Aller au contenu
United States of Security

De l’intérêt de la Privacy pour Madame Bismuth

·2525 mots·12 mins·
Sécurité IT CNIL Données personnelles Privacy RGPD Vie privée
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

On a parlé du cadre législatif et réglementaire, on a abordé les impacts pour les entreprises et on a survolé les conséquences du RGPD pour un citoyen européen.
Mais dans la vraie vie, qu’est-ce que cela change, et pourquoi est-ce important ? Surtout que vous, vous n’avez rien à cacher !

La pizza de madame Bismuth

Je ne résiste pas à vous proposer une petite blague qui illustre l’importance de la protection de la vie privée.

Elle raconte la mésaventure de Mme Bismuth qui veut commander une pizza par téléphone. N’oubliez pas que Madame Bismuth, contrairement à son mari, n’a pas affaire à la Justice et n’a donc rien à cacher.

– Bonjour ! Gordon’s Pizza ?

– Non madame, nous sommes devenus Facebouque’s Pizza, nous avons été rachetés.

– OK. Je veux commander une pizza en livraison.

– D’accord. La même chose que d’habitude ?

– La même… vous me connaissez ?

– D’après votre numéro de téléphone, les 12 dernières fois vous avez commandé une pizza avec fromage, saucisse sur pâte épaisse.

– Heu oui, c’est ça.

– Est-ce que je peux vous suggérer d’essayer ricotta, roquette et tomates séchées ?

– Hein ? Je déteste les légumes !

– Oui, mais votre cholestérol n’est pas bon.

– Comment le savez-vous ?

– Vos résultats d’analyses de sang des 7 dernières années sont accessibles sur internet.

– OK, mais je ne veux pas de cette pizza, je prends déjà des médicaments.

– Vous n’avez pas pris vos médicaments régulièrement. Notre réseau de pharmacies partenaires n’ont enregistré qu’une seule boite à votre nom ces derniers mois.

– Je les achète en dehors de votre réseau.

– Cela n’apparaît pas sur vos relevés de carte bancaire.

– Je paie en espèces.

– Vous n’avez pas fait de retraits équivalents d’après vos relevés de compte.

– J’ai une autre source de revenus.

– Votre déclaration d’impôt sur le revenu n’en fait pas mention.

– Assez ! Je quitte internet, les réseaux sociaux, tout ça, et je m’installe sur une île déserte, sans rien.

– Je comprends madame, dans ce cas pensez à faire renouveler votre passeport qui a expiré la semaine dernière.

C’est bien entendu une fiction, mais voyons comment Mme Bismuth en est arrivée là et ce qu’elle pourrait faire.

Commençons par le commencement.

Cet article est partiellement obsolète du fait des évolutions législatives et réglementaires.

Qu’est-ce qu’une Donnée à Caractère Personnel ?

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

— Article 2, loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Il s’agit donc d’une donnée qui me concerne, et qu’un tiers peut rapprocher de « moi ». Généralement, cette deuxième condition est réalisée : il est très rare de collecter des DCP sans chercher à faire le rapprochement avec une identité. Deux contre-exemples : les statistiques de l’INSEE sur la population française, et le dictionnaire des prénoms.

Ainsi, dès que l’on vous demande vos noms et prénoms, adresses email ou postale, numéro de téléphone, on vous demande une Donnée à Caractère Personnel. C’est aussi le cas lorsqu’on vous demande votre numéro de Sécurité Sociale, votre numéro fiscal, ou tout autre identifiant1.

Maintenant, petit quiz. Quelles sont les Données à Caractère Personnel de Madame Bismuth citées dans l’histoire ?

Oon retrouve son numéro de téléphone, ses données de santé (résultats d’analyses et prescriptions médicales), ses données bancaires (relevés de compte et historique carte bleue), son passeport, et on pourrait même y intégrer les habitudes alimentaires !

« D’accord, mais moi je m’en fiche, je n’ai rien à cacher. »

Que peut-on faire avec une DCP ?

Une action sur une DCP est appelé un traitement. À peu près tout ce que vous pouvez imaginer faire avec un prénom rentre dans cette définition.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

— Article 2, loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

On notera que la simple collecte est un traitement : elle est donc soumise au régime d’autorisation/d’exception prévu par la suite du texte, et vous disposez d’un certain nombre de droits dès cette étape.

Avec l’entrée en vigueur du RGPD le 25 mai 2018, les traitements doivent reposer sur une base légale, qui est forcément l’une de celles-ci (article 6 du RGPD):

  • la personne concernée a consenti au traitement de ses DCP pour une ou plusieurs finalités spécifiques
  • le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie […]
  • le traitement est nécessaire au respect d’une obligation légale […]
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée […]
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public […]
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement […], à moins que ne prévalent les intérêts ou les [libertés fondamentales] de la personne concernée […]

La mésaventure de Madame Bismuth met en œuvre beaucoup de traitements. J’en tente une liste, saurez-vous retrouver, si elle existe, la base légale rendant chacun d’entre eux licite ? Supposons pour simplifier que si une partie du traitement est illégale, alors le traitement entier l’est aussi.

  1. La pizzéria : gestion de la base clients
  2. La pizzéria : opérations marketing et commerciales (suggestions d’autres pizzas sur la base du profil client)
  3. La pizzéria : gestion de la relation contractuelle avec les clients (prise de commande, livraison, facturation et recouvrement)
  4. Le laboratoire : gestion de la base clients
  5. Le laboratoire : gestion de la relation contractuelle avec les clients (réalisation de l’ordonnance, analyse, communication des résultats, facturation et recouvrement)
  6. La pharmacie : gestion de la base clients
  7. La pharmacie : gestion de la relation contractuelle (analyse de l’ordonnance, délivrance des médicaments, facturation et recouvrement)
  8. La pharmacie : opérations marketing et commerciales (établissement d’un profil client, partage avec les partenaires)
  9. La banque : gestion de la base clients
  10. La banque : gestion de la relation contractuelle (tenue du compte au sens large, facturation et recouvrement)
  11. La banque : opérations marketing et commerciales (établissement d’un profil client, partage avec les partenaires)
  12. Ministère en charge des Finances Publiques : traitement de l’impôt (calcul, collecte et recouvrement)
  13. Ministère en charge de l’Intérieur : gestion de la base des passeports (traitement des demandes, réalisations, vérifications)

C’est tout bon ? Les réponses en fin d’article2 😉

« Ils font bien ce qu’ils veulent, moi je ne fais rien d’illégal, je n’ai rien à cacher.»

Nos droits

Sans être exhaustif, la loi nous accorde cinq droits principaux :

  1. Droit à l’information
  2. Droit d’accès
  3. Droit de rectification
  4. Droit d’opposition
  5. Droit de suppression

Nous allons voir que, ô surprise, ils ne sont pas tous respectés.

Sortons tout de suite du périmètre deux cas particuliers : les traitements mis en œuvre par l’État d’une part, et ceux mis en œuvre par un particulier (ils font l’objet d’une exception générale) d’autre part.

Droit à l’information

Nous ne sommes jamais tenus de révéler des informations personnelles nous concernant à un tiers, à l’aveugle. Lors de la collecte, le responsable du traitement doit nous informer de son identité, de ce qu’il compte faire de nos données, et doit nous rappeler nos autres droits (la fameuse formule « Vous disposez d’un droit d’accès, de rectification et de suppression des données vous concernant etc. »).

Si l’on pousse un peu plus loin (article 32), les données obligatoires doivent être distinguées des facultatives et les conséquences de ne pas répondre sont indiquées.

En continuant la lecture jusqu’à l’article 39, on découvre que tout un chacun peut demander au responsable d’un traitement des informations supplémentaires :

  • qui a accès à nos données ?
  • d’où proviennent-elles ?
  • sont-elles transportées dans un pays non membre de la Communauté européenne, et qui du coup ne protège pas forcément notre vie privée ?

Madame Bismuth aurait du être informée que la pizzéria, comme la banque, comme la pharmacie, établiraient un profil et le partageraient entre eux pour lui proposer des services personnalisés.

