RGPD : La loi Européenne de protection des données est en vigueur

La loi Européenne de protection des données personnelles (RGPD) est entrée en vigueur aujourd’hui dans toute l’Europe.

Je trouve que c’est un règlement sain, qui redresse la barre en faveur des individus, assez désarmés par rapport aux choix de grosses entreprises comme Google, Amazon, Facebook, Apple, etc.

Pour le respect des données personnelles comme pour le paiement des impôts, la France n’a pas assez de poids pour faire plier ces multinationales. Cela ne peut se faire que grâce au poids de l’Union Européenne.

Comme le suggérais il y a quelques semaines Mounir Mahjoubi (Secrétaire d’État auprès du Premier ministre chargé du Numérique) lors de son entretien sur France Inter, je vous encourage à demander à différents sites de vous envoyer les données qu’ils ont à votre sujet, et à les éplucher attentivement.

C’est très instructif.

Demandes d’extraction de données personnelles

Ainsi je viens de faire des demandes d’extraction de données personnelles pour mes comptes AppleStore, Facebook et LinkedIn :
– Apple : https://privacy.apple.com/?language=FR-FR puis se connecter avec son identifiant.
– Facebook : une fois connecté, cliquer sur le petit triangle en haut à droite de l’écran > Paramètres > Vos informations Facebook > Télécharger vos informations.
– LinkedIn : une fois connecté, cliquer sur l’icône du menu personnel en haut à droite de l’écran > Confidentialité > Comment LinkedIn utilise vos données > Télécharger vos données.

Les interfaces sont plutôt bien faites :
– demande de téléchargement : c’est simple pour Apple, plus complexe pour Facebook, un peu plus hermétique pour LinkedIn, mais tous les éléments semblent là.
– délai de traitement : Apple m’a répondu que mon fichier sera disponible dans quelques jours, LinkedIn dans 24 heures, et Facebook n’indiquait pas le délais.
– confirmation de la demande : Apple et Facebook m’ont envoyé immédiatement un message de confirmation. Pas LinkedIn.

Résultat : Facebook

Surprise : Facebook a généré mon fichier 5 minutes plus tard ! Je reçois un message email m’indiquant que mes données sont prêtes et le lien m’ouvre une page « Télécharger vos informations » très claire dans laquelle on sélectionne toutes les données que l’on souhaite télécharger (voir ci-dessous). Le tout est expédié sous la forme d’un gros fichier zip.

Le fichier zip contient une arborescence bien rangée, accompagnée d’un fichier « index.html » à la racine, qui à l’ouverture génère un beau menu permettant de consulter les données de l’arborescence (voir ci-dessous). C’est très bien fait.

J’ai trouvé beaucoup de choses que j’imaginais être là bien évidemment, mais j’ai été très surpris de voir également :
– Toutes les recherches que j’ai effectuées sur Facebook. Je ne pensais pas qu’ils les gardaient…
– Les annonceurs qui ont importé une liste de contacts contenant mes informations. Je m’en doutais mais je ne pensais pas qu’il y en avait autant.
– Dates et heures de toutes mes connexions, avec IP, Navigateur …depuis 2010 !

Résultat : Apple

[Mise à jour du 11/06/2018] : Apple m’a envoyé une semaine plus tard un message email m’indiquant que mes données sont prêtes. Le lien m’ouvre une page « Télécharger vos données » très claire, légèrement mieux que Facebook, dans laquelle on sélectionne également les données à recevoir, sous la forme d’un fichier zip pour chaque type de donnée (voir ci-dessous).

Chaque fichier zip contient une arborescence également bien rangée. Mais contrairement à Facebook il n’y a pas de fichier « index.html » à la racine pour consulter les données : on n’a qu’un ordonnancement de dossiers hiérarchiques de fichiers .csv (voir ci-dessous). Le fichier « AppleCare.zip » a été ouvert et on y voit ses deux fichiers csv. Mais les données sont là.

Ici encore j’ai trouvé beaucoup de choses que je m’attendais à trouver :
– toutes mes factures Apple Store ;
– tous les produits Apple que j’ai référencé depuis 2003 (achat de mon regretté Macbook pro 12″ aluminium) ;
– tous les morceaux achetés avec date, heure, et seconde (!) soit près de 2000 titres (et même ceux que j’ai re-téléchargés). Ca m’a permis de calculer que j’ai acheté pour 1500 € de musique ;
– tous les morceaux de ma liste de souhaits de l’Apple Store ;
– tous mes commentaires personnels sur des applications de l’Apple Store.

Mais ce qui m’a surpris c’est d’y trouver :
– tous les « like » sur des applications ou de la musique (je pensais que c’était anonymisé).
– tous les extraits écoutés sur l’Apple Store, avec la date et l’heure !
– tous les titres des emails envoyés au service client,
– tous mes rendez-vous à l’Apple Store depuis 2014 (avec date, heure et seconde),
– mes réponses aux enquêtes de satisfaction Apple,
– tous mes podcasts, la date/heure de lecture, le nombre d’écoutes (près de 30 000…) même ceux que j’ai effacés.

Résultat : LinkedIn

J’attends toujours.

 

Conclusion

Jusqu’où est-il pertinent de stocker des informations pour aider l’internaute avant que cela ne devienne de l’indiscrétion ? La limite est subjective, et lorsqu’il s’agit de gagner de l’argent, cette limite est encore plus élastique… Je suis heureux que la RGPD existe. Comme l’indique en substance Mounir Mahjoubi, le RGPD c’est un premier pas de rééquilibrage démocratique : ce n’est plus aux internautes d’être obligés d’accepter des conditions d’utilisation imposées par les entreprises. C’est aux GAFA de s’adapter aux règles de la démocratie. Et sans Union Européenne on n’aurait pas pu imposer une telle contrainte.

Bons téléchargements et bonnes découvertes 🙂

 

(logo d’introduction : Godefroy Troude)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *