Carnet de notes

Auteur/autrice : Éric

Signez avec votre sang

Je vois tout le monde autour de moi signer ses contrats de travail les yeux fermés en vérifiant juste le salaire.

Je vois mes contrats mais je conseille aussi souvent des tiers sur le sujet. Je suis effaré des pratiques des départements RH.

Tout y est fait à sens unique, pour contraindre le salarié et protéger l’entreprise. Je ne vois pas comment on peut avoir envie de travailler avec un employeur après avoir lu le contrat de travail et vu à quel point il est déséquilibré, faisant porter tous les risques sur le salarié.

On parle de confiance et de collaboration mais le texte dit tout l’opposé.

Les réponses que j’ai, que ce soit de la part des employés ou des employeurs, reviennent en général à dire « oui mais c’est appliqué intelligemment », « c’est uniquement en cas de problème » ou « l’application littérale ne passerait pas les Prud’hommes de toutes façons » voire « ce serait trop complexe à décrire » ou « si ça pose problème on pourra toujours démissionner ».

Mais alors justement, si on sait qu’on ne va pas appliquer le texte, pourquoi ne pas chercher une formulation pertinente dès le départ ? sauf si l’intention est bien de réserver la possibilité de s’en servir un jour, soit comme menace soit comme outil de pression.

Les effets ne sont pas théoriques. Il s’agit de se retrouver en insécurité au moindre problème ou dès que la confiance n’est plus là. De façon générale, il s’agit de se retrouver dans un rapport de force défavorable qui va inciter à accepter, subir ou renoncer des choses qu’on n’aurait pas accepté, subie ou renoncé si facilement. Dans les cas les plus forts ça peut se finir en un licenciement non souhaité ou dans des conditions peu enviables, voire dans des demandes de dommages et intérêts aux Prud’hommes.

Alors quoi ?

Je sais bien qu’on n’a pas toujours les moyens de se battre, ni l’envie, ni la compétence, ni le rapport de force pour ça. Moi aussi j’accepte des clauses que je trouve illégitimes et sacrément problématiques dans mes contrats de travail.

Il y en a d’autres que parfois — souvent — j’arrive à faire évoluer. Certaines que je refuse de signer.

Ce que j’imagine c’est un site, peut-être un forum, où on peut glisser certaines clauses types, laisser chacun copier la sienne, permettre de voir les formulations problématiques et excessives, mais aussi avoir des armes pour prendre exemples sur les formulations plus équilibrées qu’ont certains pairs.

Bref, j’aimerais outiller le rapport de force contractuel.

De quoi parle-je ?

De la clause de mobilité « France entière » alors que vous n’êtes en rien un VRP ou amené à bouger autrement que ponctuellement dans le poste qui est prévu. Quelles conditions aurez-vous s’ils ferment le bureau de Bordeaux ? Saurez-vous prouver que la demande de vous transférer à Paris n’entre pas dans un rapport de force pour vous faire taire, vous punir ou vous forcer à la démission ?

De la clause de confidentialité qui s’étend sur à peu près tout jusqu’à la façon de travailler, au contenu des produits et services, et au menu de la cantine, alors qu’on vous demande en parallèle de collaborer avec des clients, des partenaires, des candidats au recrutement voir à du public. Bien évidemment vous aurez à parler de ce que vous faites mais tout pourra arbitrairement vous êtes reproché ensuite, au bon vouloir de l’employeur et suivant ses propres critères. Saurez-vous prouver que le licenciement est un prétexte pour autre chose de tout à fait légitime ? Avez-vous la garantie qu’un changement de contexte, de direction ou de stratégie ne risque pas de vous reprocher une prise de parole passée vu qu’en théorie tout était déjà interdit à l’époque ? Saurez-vous résister à la pression d’éventuelles demandes de dommages et intérêts, fussent-elles illégitimes, basées sur le périmètre large de la clause ?

De la clause de non concurrence, tellement imprécise ou large que l’employeur pourrait vous reprocher n’importe quel nouvel employeur après coup suivant des critères arbitraires et changeants ? Comment faites-vous pour éviter de faire concurrence à une société qui dit « interagir avec des données commerciales » ?

Toujours de la clause de non concurrence, où l’employeur se réserve parfois la possibilité d’y renoncer plusieurs mois après la rupture, empêchant de fait de répondre aux sollicitations mais sans jamais avoir la compensation financière correspondante. Et l’indemnité, est-ce qu’elle doit être à 40% ? 30 % ? 20% ? Peut-elle inclure les autres indemnités de licenciement et de congés payés ?

De la clause d’exclusivité qui peut empêcher d’écrire, de collaborer à une association même de façon bénévole, d’écrire du logiciel open source ou d’y contribuer sur son temps libre, de se faire payer pour quoi que ce soit à côté.

De…

« oui mais c’est appliqué intelligemment »

La version alternative est « fais-nous confiance ». Je trouve ça hypocrite.

Si la démarche est de bonne foi (et je suis convaincu qu’en général elle l’est), alors tentons une formulation intelligente équilibrée dès le départ, et faisons effectivement confiance pour que l’esprit en soit respecté sans chercher tous les cas limite.

