possible (voire probable) que ces services fassent du pistage et/ou de la person­na­li­sa­tion mais je ne peux pas m’en assu­rer.

    2/ Manque de consen­te­ment expli­cite

    Un bandeau appa­rait à la première visite avec l’in­for­ma­tion suivante :

    « En pour­sui­vant votre navi­ga­tion sur ce site de France Télé­vi­sions, vous accep­tez l’uti­li­sa­tion de cookies et traceurs servant à mesu­rer l’au­dience, à person­na­li­ser votre expé­rience et vous consen­tez à rece­voir de la publi­cité et des offres adap­tées à votre profil. »

    Sur meta-media.fr j’ai un message simi­laire :

    « En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience. »

    Tout ou partie des usages décrits néces­sitent un consen­te­ment expli­cite et éclairé de la part des personnes concer­nées depuis la mise en place du RGPD en mai 2018.

    La pour­suite de navi­ga­tion ne peut être consi­dé­rée comme un consen­te­ment expli­cite et éclairé suivant les termes du RGPD. Les collectes corres­pon­dantes sont donc viciées.

    3/ Impos­si­bi­lité de refus de consen­te­ment

    Quand on souhaite confi­gu­rer ses consen­te­ments, l’ou­til proposé n’offre pas de refus possible pour la caté­go­rie « réseaux sociaux », quand bien même ils sont « suscep­tibles d’iden­ti­fier les données de connexion et de navi­ga­tion de l’in­ter­naute ».

    Cette infor­ma­tion a été confir­mée par les conseillers gérant le compte twit­ter :

    Cette impos­si­bi­lité de refu­ser des trai­te­ments annexes les met là aussi très certai­ne­ment en viola­tion du RGPD mais ce n’est pas tout :

    4/ Faux à l’en­re­gis­tre­ment des consen­te­ments

    Si l’uti­li­sa­teur ne se voit pas propo­ser d’op­tion pour refu­ser le consen­te­ment, cette option est bien présente. Elle est juste cachée.

    Comme elle est acti­vée par défaut, la vali­da­tion de la page de consen­te­ment, même pour ceux qui ont conscien­cieu­se­ment tout désac­tivé, enverra un consen­te­ment posi­tif expli­cite au registre des consen­te­ment.

    Plus qu’une absence de choix expli­cite, France Tele­vi­sion produit un faux consen­te­ment posi­tif. On dépasse à mon sens les erreurs d’im­plé­men­ta­tions. Il y a là trom­pe­rie et produc­tion de faux.

    5/ Absence d’in­for­ma­tion

    Vous ne pouvez pas vous oppo­ser au trai­te­ment des réseaux sociaux dans l’ou­til, il enre­gis­trera tout de même un consen­te­ment posi­tif expli­cite alors que vous ne l’avez pas donné, mais il y a une infor­ma­tion qu’on pour­rait s’op­po­ser à certains de ces cookies sur la page « poli­tique de gestion des cookies et sdk ».

    Sur cette longue page, on voit effec­ti­ve­ment en défi­lant qu’il existe un « sdk » pour Twit­ter. Aucun lien ou procé­dure n’est toute­fois donné pour s’y oppo­ser.

    Ce défaut d’in­for­ma­tion est d’au­tant plus gênant que les équipes connaissent ces liens et savent les donner quand une personne sait que c’est un problème et le signale :

    6/ Collecte et trai­te­ment malgré refus de consen­te­ment

    Après avoir refusé expli­ci­te­ment tous les consen­te­ments sur les inter­faces, France Info et France Tele­vi­sion conti­nuent pour­tant la collecte et le trai­te­ment des données.

    Ainsi, bien que les mesures d’au­dience soient expli­ci­te­ment refu­sées, des appels partent encore à Xiti, New Relic (la partie audience et mesures), Global Stats coun­ter, Outbrain et Google Tag.

    Ici encore, je ne prétends pas faire une liste exhaus­tive et je ne prends pas en compte plusieurs pres­ta­taires du domaine publi­ci­taire dont il m’est impos­sible de confir­mer s’ils font ou pas du pistage par iden­ti­fiant unique et/ou de la person­na­li­sa­tion (même si c’est probable).


    Le DPO de France Tele­vi­sion a été informé par email.

    Mouais… Pauvre Benoît Pelle­tier… Il y a un peu de diffé­rence entre l’au­to­pro­mo­tion et la réalité.

