RGPD : Que change le nouveau cadre juridique pour la protection de nos données ?

Appuyer sur ESPACE pour passer au diaporama suivant, sur → pour passer à la partie suivante et sur ÉCHAP pour la vue d'ensemble

Cette présentation est diffusée sous licence CC BY-SA : vous pouvez la modifier et la partager, à condition de l’attribuer clairement à La Boussole et de mettre le nouveau contenu à disposition dans des conditions similaires

La Boussole est une coopérative de formation et de recherche
Intelligence collective et méthodes participatives   Dialogue culturel et lutte contre les discriminations   Numérique et éducation aux médias
         
Formation   Accompagnement   Recherche

https://laboussole.coop

Sommaire

  • I. Le modèle économique des géants du Net
    1. Surveillance de masse
    2. Captation de l'attention
    3. Marchandisation des mots
  • II. Le RGPD, dernière étape de la longue histoire du droit à la vie privée
    1. Résumé des 50 dernières années
    2. Le RGPD et ses principales dispositions
    3. Et maintenant ?

La numérisation du monde

Nous assistons à une numérisation généralisée du monde : la transformation d'informations de toutes sortes en données numériques, c’est-à-dire qu’un dispositif informatique pourra ensuite traiter pour effectuer des opérations

  • 95 millions de photos publiées chaque jour sur Instagram
  • 300 heures de vidéos envoyées sur Youtube chaque minute
  • Près de 4 millions de recherche effectuées sur le moteur de recherche Google chaque minute
  • En 2010, nous produisions autant de données en 2 jours qu'au cours des 2 millions d’années précédentes

Les GAFAM

  • Google, Amazon, Facebook, Apple, Microsoft… mais aussi Uber, AirBnb, Tesla, Netflix, Spotify, IBM, Baidu, TikTok, Alibaba, Tencent, Xiaomi…
  • 5 premières capitalisations boursières, avec 3500 milliards de dollars cumulés.
    En 2017, le PIB de l'Allemagne est de 3000 milliards de dollars
  • Ambitions de se substituer à l'État pour l'éducation, la santé, l'emploi, le transport…

Les GAFAM

Les GAFAM

Les GAFAM

  • Le modèle économique de certains GAFAM est la surveillance de masse pour l'affichage de publicité ciblée / la manipulation des opinions
  • Marché biface : service gratuit pour les utilisat·rices et service payant pour les véritables client·es, fréquent dans le secteur des médias
  • Google Analytics est utilisé par ~80 % des sites internet et ~30 % des adresses emails sont hébergées chez Gmail

Le suivi des navigations

Un mécanisme très répandu est le suivi de nos navigations grâce à des mécanismes de transferts de données vers d'autres sites, soit pour ajouter des fonctionnalités au site visité (police de caractères, informations sur les visites…), soit pour collecter des données à des fins publicitaires

Le suivi des navigations

Le suivi des navigations

www.rtl.fr

  • 1000mercis
  • A.Mob
  • Acuityads Inc.
  • ad6media
  • Adara Media
  • Adform A/S
  • Adikteev
  • Adkernel LLC
  • admetrics GmbH
  • Admotion SRL
  • Adobe Advertising
  • AdRoll Inc
  • adsquare GmbH
  • ADUX
  • ADventori SAS
  • Adverline
  • ADYOULIKE SA
  • affilinet
  • Amobee, Inc.
  • AppNexus Inc.
  • ARMIS SAS
  • BIDSWITCH GmbH
  • Captify Technologies
  • Comcast
  • comScore, Inc.
  • ConnectAd Realtime
  • Conversant Europe
  • Criteo SA
  • Dataxu, Inc.
  • DigiTrust / IAB
  • district m inc.
  • DoubleVerify Inc.​
  • Fyber
  • Gamned
  • GumGum, Inc.
  • ID5 Technology SAS
  • Improve Digital
  • Index Exchange, Inc.
  • InMobi Pte Ltd
  • Inskin Media LTD
  • IPONWEB GmbH
  • Justpremium BV
  • Leadplace-Temelio
  • LiveRamp, Inc.
  • Madvertise Media
  • mainADV Srl
  • MediaMath, Inc.
  • mediarithmics SAS
  • Mediasmart Mobile
  • Nielsen Marketing
  • Oath (EMEA)
  • Ogury Ltd.
  • OpenX Software
  • Outbrain UK Ltd
  • PIXIMEDIA SAS
  • PubMatic, Inc.
  • PulsePoint, Inc.
  • Quantcast
  • Rakuten Marketing
  • RhythmOne, LLC
  • S4M
  • Seedtag Advertising
  • Sharethrough, Inc
  • Sizmek Technologies
  • SlimCut Media SAS
  • Smaato, Inc.
  • Smart Adserver
  • Smartclip Holding
  • Sojern, Inc.
  • Sovrn Holdings Inc
  • SpotX
  • Sublime Skinz
  • TabMo SAS
  • Teads
  • Teemo SA
  • The Kantar Group
  • The Rubicon Project
  • The Trade Desk
  • Tradelab, SAS
  • TripleLift, Inc.
  • Vibrant Media
  • Widespace AB
  • YOC AG
  • Zemanta, Inc.

Le suivi des navigations

Le suivi des navigations

Le suivi des navigations

La multiplication des dispositifs de collecte

  • Androïd (Google) et iOs (Apple) équipent 99,3 % des ordiphones en France
  • Communications et contacts, déplacements et localisations, organisation de nos vie, environnement sonore, applications diverses…

La multiplication des dispositifs de collecte

  • Bases de données des hôpitaux, des écoles, des assurances, des banques…
  • Objets connectés : montre, enceinte, frigo, aspirateur, voiture, compteur Linky…
  • Cartes bleue, de fidélité, de transport
  • Télévisions et box internet
  • Badge sur le lieu de travail
  • Capteurs dans les véhicules
  • Réservations hôtelières et applications de voyage
  • Caméras dans l'espace public
  • Péages et radars
  • Moteurs de recherche
  • Sms, emails, réseaux sociaux

Les data brokers

  • Acxiom, Criteo, Palantir, Experian, Epsilon, CoreLogic, Datalogix, inome, PeekYou, Exactis, Recorded Future…
  • Utilisent les bases de données publiques (recensement), les réseaux sociaux, les chaînes de distribution et les historiques d'achat, etc.
  • Acxiom prétend détenir des profils détaillés (1 500 éléments d'information) sur 1/3 de la population mondiale. Son CA en 2017 : 1 milliard de dollars

Le recoupement des informations

  • La mise en commun de bases de données, lors d'achats ou de fusion
  • Facebook et Instagram en 2012, Microsoft et LinkedIn en 2016

Le recoupement des informations

  • Étude de 2013 des Universités de Cambridge et Nottingham, effectuée auprès de 58 000 personnes. À partir de recoupements de « j'aime » l'étude à permis d'identifier :
    • la couleur de peau des personnes avec 95 % de certitude,
    • leur genre avec 93 % de certitude,
    • leur orientation politique avec 85 % de certitude,
    • leur orientation sexuelle avec 80 % de certitude,
    • leur confession religieuse avec 82 % de certitude,
    • leur situation amoureuse avec 67 % de certitude,
    • s'ils fumaient avec 73 % de certitude, buvaient de l'alcool avec 70 % de certitude ou consommaient de la drogue avec 65 % de certitude.

Quelques définitions

  • La vie privée
  • Les données personnelles
  • L'intimité

La vie privée

  • Une notion juridique complexe et forcément subjective
  • Des approches différentes selon les pays
  • La jurisprudence actuelle : image de soi, domicile, santé, sexualité, opinions politiques ou religieuses, passé judiciaire, situation financière…
  • Une approche binaire

Les données personnelles

  • Toute information se rapportant à une personne physique identifiée ou identifiable
  • Ce que les GAFAM valorisent financièrement : l'expression de nos identités, de nos individualités, de nos relations, de nos comportements sociaux…
  • Des données collectives et les limites du consentement à l'exploitation

L'intimité

  • La vie intérieure, l'anatomie, les relations…
  • Un concept psycho-corporel complexe et subjectif
  • Indispensable à la construction de soi en tant qu'individu autonome

Enjeux et conséquences

  • La possibilité d'espaces intimes permet l'exercice d'autres droits :
    • être soi
    • s'exprimer
    • militer
    • croire
    • aimer
    • s'informer
    • se soigner
    • essayer
    • choisir

Enjeux et conséquences

  • Risque pour l'accès :
    • aux banques
    • aux assurances et mutuelles
    • à l'emploi
    • aux soins

Enjeux et conséquences

  • L'intimité comme enjeu collectif :
    • élections et démocratie représentative
    • information, bulle de filtre et prévalence de la quantité sur la qualité
    • résistances et alertes

Scandales quotidiens

La captation de l'attention

  • Sollicitations permanentes et rareté de l'attention
  • Des interfaces conçues pour nous rendre dépendant·es
    • des contenus inépuisables, des flux infinis, la lecture automatique
    • des interruptions constantes
    • des informations difficilement accessibles
  • La spéculation sur les discours haineux, notamment en Birmanie

La marchandisation des mots

  • Les enchères sur les mots et expressions
  • Un marché fluctuant
  • La régularisation de la langue
  • La spéculation sur les discours haineux

La triple domination des GAFAM

  • Ces mécanismes permettent aux GAFAM d'imposer une triple domination :
    • Économique
    • Culturelle
    • Technique

Résumé des 50 dernières années

  • 1974 : SAFARI
  • 1978 : loi Informatique et libertés et création de la CNIL
  • 1995 : directive européenne sur la protection des données personnelles
    • 2014 : transposition en droit français
    • 2018 : intégralement remplacée par le RGPD
  • 2013 : révélations d'Edward Snowden sur les liens entre GAFAM et services de renseignement
  • 2016 : RGPD

1er article de la loi de 1978

« L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité ni aux droits de l’homme, ni à la vie privée ni aux libertés individuelles ou publiques. Toute personne dispose du droit de décider ou de contrôler les usages qui sont faits des données à caractère personnel les concernant. »

La CNIL

  • Budget 2018 : 17,4 millions d'euros
  • 15aine de sanctions par an
  • amende de 150 000 € maximum (jusqu'en 2018)
    • 0,0003 % du CA ou 2 mn d'activité de Google
  • 200 personnes, contre 600 et 800 pour les autorités de contrôle anglaise et allemande

Dans la loi

Art. 9 du Code civil : Chacun a droit au respect de sa vie privée.

Art. 8 de la Convention européenne de sauvegarde des Droits de l’Homme et des Libertés fondamentales sur le Droit au respect de la vie privée et familiale :

  1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
  2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui.

Le RGPD

  • Règlement général sur la protection des données, ou General Data Protection Regulation (GDPR)
  • Discuté depuis 2012, adopté en 2016 et entré en vigueur le 25 mai 2018
  • 200 pages – comportant 99 articles introduits par 173 considérants
  • Campagne d'influence d'ampleur inédite et inégalée
  • Cadre juridique encadrant le traitement des données personnelles au sein des États membres de l’UE
  • S’impose à toutes les entreprise/associations/organisations partout dans le monde, dès lors qu’elles traitent les données de citoyen·nes européen·nes
  • Application immédiate et identique dans toute l’UE (Règlement)
  • Quelques points (~50) laissés aux choix des États

Les principales dispositions

  • Le règlement définit les « données à caractère personnel », comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Même après pseudonymisation, si elle est réversible ou si l'identité peut être retrouvée par croisement.
  • Passage d'une logique déclarative à la responsabilité de respect du droit

Les principales dispositions

  • Interdiction par défaut de tout traitement de données personnelles : ce qui n'est pas autorisé est interdit. Sauf :
    • consentement explicite et clair (pas de CGU incompréhensibles)
    • contrat
    • obligation légale
    • sauvegarde d'intérêts vitaux
    • mission d’intérêt public ou d'une autorité publique
    • « intérêt légitime » … sauf atteinte disproportionnée aux intérêts des personnes concernées

Les principales dispositions

  • Consentement inconditionné :
    • choix véritable
    • absence de conséquences négatives, comme l'impossibilité d'accéder au service si traitement non nécessaire au service
    • distinct pour chaque traitement de données
  • Finalité de la collecte :
    • transparence
    • durée
    • rapport à la collecte

Les principales dispositions

  • Interdiction de principe pour les données sensibles :
    • origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques et biométriques, données de santé ou concernant la vie ou l'orientation sexuelle
  • Sanctions accrues :
    • 4 % du CA mondial : représente 520 millions d’euros pour Facebook / 3,5 milliards d'euros pour Google en 2017 (contre 150 000 € jusque ici)
    • 20 millions d’euros pour les administrations
  • Obligatoire pour tous les pays de l’UE, toutes les entreprises qui y travaillent et tous les sous-traitants et co-responsables

Les principales dispositions

  • Sécurité, vie privée et minimisation des collectes par défaut
  • Droit d'accès / modification / suppression
  • Obligation de notification en cas de faille / fuite
  • Portabilité des données
  • Actions collectives pour les associations

Et maintenant ?

  • Distinguer droit et application : beaucoup de pratiques répandues déjà interdites dans les textes précédents
  • Incertitudes pour la mise en œuvre et les jurisprudences à venir
  • Les combats qui s'engagent

La surveillance des États

  • Pas de remise en cause dans le RGPD
  • Échelle inédite, nourrie par les GAFAM, comme révélé par Edward Snowden
  • Dérives : répression, détournement, fuites, usages personnels, auto-censure…
  • Le fichier TES : depuis 2016, regroupe l'identité, le genre, la couleur des yeux, la taille, l'adresse du domicile, les données relatives à la filiation, l'image numérique du visage, la signature, l'adresse e-mail et les empreintes digitales

Une philosophie personnaliste

  • Définition en 1890 aux États-Unis par Samuel Warren et Louis Brandeis du droit à la privacy comme droit d'être laissé·e en paix
  • Protection contre l'État ou les intrus
  • Dimension collective des données personnelles qui échappe pour l’essentiel au RGPD
  • Le besoin d'une protection sociale et collective

Des outils pour nous protéger

  • Les logiciels et services libres, décentralisés, chiffrés
  • Quelques extensions à ajouter à son navigateur

Des outils pour nous protéger

Quelques extensions à ajouter à son navigateur

Des outils pour nous protéger

Quelques extensions à ajouter à son navigateur

  • Et si vous êtes à l'aise avec les outils informatiques :
    • uMatrix pour contrôler les requêtes entre sites au cours de votre navigation
    • NoScript pour n'autoriser JavaScript, Java, Flash… qu'aux sites dans lesquels vous avez confiance

D'autres réponses techniques pour se protéger et sécuriser ses données
dans cette autre présentation

Pour aller plus loin

À lire

Pour aller plus loin

À voir

À vous de jouer !

https://laboussole.coop