Il n’y a pas de secret : Souvent c’est « pour se couvrir » parce que justement il n’y a pas de confiance. Ce n’est ni illogique ni illégitime. On ne sait pas quelle sera la relation dans le futur et il se peut que la confiance casse. C’est d’ailleurs pour ça qu’on fait un écrit.

Maintenant si l’intention est là, il faut le lire des deux côtés : Il est anormal et illégitime de demander à l’employé de faire confiance sur une clause déséquilibrée et démesurée si elle est justement prévue pour le cas où la confiance est rompue. C’est uniquement en cas de problème…

« c’est uniquement en cas de problème »

Parce que, bien évidemment les textes sont là uniquement en cas de problème. Là où il n’y a pas de problème il n’y a pas besoin de se référer au contrat.

C’est justement parce que ça sert en condition de problème et de conflit qu’avoir une clause équilibrée et précise est important.

Ce qu’on dit c’est que, au moindre problème, l’employé est pieds et poings liés. Est-ce ça le message qu’on veut envoyer ?

Généralement ça veut aussi dire qu’en cas de problème tiers, pas forcément lié à la clause discutée, l’employeur va pouvoir arbitrairement piocher à volonté dans le contrat de travail pour trouver plein de contraintes et violations. Il s’y donne des outils arbitraires de pression et de rétorsion. Même quand ce n’est pas l’intention de départ – et je veux bien croire que ça l’est rarement – j’ai vu plusieurs cas où ça a été utilisé ainsi au final.

« ce serait trop complexe à décrire »

Et pourtant, il va bien falloir l’appliquer cette clause dont la formulation est exagérément large. Il y a quelqu’un qui va devoir l’interpréter pour savoir ce qui est finalement possible ou non. Dans les mauvais scénarios il y aura des conseillers prud’homaux qui vont devoir décrire les limites et équilibres.

S’il est effectivement infaisable de décrire ce qui est en réalité possible ou non, on a un problème là, dès maintenant. Je ne vois pas comment on peut attendre que le salarié sache de lui-même ce qu’il faut réellement respecter si le responsable légal de l’entreprise est lui-même incapable de l’expliciter par écrit.

Si en réalité il est possible de décrire les choses correctement (bien entendu que c’est possible), alors insérer une formulation exagérément large sert surtout à faire peur à l’employé, à espérer qu’il se retiendra plus que nécessaire, ou à pouvoir arbitrairement lui reprocher ce dont on jugera gênant après-coup.

« l’application littérale ne passerait pas les Prud’hommes de toutes façons »

Si les deux premières réponses peuvent être de bonne foi, Cette réponse passe dans ma catégorie « malveillance ».

Si on sait que c’est inapplicable, il n’y a aucune bonne raison de l’écrire. Si on sait que l’interprétation légale sera restrictive, il n’y a aucune bonne raison de ne pas retenir la formulation restrictive dès le départ.

Non ça ne revient pas au même. Ça veut dire que l’employeur a une base pour faire pression, pour se battre aux Prud’hommes, et pour mettre une insécurité significative sur l’employé en cas de problème futur.

Et puis, « inapplicable » revient souvent à dire « illégal ». L’employeur est en train de dire qu’il est prêt à inscrire des choses illégales, qu’il sait comme telles et dont il sait qu’elles ne seront donc pas applicables, et ce à votre détriment soit pour s’en servir quand même soit parce qu’il considère que les droits du salarié sont de peu d’intérêt face à son processus d’entreprise. Est-ce vraiment la relation qui mérite d’être initiée ?

Même ce qui ne passe pas les Prud’hommes, je vous assure qu’être ou pas en violation formelle d’une clause du contrat change tout pour le salarié, que ce soit nerveusement ou sur le rapport de force.

11 février 2020
10% d’alternants

Parmi ces engagements, 7 500 alternants en 2021 essentiellement sur des métiers techniques, soit 10% des effectifs français (77 000 salariés) de l’industriel énergétique, contre 7% en 2019. Cela représentera un doublement de la proportion d’alternants par rapport à 2016 (4,5%). « Après leur alternance, nous nous engageons à recruter la moitié de ces jeunes en CDI, déclare Pierre Deheunynck, mais le problème est d’accéder à eux. »
http://voila-le-travail.fr/engie-veut-10-dalternants-en-2021-paru-dans-centre-inffo-le-29–01–2020/

10 % ? Ça en dit long sur l’emploi des seniors.

Pour en avoir 10 %, que fait-on des alternants quand ils prennent de l’expérience ?

Parce que dans la vie d’un salarié passé par l’alternance, cette alternance représente entre 4 et 7 % de la vie professionnelle (2 à 3 ans d’alternance puis 42 à 45 ans de travail post alternance). Même en considérant que tout le monde fait 3 ans d’alternance – ce qui est évidemment faux – et que le gouvernement renonce à l’âge pivot – pas de commentaire – on ne devrait pas dépasser les 7 %.

Arriver à 10 %, surtout si on promet les embauches, veut dire ne pas garder les plus vieux et trouver un moyen de s’en débarrasser.

Comptant que de plus on est très loin d’avoir 100% de parcours en alternance en France, ça veut clairement dire un énorme déséquilibre où les plus vieux n’ont pas d’existence.

À un moment il va falloir qu’on fasse des choix de société, savoir si on veut faire travailler les gens plus vieux ou pas.