    Réponse de France Tele­vi­sion

    J’ai eu une réponse le 14 février. Je ne vais pas dire que c’est rapide, mais j’ai telle­ment de réponses qui prennent parfois 2 mois quand je parle données person­nelles, que j’en viens presque à trou­ver ça posi­tif.

    La réponse l’est moins. Extrait :

    Les déca­lages obser­vés dans la gestion des cookies et autres traceurs sur les sites visés (meta-media.frfran­cet­vinfo.frfran­ce­te­le­vi­sions.fr) par rapport aux nouvelles lignes direc­trices de la CNIL en la matière ont bien été iden­ti­fiés, et les correc­tions néces­saires inté­grées à notre plan de mise en confor­mité dans les délais requis par la CNIL.

    Lors de la présen­ta­tion de son plan d’ac­tion sur le ciblage publi­ci­taire pour l’an­née 2019–2020, la CNIL a en effet indiqué que son ancienne recom­man­da­tion du 5 décembre 2013 rela­tive aux cookies et autres traceurs était deve­nue obso­lète suite à l’en­trée en appli­ca­tion du RGPD, en ce qu’elle permet­tait le recueil du consen­te­ment de l’uti­li­sa­teur via la simple pour­suite de sa navi­ga­tion. Sa déli­bé­ra­tion du 4 juillet 2019 prévoit ainsi la fin de la pour­suite de la navi­ga­tion comme moyen d’ex­pres­sion du consen­te­ment. Afin toute­fois de lais­ser aux éditeurs de sites le temps néces­saire à l’adap­ta­tion tech­nique de leurs sites, la CNIL prévoit une période de mise en confor­mité à ses nouvelles règles, qui pren­dra fin à l’ex­pi­ra­tion d’un délai de six mois suivant l’adop­tion défi­ni­tive de sa recom­man­da­tion sur les moda­li­tés pratiques de recueil du consen­te­ment, dont le projet est actuel­le­ment soumis à consul­ta­tion publique jusqu’au 25 février 2020.

    Cette posi­tion de la CNIL est un vrai problème. Elle n’a aucun pouvoir ni légis­la­tif ni judi­ciaire et son pouvoir admi­nis­tra­tif ne l’au­to­rise en rien à donner un sauf-conduit sur l’ap­pli­ca­tion de la loi française ou euro­péenne (et donc du RGPD qui est appli­cable depuis mai 2018 au niveau euro­péen et enté­riné dans la loi française en juin 2018).

    Ce qui est en viola­tion du RGPD reste illé­gal et punis­sable auprès des tribu­naux, quand bien même la CNIL renon­ce­rait à faire dili­gence sur sa propre mission admi­nis­tra­tive.

    Malheu­reu­se­ment les éditeurs se servent des lenteurs de la CNIL et d’un texte de 2013, pré-RGPD, comme paravent pour s’exo­né­rer de leurs obli­ga­tions. Ces fumis­te­ries doivent prendre fin très rapi­de­ment !

    Je ne compte même pas la mauvaise foi :

    Dans cet inter­valle, nous conti­nuons à travailler sur l’amé­lio­ra­tion de la gestion des traceurs utili­sés sur nos sites. Celle-ci se heurte à certaines contraintes tech­niques impo­sées par des tiers comme Face­book, dont les cookies font l’objet d’une infor­ma­tion des utili­sa­teurs sur les moyens de s’op­po­ser à leur utili­sa­tion via les liens présents dans notre poli­tique de gestion des cookies, et non direc­te­ment dans notre gestion­naire de cookies.

    Je tiens aussi à vous infor­mer que pour remé­dier à certaines de ces diffi­cul­tés, et proté­ger davan­tage les données person­nelles de nos utili­sa­teurs, nous avons pris la déci­sion de mettre un terme à l’usage du « social login » (le dispo­si­tif permet­tant de créer un compte utili­sa­teur via son compte de réseau social) avec Face­book et Google sur les sites fran­cet­vinfo.fr et france.tv.

    Il y a peu de chances que le retrait des créa­tion de compte via un four­nis­seur d’iden­tité tiers (Face­book, Google) ait été motivé pour limi­ter la collecte de données person­nelles. En tout cas reti­rer une fonc­tion­na­lité qui ne peut être que ponc­tuelle, volon­taire et expli­cite de la part du visi­teur et en paral­lèle lais­ser les traceurs invi­sibles de la même source sans donner de moyen simple de s’y oppo­ser… j’ap­pelle ça être hypo­crite.