Droit d’accès

Les Données à Caractère Personnel, comme leur nom l’indique, sont personnelles. La loi nous accorde le droit d’y avoir accès, sans condition.

Après avoir prouvé mon identité, le responsable du traitement est tenu de me montrer les DCP qu’il possède sur moi. Je peux également demander à en obtenir une copie (des frais peuvent alors exister).

Rappelons qu’un employeur vis-à-vis de ses salariés est le responsable des traitements de gestion du personnel : embauche, paie, évolution de carrière, formation, etc.

Sans être le plus compliqué, ce droit est difficile à faire appliquer. Certains estiment que ce qu’ils font de vos données est confidentiel et refuseront de le révéler. Typiquement, les évaluations professionnelles qui servent de base à l’évolution de carrière ! Elles sont de droit accessibles au salarié concerné, pour autant, votre employeur vous laissera-t-il y accéder ?

Droit de rectification

Rien de bien compliqué ici : vous pouvez faire mettre à jour toute Donnée à Caractère Personnel vous concernant si elle est erronée ou obsolète.

Vous ne rencontrerez généralement aucune difficulté à exercer ce droit : il est dans l’intérêt de tout le monde d’avoir des données à jour.

Droit d’opposition

Imaginons une situation banale. Je viens de changer d’employeur. Les RH me remettent donc les formulaires à remplir pour mon inscription à Super Mutuelle, la mutuelle de l’entreprise. Il s’agit d’une collecte de DCP (nom, prénom, adresse, téléphone, numéro de Sécurité Sociale, etc.), avec la finalité de me rembourser les prestations de santé. Mais il y a aussi une petite ligne, qui m’explique, en gros, que mes données serviront aussi à des fins de prospection commerciale, pour Super Mutuelle comme pour ses partenaires.

C’est là que le droit d’opposition entre en jeu : je donne mes données à Super Mutuelle, mais je leur demande expressément de ne pas s’en servir pour m’envoyer de la publicité. Ils sont tenus de respecter mon opposition.

Ce droit est difficile à faire admettre aux services marketing, que cela frustre terriblement de ne pas pouvoir me contacter pour me vendre d’autres services. Mais dura lex, sed lex.

Droit de suppression

Dernier cas de figure : la suppression. Continuons avec ma mutuelle, et imaginons que je n’avais pas fait opposition à l’usage commercial auprès de ma précédente mutuelle Mutuelle Otop. Celle-ci peut donc continuer à m’envoyer de la publicité3.

Je pourrais faire opposition, mais d’un autre côté je n’ai plus besoin du tout des services de Mutuelle Otop. Je leur demande donc de supprimer toutes les données personnelles me concernant qu’ils possèdent.

Il existe des limites à ce droit, qui parfois vient se heurter à des obligations légales du responsable de traitement. Notamment, ce dernier peut être contraint de conserver des archives pendant plus ou moins longtemps.

Bon d’accord, mais pourquoi c’est important ?

« Parce que n’oublions pas, tout ça c’est bon pour les terroristes qui veulent passer inaperçus, moi je n’ai rien à cacher ! »

Le principal constat de notre histoire est la concentration des activités dans une seule entreprise. Dans cette histoire, Facebouque qui est à la base un réseau social est manifestement aussi associé de près avec une (chaîne de) pizzéria, un réseau de pharmaciens et des banques. Dans l’absolu ce n’est pas grave, sauf qu’il leur est possible désormais de croiser les données et d’en arriver à cette situation.

C’est pour cela que la législation européenne interdit ce type de croisements sans le consentement expresse de l’utilisateur (dernier exemple en date : mise en demeure de Whatsapp et Facebook par la CNIL).

Le pharmacien qui lui a vendu sa boite de médicament aurait du l’informer que son identité ainsi que sa liste d’achat allait être réutilisées par la pizzeria pour lui proposer de nouveaux produits [droit à l’information]. Elle aurait pu refuser [droit d’opposition].

Il en est de même pour la banque : à l’ouverture du compte et en tout cas avant la transmission des informations bancaires à Facebouque, la banque doit expliquer ce qu’elle compte faire et tenir compte d’un refus.

