Réglement général sur la protection des données

[CHREZO]

Bonjour à tous,

Nous sommes nombreux à avoir le regard fixé sur Quai Zéro mais pendant que nous serons en route, un cataclysme numérique se prépare...
Notre bonne vieille Loi "informatique et liberté" de 1978 cédera sa place le 25 mai prochain à minuit aux dispositions du RGPD qui seront obligatoires et applicables aux 500 millions de citoyens dans l'UE.
De ce que je comprends, l'esprit du texte est assez simple: toute utilisation de donnée ne peut se faire sans information préalable de l'Internaute (ce qui existait déjà avec la loi de 1978) mais en outre le collecteur des données doit mettre en oeuvre des mesures pour lui permettre d'exercer un certain nombre de droits.
Ces droits, considérés comme "fondamentaux", sont nombreux: droit à la vie privé, droit à la protection, droit à l'oubli, droit d'accès, droit à la rectification, droit à l'effacement, droit à l'erreur, droit à la transparence, droit à connaître, droit de se faire communiquer, droit au déréférencement, droit à la portabilité, droit de faire rectifier, droit d'opposition, droit à la conservation, droit au transfert.
Outre l'obligation de s'organiser pour permettre l'exercice de ces droits, l'entreprise utilisatrice des données a beaucoup de devoirs et ce, quelle que soit sa taille: devoir de non-évaluation, obligation de non-profilage, devoir de traitement équitable et transparent, obligation d'adopter des règles internes et mettre en oeuvre des mesures qui respectent la protection, obligation de désigner un représentant responsable du traitement, obligation d'établir un contrat ou un autre acte juridique, obligation de tenir des registres, obligation d'effectuer une analyse d'impact, devoir de notifier à l'autorité de contrôle dans les meilleurs délais et 72 heures au plus tard...
Les sanctions prévues sont disuassives: 4% du chiffre d'affaires ou 20 millios d'euros.
J'avoue pour ma part "être un peu surpris par le départ du coup" et j'étudie actuellement les possibilités de maintenir mon activité tout en respectant ces dipositions car il existerait des solutions légères pour s'y conformer.

En revanche, et c'est l'objet prinicpal de mon intervention: Quid de notre forum?
Si le texte prévoit que les activités personnelles et domestiques ne sont pas concernées, le fait même de compter les messages d'un membre ou de présenter un compteur donnant le nombre d'utilisateurs connectés à l'instant T, ou même d'indiquer si untel est en ligne ou déconnecté, peuvent constituer des utilisations de données personnelles au sens de cette nouvelle directive. L'évocation sans leur autorisation de noms de lieux, de personnes, de marques, de produits, serait également considérées comme telle... alors de quoi allons nous parler ici ?
Je sais qu'il y a quelques spécialistes, et sans chercher à jeter un pavé dans la mare, est-il possible de maintenir un tel forum en activité sans exposer ses admistrateurs aux sanctions?

Amicalement

Joël

[netmetrique]

Bonjour à tous,

En revanche, et c'est l'objet prinicpal de mon intervention: Quid de notre forum?
Si le texte prévoit que les activités personnelles et domestiques ne sont pas concernées, le fait même de compter les messages d'un membre ou de présenter un compteur donnant le nombre d'utilisateurs connectés à l'instant T, ou même d'indiquer si untel est en ligne ou déconnecté, peuvent constituer des utilisations de données personnelles au sens de cette nouvelle directive. L'évocation sans leur autorisation de noms de lieux, de personnes, de marques, de produits, serait également considérées comme telle... alors de quoi allons nous parler ici ?
Je sais qu'il y a quelques spécialistes, et sans chercher à jeter un pavé dans la mare, est-il possible de maintenir un tel forum en activité sans exposer ses admistrateurs aux sanctions?