31 janvier 2020
117 milliards d’euros

— La fortune de Bernard Arnault est estimée à 117 milliards. Vous vous rendez compte de combien ça fait ? Ça permet de redistribuer […] euros à […] pendant […] ans !
— Ça n’est pas comparable ! Ça ne permet pas de manger. On ne mange pas des actions !

Diable ! Bien sûr que ça se compare. C’est même tout le principe de la monnaie.

Non on ne mange pas les actions, pas plus qu’on ne mange les billets et les pièces (enfin pas moi). On est juste en train de définir une valeur d’échange commune qui permettra ensuite d’obtenir de la bouffe (ou autre chose).

C’est un peu comme la fameuse comparaison de 1 kg de plomb à 1 kg de plumes. Certes ça fait beaucoup de plumes, mais on peut bien comparer les deux et ça pèse bien autant.

Ici c’est la même chose. La monnaie c’est la mesure pivot. Si on a pour 117 milliards d’euros d’actions, ça « vaut » par définition autant que 117 milliards d’euros de petits pois ou 117 milliards d’euros en résidences secondaires. C’est exactement ce que ça veut dire.

Tant qu’il y a à la fois des gens qui veulent vos actions et des gens qui veulent se séparer de bouffe, réfrigérateurs, machines à laver & co, l’économie permet d’échanger tout ça.

— Ce sont des titres, pas des espèces ! Ça n’a rien à voir !

Je crois que c’est la réponse la plus WTF qu’on m’ait faite.

Nous payons avec des titres tous les jours, pour acheter le pain à la boulangerie ou nos légumes au marché.

Ça fait longtemps que la manipulation d’espèces n’est plus le seul moyen de paiement. Aujourd’hui on utilise massivement des CB, encore un peu des chèques, mais aussi des tickets restaurants, des bons d’achat, des cartes prépayées, etc.

Tout ça est lié à des comptes en banques, qui eux même ne sont pas des gros coffres avec la même valeur en billets et en pièces.

Et d’ailleurs, même quand on paye avec des billets et des pièces, ce n’est plus la valeur du papier ou du métal qui compte, mais ce qu’il y a écrit dessus. Oui, on a bien un titre, qui peut être échangé ailleurs contre autre chose.

Refuser de considérer la valeur des titres dans notre société moderne, c’est vraiment un argument insensé. On peut éventuellement appliquer une décote liée l’absence de liquidité mais on parle là uniquement d’un coefficient sur la valeur qu’on attribue au patrimoine, ça ne remet nullement en question le principe.

— On ne peut pas acheter du pain et du fromage avec !

Non, on ne peut pas, ou pas facilement. L’époque du troc est terminée depuis longtemps.

Par contre on peut vendre une action à quelqu’un qui veut l’acheter, et acheter du pain et du fromage avec ce qu’on a eu en échange. La monnaie et l’économie moderne c’est exactement ça.

Est-ce qu’on peut vendre 117 milliards d’euros d’actions ? Le volume d’échange trimestriel est bien au-delà de 30 000 milliards d’euros. Ça passe inaperçu.

Est-ce qu’on peut vendre les 117 milliards d’euros d’actions LVMH de Bernard Arnault ? En considérant que tout est en actions LVMH, ce qui est probablement faux, ça représente la 50% de la société. En une fois ça parait impossible.

Il s’échange toutefois 60 milliards d’euros d’actions LVHM chaque année. Mettons qu’on peut augmenter les échanges de 5% sans provoquer une panique, on peut tout solder en 40 ans. Évidemment on peut aller plus vite si on accepte d’avoir une influence notable sur les cours (certainement à la baisse).

Maintenant, si on veut s’acheter du pain et du fromage, on peut aussi se contenter des dividendes. De 2012 à 2018 LVMH a distribué des dividendes chaque année, pour une somme représentant quelque chose comme 3,5% de la valeur moyenne de l’action sur l’année (je n’ai pas le chiffre exact, j’ai un ordre de grandeur moyen calculé au jugé à partir de courbes).

Sur 117 milliards ça fait 4 milliards par an, en espèces sonnantes et trébuchantes cette fois ci. Un sacré plateau de fromages.

— Mais c’est volatile, ça peut ne rien valoir demain !

Les investisseurs n’étant pas fous, ils tiennent compte de ça dans la valorisation qui fonde leurs intentions d’achat et vente, donc dans le cours de bourse. Bref, c’est déjà intégré dans le calcul (en même temps que les espoirs de gains, parce qu’en ce moment LVMH semble plutôt au contraire croitre vite).

Mais, surtout, allez dire ça aux fonctionnaires qui voient leur point d’indice gelé. Ils vous expliqueront que même les euros n’ont pas une valeur si constante que ça en vue d’une conversion en pains et fromages.

Allez aussi voir les Espagnols, qui vous expliqueront la variation de la valeur de leur maison. Allez voir les Chypriotes, qui ont vu une ponction massive sur tous leurs comptes en banque pour éviter la faillite de ces dernières. Tiens, parlez aussi aux grecs (d’un peu tout).

Bref, oui, les valeurs associées aux choses changent avec le temps. La bourse est plus volatile que certains autres biens ou services mais ce n’est pas comme si le reste était stable. Les probabilités sont différentes mais les espoirs aussi. Comme nous disions, la valorisation tient déjà compte de tout cela.