Les résultats d’analyses de sang librement accessibles posent un autre problème. Les résultats des dernières années étant disponibles, on peut raisonnablement imaginer que le laboratoire d’analyses médicales gère mal la confidentialité de ses fichiers et n’a averti personne. Puisqu’il traite des DCP, il est soumis à une obligation de sécurité et donc de confidentialité. Par ailleurs, en cas de fuite, le laboratoire aurait du prévenir « sans délai » la CNIL et Mme Bismuth.

Il se peut aussi que ce soit Mme Bismuth elle-même qui publie ses résultats, pourquoi pas sur un réseau social. Après tout, elle n’a rien à cacher, et prend donc le risque que ce soit réutilisé contre elle.

La déclaration de l’impôt sur le revenu est également sensée être confidentielle, et les services de Bercy n’ont, en théorie, aucun partenariat commercial. Il est probable qu’il s’agisse d’une fuite suite à une attaque. Bercy a déjà perdu des documents importants à l’occasion d’un précédent G20. Il en va de même pour les passeports, la base de la Place Beauvau n’a pas vocation à circuler. Par contre, on peut imaginer que Mme Bismuth ait pris un vol international par Air Plane l’année dernière. C’est peut-être de là que vient l’information…

Non, plutôt que de partir sur une île déserte, Mme Bismuth peut (tenter d’)exercer ses droits auprès de Facebouque :

  1. commencer par le droit d’accès : quelles sont les autres informations dont Facebouque dispose
  2. demander la suppression de tout ce qu’elle estime superflue ou obsolète
  3. faire opposition à la réutilisation par Facebouque’s Pizza de ses données bancaires et de santé.

Si nécessaire, elle peut se faire appuyer dans sa démarche par le régulateur, pour la France c’est la CNIL : https://www.cnil.fr/fr/agir

Mais moi je n’ai rien à cacher !

Toujours pas convaincu(e) par la protection de votre vie privée ?

Laissez-nous un commentaire ci-dessous, nos équipes prendront contact avec vous pour poser une caméra vidéo dans votre chambre à coucher. Après tout, vous n’avez rien à cacher !

  1. un identifiant identifie ! ↩︎

  2. 1-consentement ; 2-illégal, l’intérêt légitime de la pizzéria se heurtant à la protection des droits de Madame Michu ; 3-exécution d’un contrat ; 4-consentement ; 5-exécution d’un contrat, il y a probablement eu une fuite mais elle n’entache pas la licéité du traitement lui-même ; 6-obligation légale ; 7-exécution d’un contrat ; 8-illégal, l’intérêt légitime de la pharmacie se heurtant à la protection des droits de Madame Michu ; 9-consentement ; 10-exécution d’un contrat ; 11-illégal, l’intérêt légitime de la banque se heurtant à la protection des droits de Madame Michu ; 12-exécution d’une mission d’intérêt public ; 13- exécution d’une mission d’intérêt public ↩︎

  3. sous certaines réserves, que je ne détaillerai pas ici ↩︎

Articles connexes

Décision d’adéquation pour les USA
·1908 mots·9 mins
Sécurité IT CJUE CNIL Commission européenne Données personnelles GAFAM Privacy Shield RGPD Schrems Trans-Atlantic Data Privacy Framework
On l’attendait depuis l’arrêt Schrems II, la Commission européenne a rendu une décision d’adéquation des USA au regard du RGPD. Véritable avancée ou nuage de fumée ?
Protection de la vie privée vs police
·2569 mots·13 mins
Sécurité IT CNIL police Vie privée enquête
La protection de la vie privée des citoyens est-elle compatible avec les enquêtes de police ? Comment sont-elles encadrées ? Comment nos droits sont-ils protégés ?
Le Privacy Shield prend l’eau
·1298 mots·7 mins
Sécurité IT CJUE Justice Privacy Shield RGPD USA Vie privée

Dernière étape en date du conflit juridique entre les États-Unis d’Amérique et l’Union Européenne, entre les lois de surveillance américaines et les lois protégeant la vie privée européennes, la CJUE a rendu un arrêt très attendu.