J'avoue que je me pose les même question au sujet du forum du GEMME. Et cela va même plus loin, concernant par exemple la protection des données de l'association. A commencer par la liste des membres que nous conservons tous je pense sous la forme d'un fichier informatique stocké éventuellement sur un serveur. Doit-on revenir à une liste papier ?

[cdz183]

Ce qui me fait doucement rigoler avec cette réglementation, c'est que l'Etat (ou les structures à qui il a fait allégeance) fait mine de s'inquiéter alors qu'il encourage, voire impose, la multiplications des données et, partant, leur recueil et leur exploitation. Tout ce qui était manuel est informatisé, les téléphones sont géolocalisables (les bagnoles aussi, désormais), tout ce qui transite sur le net est stocké et analysé, l'argent liquide va bientôt disparaître, les constituants des voitures discutent entre eux et sont appairés, les compteurs électriques mouchardent, tout est traçable ...

C'est le pompier pyromane, mdr !

[tacot_pépère]

Concernant le Forum peu de données sont demandées lors de l'inscription qui sont
un pseudo ( chacun peut écrire ce qu'il veut ) un mail et un mot de passe.

A partir de ces 3 informations (et encore le mot de passe nous n'y avons pas accès) on peut ne pas savoir qui vous êtes et nous n'avons pas plus d'informations enregistrées.
Nous n'avons pas d'adresse ni de téléphone. Après chacun est libre de demander à être rayé mais cela sous entend de quitter le Forum. A ce jour personne ne l'a jamais fait par contre des comptes sont ouverts depuis 2009 et sans être venu depuis discuter.
C'est sure que si nous faisions ce ménage et certainement on va devoir le faire il ne reste plus que 50 personnes sur ce Forum et encore.

Il n'y a aucune information sensible de demandées comme vos choix politiques, vos maladies, vos sensibilités religieuses et j'en passe.

De plus nous ne faisons pas de business avec vous. Nous ne faisons pas de statistiques ni de traitements de données. Après c'est le logiciel "Forum" lié à l'hébergeur qui affiche le nombre de personnes en ligne et la on ne peut pas grand chose sinon fermer le forum. On peut tenter une mise à jour de ce logiciel mais les deux dernières fois cela c'est terminé par un plantage de 2 jours aussi nous allons éviter.

La où c'est à mon avis plus complexes c'est pour les dirigeants du Cercle qui eux ont des listes plus complètes et en font du business puisque vendent des abonnements, des pièces voir même des produits (wagons, locotracteurs...) maintenant. Mais bon j'espère qu'ils y ont réfléchis. J'imagine que pour le GEMME c'est le même problème. Ils doivent aussi via les sondages avoir des listes de ce que chacun aime, leurs ages....

A suivre donc mais Merci Joël d'avoir soulevé le problème il reste 5 jours

[CHREZO]

Bonjour Olivier,
Je te remercie vivement pour tes remerciements... et désolé de réagir tardivement, mais il me semble être le premier à le faire!
Loin de moi l'idée de remettre en cause l'existence de ce forum que j'utilise à la fois à titre professionnel et personnel. A contrario je trouverais dommage que des gens comme toi qui donnent du temps à la collectivité en administrant bénévolement ce site aient des comptes à rendre au juge!
Je voulais simplement attirer ton attention sur le fait que signaler la présence à l'instant T sur le forum par la mention "connecté", indiquer en dessous d'un pseudo la date d'inscription, comptabiliser le nombre de messages émis par le forumiste, indiquer son lieu d'habitation, ou encore signaler à tous son anniversaire sont des données personnelles détenues par l'administrateur du site au sens de la Directive, même si elles sont librement et optionnellement renseignées par les intéressés, enfin me semble-t-il...