Et bon, on parle de vendre, donc les risques futurs concernent surtout les acheteurs, pas le vendeur. Si vraiment ça ne valait rien, je suppose que de toutes façons Bernard Arnault n’aurait pas de quoi se plaindre si on l’en spoliait ;-)

Note : Bien entendu qu’on ne propose concrètement pas de spolier Bernard Arnaud et liquider arbitrairement son patrimoine de 117 milliards d’euros là comme ça de but en blanc. La citation générique d’origine permet de prendre conscience de ce que représentent les nombres, puis discuter de répartition et accumulation des richesses, de mérite individuel, et du modèle de société que nous voulons.

21 janvier 2020
« Infrastructure vélo » – L’évolution

Vous rappelez-vous le premier billet sur l’infrastructure vélo à côté de chez moi ?

Ça fait depuis fin août que ça dure. Oh, ça évolue, mais c’est pire à chaque étape, de plus en plus dangereux. Petite rétrospective pour rire (ou pas) :

1er septembre – Celui de droite débouche sans prévenir à contresens au milieu d’une voie de circulation automobile 😱

11 septembre : On connait désormais l’intention de l’urbaniste. Le cycliste de droite doit bel et bien faire 10 mètres à contresens au milieu de la circulation puis tourner pour prendre le passage piéton afin de traverser les rails et rejoindre l’autre sens de circulation 😱, sans signalisation 😱

26 novembre : Il y a eu deux étapes.
1/ Ajouter un joli poteau au milieu de la piste, dont la couleur se confond totalement avec les noir et blanc du bitume 😱
2/ Prolonger le séparateur de la voie de droite pour la couper sans prévenir et avec un marquage qui incite à se le prendre en plein avec le risque de tomber sous les roues de la voiture en face 😱😱

2 décembre : La voie de gauche n’était pas assez dangereuse alors on a déplacé le poteau en plein milieu, toujours aussi invisible 😱😱
Maintenant il y a égalité, on risque l’accident grave quel que soit le sens de circulation 😱

6 décembre : Ce long séparateur sans terre-plein était dangereux aussi pour les voitures alors eux on leur a mis une signalisation. Ce n’est malheureusement pas une solution pour les cyclistes, quand bien même on le verrait sur fond de passage piéton.

Entre trois et quatre mois pour ça… Oui les collectivités et le responsable des travaux ont été alertés. On voit d’ailleurs bien qu’ils agissent.

Cela dit, comme ils réussissent à faire de plus en plus dangereux à chaque étape, j’en viens presque à me demander s’il n’est pas mieux de tout laisser en l’état.

17 janvier 2020
Usage des données personnelles par France Info et France Télévision

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous permettre de partager du contenu via les boutons de partage de réseaux sociaux, pour vous proposer des publicités ciblées adaptées à vos centres d’intérêts et pour nous permettre de mesurer l’audience.
Bandeau en haut de page sur meta-media.fr

Pardon ? Ai-je bien lu ?

Alors j’ai fouillé et ce n’est pas beau à voir. Chaque point est à ma connaissance une violation du RGPD.

Les fautes sont graves et massives. Elles nécessitent probablement au moins de supprimer toutes les données dont on ne peut pas prouver qu’elles ont été obtenues sans vice de consentement. Il est aussi possible que considérant l’ampleur des données concernées, un signalement officiel de l’anomalie à la CNIL soit nécessaire de la part du responsable de traitement.

Ce qui suit concerne France Info et France Television, et probablement une majorité des sites du même groupe.

1/ Manque de consentement préalable

Lors de l’accès à la page d’accueil de France Info, sans réaliser aucune interaction clavier ni aucune interaction souris (pas de clic, pas de déplacement de souris au dessus d’éléments, pas de défilement de la page), le site fait des appels à xiti, chartbeat, urbanair, et facebook avec des identifiants uniques.

Cela veut dire qu’ils opèrent au minimum des collectes et traitements de mesures d’audience (et probablement des collectes en vue de personnalisation futures) avant d’avoir un quelconque consentement, qu’il soit implicite ou explicite.

Depuis mai 2018, le RGPD impose pourtant un consentement préalable avant tout traitement de données personnelles, hors certains cas légitimes qui ne peuvent pas inclure la mesure d’audience ou la personnalisation de contenus, ni la participation à du pistage par des tiers (Facebook).

Je ne prends pas en compte ici les appels aux régies de publicité et autres bases de données de relation client. Il est possible (voire probable) que ces services fassent du pistage et/ou de la personnalisation mais je ne peux pas m’en assurer.

2/ Manque de consentement explicite

Un bandeau apparait à la première visite avec l’information suivante :

« En poursuivant votre navigation sur ce site de France Télévisions, vous acceptez l’utilisation de cookies et traceurs servant à mesurer l’audience, à personnaliser votre expérience et vous consentez à recevoir de la publicité et des offres adaptées à votre profil. »

Sur meta-media.fr j’ai un message similaire :

« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous permettre de partager du contenu via les boutons de partage de réseaux sociaux, pour vous proposer des publicités ciblées adaptées à vos centres d’intérêts et pour nous permettre de mesurer l’audience. »

Tout ou partie des usages décrits nécessitent un consentement explicite et éclairé de la part des personnes concernées depuis la mise en place du RGPD en mai 2018.

La poursuite de navigation ne peut être considérée comme un consentement explicite et éclairé suivant les termes du RGPD. Les collectes correspondantes sont donc viciées.

3/ Impossibilité de refus de consentement

Quand on souhaite configurer ses consentements, l’outil proposé n’offre pas de refus possible pour la catégorie « réseaux sociaux », quand bien même ils sont « susceptibles d’identifier les données de connexion et de navigation de l’internaute ».

Cette information a été confirmée par les conseillers gérant le compte twitter :

Bonjour, en effet, les technologies utilisées sur nos sites ne nous permettent pas de vous opposer aux cookies de partage sur les réseaux sociaux depuis le lien « Gérer mes cookies ». 1/2
— France Télévisions (@Francetele) January 15, 2020

Cette impossibilité de refuser des traitements annexes les met là aussi très certainement en violation du RGPD mais ce n’est pas tout :

4/ Faux à l’enregistrement des consentements

Si l’utilisateur ne se voit pas proposer d’option pour refuser le consentement, cette option est bien présente. Elle est juste cachée.

Comme elle est activée par défaut, la validation de la page de consentement, même pour ceux qui ont consciencieusement tout désactivé, enverra un consentement positif explicite au registre des consentement.

Plus qu’une absence de choix explicite, France Television produit un faux consentement positif. On dépasse à mon sens les erreurs d’implémentations. Il y a là tromperie et production de faux.

5/ Absence d’information

Vous ne pouvez pas vous opposer au traitement des réseaux sociaux dans l’outil, il enregistrera tout de même un consentement positif explicite alors que vous ne l’avez pas donné, mais il y a une information qu’on pourrait s’opposer à certains de ces cookies sur la page « politique de gestion des cookies et sdk ».

Sur cette longue page, on voit effectivement en défilant qu’il existe un « sdk » pour Twitter. Aucun lien ou procédure n’est toutefois donné pour s’y opposer.

Ce défaut d’information est d’autant plus gênant que les équipes connaissent ces liens et savent les donner quand une personne sait que c’est un problème et le signale :

En revanche, vous pouvez accéder directement aux services d’opt-out pour chaque réseau par ici:
-Facebook https://t.co/cdSBvsqWkR
-Twitter https://t.co/wRxojXMAOG
-Google https://t.co/GCHAEYp8Ck
2/2
— France Télévisions (@Francetele) January 15, 2020

6/ Collecte et traitement malgré refus de consentement

Après avoir refusé explicitement tous les consentements sur les interfaces, France Info et France Television continuent pourtant la collecte et le traitement des données.

Ainsi, bien que les mesures d’audience soient explicitement refusées, des appels partent encore à Xiti, New Relic (la partie audience et mesures), Global Stats counter, Outbrain et Google Tag.

Ici encore, je ne prétends pas faire une liste exhaustive et je ne prends pas en compte plusieurs prestataires du domaine publicitaire dont il m’est impossible de confirmer s’ils font ou pas du pistage par identifiant unique et/ou de la personnalisation (même si c’est probable).

Le DPO de France Television a été informé par email.

Mouais… Pauvre Benoît Pelletier… Il y a un peu de différence entre l’autopromotion et la réalité.

Réponse de France Television

J’ai eu une réponse le 14 février. Je ne vais pas dire que c’est rapide, mais j’ai tellement de réponses qui prennent parfois 2 mois quand je parle données personnelles, que j’en viens presque à trouver ça positif.

La réponse l’est moins. Extrait :

Les décalages observés dans la gestion des cookies et autres traceurs sur les sites visés (meta-media.fr, francetvinfo.fr, francetelevisions.fr) par rapport aux nouvelles lignes directrices de la CNIL en la matière ont bien été identifiés, et les corrections nécessaires intégrées à notre plan de mise en conformité dans les délais requis par la CNIL.

Lors de la présentation de son plan d’action sur le ciblage publicitaire pour l’année 2019–2020, la CNIL a en effet indiqué que son ancienne recommandation du 5 décembre 2013 relative aux cookies et autres traceurs était devenue obsolète suite à l’entrée en application du RGPD, en ce qu’elle permettait le recueil du consentement de l’utilisateur via la simple poursuite de sa navigation. Sa délibération du 4 juillet 2019 prévoit ainsi la fin de la poursuite de la navigation comme moyen d’expression du consentement. Afin toutefois de laisser aux éditeurs de sites le temps nécessaire à l’adaptation technique de leurs sites, la CNIL prévoit une période de mise en conformité à ses nouvelles règles, qui prendra fin à l’expiration d’un délai de six mois suivant l’adoption définitive de sa recommandation sur les modalités pratiques de recueil du consentement, dont le projet est actuellement soumis à consultation publique jusqu’au 25 février 2020.

Cette position de la CNIL est un vrai problème. Elle n’a aucun pouvoir ni législatif ni judiciaire et son pouvoir administratif ne l’autorise en rien à donner un sauf-conduit sur l’application de la loi française ou européenne (et donc du RGPD qui est applicable depuis mai 2018 au niveau européen et entériné dans la loi française en juin 2018).

Ce qui est en violation du RGPD reste illégal et punissable auprès des tribunaux, quand bien même la CNIL renoncerait à faire diligence sur sa propre mission administrative.