Mais je suis d'accord sur un point: l'interprétation du texte par le droit français en particulier sur le caractère professionnel ou privé de ce type de blog reste... incertaine et il est sans doute prudent d'attendre! La question est sans doute plus aigüe pour des forums liés à des revues comme Loco-Revue ou SNM.
Amicalement
Joël

[suppr sur demande]

Ce qui me fait doucement rigoler avec cette réglementation, c'est que l'Etat (ou les structures à qui il a fait allégeance) fait mine de s'inquiéter alors qu'il encourage, voire impose, la multiplications des données et, partant, leur recueil et leur exploitation. Tout ce qui était manuel est informatisé, les téléphones sont géolocalisables (les bagnoles aussi, désormais), tout ce qui transite sur le net est stocké et analysé, l'argent liquide va bientôt disparaître, les constituants des voitures discutent entre eux et sont appairés, les compteurs électriques mouchardent, tout est traçable ...

C'est le pompier pyromane, mdr !

"Pas moi! Ni fesse de bouc, ni Twitter, ni Snapchat ni Tinder . .....
Je n'ai pas de téléphone portable et je paye en liauide. Hors de portée!"

.......... QU'IL DISAIT.........

bientôt il n'y aura plus de chèques non plus....

[suppr sur demande]

Ne vous prenez pas trop la tête les gars. Ici (en Hollande) on est hyper informatisés tout le monde en parle depuis des mois et jusqu'ici il n'y a qu'une seule organisation qui m'aie demandé quoi que ce soit. Alors soit je n'intéresse personne, soit personne n'y comprend quoi que ce soit, soit tout le monde s'en fout.

Oui, il y a des collectionneurs dans la nature (et pas que de modèles en laiton), mais il ne faut pas non plus penser que Big Brother est à tous les coins de rue........

ZEN......

[Rolf]

mais il ne faut pas non plus penser que Big Brother est à tous les coins de rue...

Ce n'est pas parce qu'on ne peux pas le voir qu'il n'est pas là

[tacot_pépère]

Et il y est il y a des villes intelligentes avec des caméras et des capteurs qui peuvent te dire qu'il y a des places disponible pour se garer dans telle ou telle rue
Plus maintenant les voitures PV qui enregistrent toutes les plaques d'immatriculations et qui consulent la bdd pour savoir si le paiement à été réalisé....

Pas besoin de face de bouk ou de tel portable pour être suivi

[vchiu]

Le RGPD , même s'il vise toute structure collectant des données, s'adresse en priorité aux organismes dont l'activité est lucrative.
la formulation de l'amende, calculée en pourcentage de chiffre d'affaire, exclut quasiment de facto l'immense majorité des associations loi de 1901 dont le chiffre d'affaire est souvent modeste. Un administrateur qui fait tourner bénévolement un site ou un forum et qui agit de bonne foi n'a, à priori, pas grand chose à craindre. Les éditeurs des logiciels utilisés pour animer les sites et forums ont, depuis un certain temps, mis à jour leurs produits pour qu'ils puissent assurer un bon niveau de sécurité des données et une bonne facilité d'administration de celles-ci

L'implémentation du RGPD était de toutes façon attendues par beaucoup de personnes, surtout à la lumière des différents scandales consécutifs à l'utilisation des données collectées par de grandes sociétés aussi connues que profitables. Qu'un pouvoir de sanction puisse être donné à la CNIL ou à ses homologues européens résulte donc d'une démarche d'une certaine cohérence.
la portée internationale du RGPD est également cohérente, car il était trop facile de ne faire supporter les responsabilités qu'aux entreprises européennes. Cependant, comment faire sanctionner une entreprise chinoise, russe ou indienne qui se serait rendue coupable de fraudes aux données ? C'est la limite du modèle, ce qui me fait penser que nous n'en sommes qu'à une première étape.
Dans l'attente, je pense - ce n'est qu'une spéculation de ma part - que le RGPD vise d'abord les grands groupes les plus visibles. Les contrôles vont probablement être orientés par les plaintes déposées par les utilisateurs ou les victimes. Une petite PME qui envoie un email d'information à une clientèle légitimement recrutée et qui ne cède pas ses données à un tiers a, à mon sens, peu de chances de se faire contrôler et encore moins de se faire sanctionner.