Malheureusement les éditeurs se servent des lenteurs de la CNIL et d’un texte de 2013, pré-RGPD, comme paravent pour s’exonérer de leurs obligations. Ces fumisteries doivent prendre fin très rapidement !

Je ne compte même pas la mauvaise foi :

Dans cet intervalle, nous continuons à travailler sur l’amélioration de la gestion des traceurs utilisés sur nos sites. Celle-ci se heurte à certaines contraintes techniques imposées par des tiers comme Facebook, dont les cookies font l’objet d’une information des utilisateurs sur les moyens de s’opposer à leur utilisation via les liens présents dans notre politique de gestion des cookies, et non directement dans notre gestionnaire de cookies.
Je tiens aussi à vous informer que pour remédier à certaines de ces difficultés, et protéger davantage les données personnelles de nos utilisateurs, nous avons pris la décision de mettre un terme à l’usage du « social login » (le dispositif permettant de créer un compte utilisateur via son compte de réseau social) avec Facebook et Google sur les sites francetvinfo.fr et france.tv.

Il y a peu de chances que le retrait des création de compte via un fournisseur d’identité tiers (Facebook, Google) ait été motivé pour limiter la collecte de données personnelles. En tout cas retirer une fonctionnalité qui ne peut être que ponctuelle, volontaire et explicite de la part du visiteur et en parallèle laisser les traceurs invisibles de la même source sans donner de moyen simple de s’y opposer… j’appelle ça être hypocrite.

15 janvier 2020
Usage des données personnelles par Engie
J’ai reçu un email de prospection commerciale d’Engie et je me suis fendu un courrier pour savoir d’où venaient mes données personnelles et quel usage il en était fait.

6 décembre : Envoi du courrier. Ils ont légalement un mois pour répondre.
27 décembre : Accusé de réception de la demande (oui, 3 semaines pour ça).
6 janvier : Toujours aucune réponse, expiration du délai légal.

Ils viennent de me faire un refus implicite de réponse à une requête formelle d’accès aux données, reçue et actée par eux. #aie

Aujourd’hui, 13 janvier, j’ai un appel téléphonique lié à ma requête. J’y obtiens les informations suivantes :
- Mes données viennent de mon ancien contrat GDF, résilié en janvier 2017 (avant l’entrée en vigueur du RGPD, donc).
- Ils gardent les données des anciens clients pendant 5 ans après résiliation, pour raisons comptables.
Ils justifient l’absence de suppression de mes données (qui devrait être la norme) en arguant d’obligation comptables et légales. Pourquoi pas.

Je sens venir le hic et il est confirmé explicitement dans la suite de la conversation :
- Les anciens clients sont gardés en base et transformés en prospects.
- L’email commercial que j’ai reçu a été envoyé aux prospects. Je l’ai reçu à ce titre.
Engie refuse donc suppression des données et profite de cette rétention pour en faire un usage commercial bien que les finalités ne sont en rien corrélées. #aie bis

On discute un peu plus utilisation des données personnelles. Ils me confirment explicitement que :
- J’ai bien refusé la transmission de mes données à des tiers.
- J’ai bien refusé l’utilisation de mes données pour des offres de partenaires.
- S’ils m’ont envoyé cet email de prospection commerciale c’est parce que la case « contact possible pour des contrats énergie » était dans sa valeur « par défaut ».
Et là je tique une seconde fois.

Je ne sais pas pourquoi ma coche « contact possible pour des contrats énergie » était dans l’état par défaut. Je ne suis même pas capable de savoir si cette coche m’était accessible. Comme je n’ai plus de contrat chez eux, je n’ai plus accès à une quelconque interface pour le savoir – et encore moins pour le modifier.

Ils disent par contre implicitement qu’ils s’autorisent les contacts commerciaux tant qu’ils n’ont pas un refus explicite. Hors relation contractuelle et à défaut de tout compte actif (il ne l’est pas, j’ai essayé de m’identifier sur le site et ça m’est refusé cause résiliation), le RGPD impose pourtant exactement l’opposé. #aie ter

J’ai demandé à avoir leur réponse par écrit, on verra.

Engie, entre temps, tu as un problème avec le respect le plus basique des données personnelles de tes anciens clients.

Réponse par écrit le 20 février

Soit deux fois et demi après le délai légal. La réponse est plus courte que celle obtenue par téléphone mais pas meilleure :

1/ Ils y listent mes coordonnées personnelles mais aucune autre information. Lors de l’échange téléphonique ils avaient pourtant au minimum des détails sur mes contrats passés, mes échanges avec eux, une catégorisation clientèle, ainsi que les dates et statuts des différents consentements. Il y a refus implicite de me donner l’intégralité des données demandées.

Je les soupçonne d’avoir aussi d’autres historiques de connexion, de consommation, et d’autres informations de profilage mais ça je ne peux pas le prouver aujourd’hui.

2/ Ils considèrent la prospection commerciale comme un intérêt légitime permettant de se passer de consentement explicite au sens du RGPD, quand bien même je ne suis pas/plus client de leurs services.

« Comme mentionné dans cette politique, le traitement de vos données personnelles à des fins de prospection commerciale est fondé sur l’intérêt légitime du responsable du traitement et ne requiert donc pas le recueil du consentement des personnes concernées. »

À ma connaissance, c’est totalement hors périmètre du RGPD pour ce qui est des prospects. C’est d’autant plus vrai pour les données collectées avant l’application du RGPD, dont le consentement peut difficilement être considéré comme implicite.

3/ Ils m’envoient le lien vers leur politique de protection des données personnelles. Malheureusement elle indique explicitement « Vous pourrez toujours gérer les sollicitations commerciales que vous souhaitez recevoir ou non […] En plus, sur tous les canaux digitaux (mail, SMS), Nous vous demandons systématiquement votre accord via des consentements. »

Indépendamment de la protection légale minimale, le fait de se passer de consentement entre donc une violation explicite de la politique de confidentialité déclarée auprès des tiers.
13 janvier 2020
[Grève et RATP] Remboursez !
On a parlé ((trop) longuement) des l’impact du financement de la RATP suite aux grèves.

Discussion de départ : Le service étant non rendu, serait-il légitime de rembourser le versement transport aux entreprises pour les mois concernés* ? ou plus généralement de diminuer les subventions et paiement de la collectivité à la RATP.

Et ma grande question : Pourquoi et qu’en attendrait-on ?

Pour une entité publique comme la RATP ça me parait plus difficile. La réduction du financement peut avoir plusieurs effets :
1. On créé une dette sans rien toucher par ailleurs (et la dette reste donc à vie, gonflant avec les intérêts).
2. On améliore la gestion et la productivité pour compenser la perte ;
3. On diminue le service, idéalement d’abord là où ça coûte cher par rapport au service rendu ;
4. On fait un report sur les tarifs des périodes hors grèves de façon à ce que ça compense les moindres financement quand il y a grève.
Je mets d’office de côté le (1) qui n’a aucun sens.

Le (2) me gêne aussi. Chercher des améliorations est un travail permanent, forcément déjà en cours. Réduire le budget n’y changera rien et peut même limiter les marges de manoeuvre nécessaires à la transformation.
Si on pense que la contrainte budgétaire peut forcer la transformation, cette politique peut être menée indépendamment des grèves actuelles (et l’est déjà, c’est comme ça que fonctionnent nos politiques publiques, avec des effets pas toujours heureux). Les sujets ne sont donc pas liés.

Même réflexion avec le (3). Si on pense que le ratio bénéfice/coût de certains services est trop faible, on peut déjà prendre les décisions adéquates indépendamment de la grève.
Réduire le service apporté hors grève n’aidera ni à terminer la grève actuelle ni à éviter une future grève. Ce d’autant moins que la grève n’est pas liée à un conflit interne à la RATP

Reste le (4) mais si ce sont les mêmes personnes qui paient en temps normal et qui évitent de payer en cas de service non rendu lors des grèves, même indirectement, j’échoue à voir l’intérêt de l’artifice comptable.

Alors quoi ? J’entends ceux qui veulent responsabiliser, mettre des limites et des sanctions, mais j’échoue à voir quelle est la rétro-action qui soit limiterait soit la grève actuelle soit de futures grèves nationales similaires en cas de réduction de financement de la RATP.

Les principes c’est bien mais il ne faut pas en perdre le sens.

Sanctionner une entité publique est déjà difficile à la base. Vu que l’entité est censée être pilotée par nous et à notre unique bénéfice, ça revient vite à se tirer dans le pied.

C’est encore plus vrai ici. On parle d’une grève, donc de salariés dont on retire déjà le salaire des jours concernés et qui sont (à raison) protégés par la loi contre toute autre action à leur encontre. On manque de leviers sur les acteurs.

On parle en plus d’une grève nationale liée à une réforme nationale. L’entité de transport à peu de moyens d’action. Elle ne peut même pas promettre des conditions plus favorables vu que c’est justement ce qu’on leur retire. On manque de leviers sur les causes.

Au final j’échoue à comprendre comment retirer des moyens financiers à la RATP va permettre aux usagers de moins sentir les effets de cette grève ou d’une future grève nationale liée à des enjeux hors RATP.

Le seul levier que j’envisage côté RATP est d’accélérer fortement les automatisations de lignes pour éviter de futures baisses de financement lors des grèves.

Malheureusement, impossible de mener une telle politique avec des baisses de financements. Il faudrait au contraire des augmentations massives.

Et quand bien même, c’est un faux calcul. Jamais on ne laisse une entité publique avec le fruit de ses investissements. Si les marges de manœuvres s’améliorent, on les réinvestira ailleurs (et potentiellement dans des baisses de subventions).

Si le sujet est intéressant, une baisse de financement aujourd’hui ne sera pas un réel moteur (par contre un espoir de meilleur service ou d’économies futures, oui).

S’il y a des leviers ça peut être entre la région (qui paye) et l’État (qui gère). On peut envisager la baisse des financements de la région et des entreprises à la RATP incite l’État soit à abandonner sa réforme actuelle soit à investir massivement pour réduire les effets d’une future grève.

Le premier effet me semble totalement irréaliste. Le second serait réaliste si l’État n’avait pas de toutes façons moyen de contraindre les montants des financements et si les investissements d’automatisation n’étaient pas déjà en cours. Bref, choux blanc

Où fais-je erreur ? Voyez-vous une rétroaction possible ?

(*) On parle de la contribution des entreprises locales de plus de 11 salariés au financement des transports en commun, pas du remboursement de la moitié des abonnements transports aux salariés.
8 janvier 2020
J’adorerais tout connecter.

Je veux des volets qui se ferment automatiquement la nuit après avoir vérifié que je ne suis pas sur le balcon ou l’été en journée à certaines heures quand la température extérieure dépasse les 30°.

Je veux pouvoir commander les prises et les interrupteurs, ouvrir ma porte d’entrée et mon garage avec mon smartphone, mesurer ma consommation d’eau et d’électricité, asservir mes radiateurs, programmer mes machines à laver pour quand je ne suis pas là.

Je veux mes courbes de consommation d’eau et d’électricité, mes utilisations de transports en commun, mais aussi croiser mes passages à la station services avec les différents déplacements que je fais en voiture. Je rêve de pouvoir tracer mes différents déplacements avec des points GPS quasi permanents.

J’aimerais même avoir des taux utilisation des appareils et des pièces, savoir combien de temps je suis devant la TV et sur quelles chaînes, combien de temps et jusqu’à quelle heure je lis avec ma lampe de chevet allumée.

Moi aussi j’aimerais savoir si je dors bien, tôt ou tard, en me levant ou pas la nuit, si je me réveille bien ou si je traine, et croiser ça avec les autres données de température, horaires de travail, activité physiques, horaires de repas…

Je n’imagine même pas comment on pourrait être trop connecté.

J’aimerais.

La technologie est là, depuis des années, partout. On en est à connecter les aspirateurs et les brosses à dents. Même moi je reste circonspect sur la pertinence.

La technologie est là mais on a merdé dans les grandes largeurs au niveau éthique et architecture. Je n’ai ni contrôle, ni vie privée, ni pérennité.

Changez moi-ça et je veux bien tester même la brosse à dents.

6 janvier 2020
Je veux des appareils connectés

Je veux des appareils connectés mais…

Je veux des appareils qui fonctionnent avec un stockage local. Ce peut-être une carte mémoire, un disque dur sur port usb. Ce peut même être un stockage réseau via FTP, Webdav, CIFS ou autre tant que je suis celui qui décide où je stocke.

Je veux des données lisibles. Idéalement elles sont dans un format standard et normalisé. À défaut il s’agit d’un format documenté, ou au moins quelque chose que je peux explorer comme du JSON ou du XML. Dans tous les cas, je ne veux rien qui m’empêche d’accéder à mes données.

Je veux être autonome. Je ne veux pas être dépendant de la création d’un compte, de la maintenance d’un serveur en ligne par le constructeur, ou d’un logiciel qui finira pas ne plus être mis à jour. Si un tel élément est indispensable, il faut une garantie de fonctionnement qui se chiffre en décénies, ou un engagement de documenter les interfaces de façon à permettre à un tiers de refaire ce qui manque le jour où ça manquera.

Oui, ça remet en cause toute la startup nation qui fait payer des abonnements et qui se rémunère via la donnée des utilisateurs.

En échange je suis prêt à payer plus cher, mais je veux des objets à moi.

Informaticiens, ne contribuez pas à mettre vos utilisateurs en situation de dépendance.

6 janvier 2020
Aujourd’hui c’est (encore et toujours) backup day

Je note ici toutes mes itérations de backup day.

La dernière était il y a plus d’un an. J’avais 2 portables et un NAS, tous trois sous Crashplan.

Au delà de la sauvegarde, un des portables avait un Dropbox gratuit pour la synchronisation en ligne, l’autre un Tresorit payant à 200 Go.

3 appareils crashplan indépendants plus un abonnement à la première offre tresorit, ça allait finir par faire cher à la fin des offres promotionnelles de nouvel abonné.

En parallèle le Dropbox et le Tresorit commençaient à être plus qu’à l’étroit sur leurs offres respectives donc il y avait quelque chose à changer. Sur le papier ça allait passer de moins de 20 € à plus de 40.

Au lieu de gérer 3 postes indépendants, j’ai profité de la synchronisation et installé Tresorit sur le NAS.

L’idée c’est que si tout ce qui est synchronisé en ligne se retrouve aussi synchronisé sur le NAS, on peut se contenter de sauvegarder le NAS et retirer Crashplan des portables.

Je ne m’en sors pas pour moins cher, parce qu’au final j’ai basculé sur l’offre supérieure de Tresorit (afin d’avoir plus d’espace) et que je risque aussi de lancer une offre Tresorit payante pour remplacer le Dropbox gratuit du second portable. Au final ce que je vais payer c’est du stockage synchronisé en ligne.

Si vous avez des besoins plus légers ou que vous êtes prêts à ne pas avoir de chiffrement côté client sur l’offre de synchro de fichier, il y a des offres moins chères que Tresorit.

Pour l’instant je garde Crashplan sur le NAS. J’ai plusieurs To et Crashplan est le seul fiable que j’ai vu à me proposer ça sans des prix délirants et sans solution bricolée à la main.

Si toutefois vous avez d’autres propositions à moins de 10 € par mois pour un petit NAS sous Linux (2 To grand minimum, chiffrement côté client), je suis toute ouie.

2 janvier 2020