Lettre ouverte de l'association Pour un RGPD respecté (PURR) à la CNIL lui demandant d'agir pour l'intérêt général et de traiter convenablement les réclamations. À signer.
Pour info, la CNIL a contesté la partialité de la pétition lancée par Guillaume Champeau il y a quelques mois sur le même sujet, au motif que celui-ci travaille pour une société commerciale de conseil en conformité RGPD. C'est cocasse quand on connaît certains accompagnements douteux de la CNIL (voir ici et là) ainsi que ses concertations sectorielles non publiques (certes, la CNIL a dit que ça débouchera sur une décision soumise à consultation publique, mais la possibilité d'influer sera alors très faible). L'aspect positif, c'est que ça a forcé Aeris, membre fondateur de PURR, à mettre en place la première plateforme de pétition conforme au RGPD. :)
Nombre de contrôles jugé faible, délai de traitement des plaintes, "stratégie des petits pas", soutien trop timoré à l'innovation : les critiques ne manquent pas.
[…]
Une très grande partie de son activité consiste aujourd'hui à sensibiliser le public à la protection de ses données, et à élaborer un tas de documents qui précisent les obligations légales de chacun […] "La Cnil a une culture de l'accompagnement et du conseil"
Les lignes directrices, guides, et autres documentations ne sont pas vraiment contraignantes, même si elles peuvent servir à l'appui d'une sanction individuelle (cf. point 83), donc les responsables de traitement en ont très souvent rien à faire (pages 3, 13 et 14).
[…]
Le cœur de métier historique de la Cnil, le contrôle de l'Etat, a par exemple été largement affaibli au cours du temps. "Depuis 2004, la Cnil ne peut plus opposer son veto à la création d'un fichier de police", rappelle Yoann Nabat. "Ses avis ne sont pas contraignants, elle doit souvent les rendre dans des délais trop courts, elle ne peut pas contrôler les fichiers touchant de près ou de loin à la sûreté de l'Etat et n'a pas de pouvoir de sanction contre lui", égrène le chercheur.
Il n'est pas exact de dire que la CNIL n'a pas de pouvoir de sanction contre l'État : elle dispose de tous les pouvoirs de l'article 58(2) du RGPD à l'exception des sanctions pécuniaires (cf. 7 du IV de l'art. 20 de la loi 78-17).
[…]
Il pointe le faible nombre de sanctions : sur les 16 433 plaintes instruites par la Cnil en 2023, seules 340 ont donné lieu à des contrôles, et seulement 42 ont débouché sur des sanctions, selon le rapport annuel 2023 de l'autorité.
Sachant qu'en 2022, 1/3 des plaintes étaient irrecevables et n'ont donc pas été instruites (par définition).
[…]
Il existe pourtant une Cnil qui inflige beaucoup plus d'amendes : son homologue espagnole, l'AEPD. "Elle publie des décisions argumentées régulièrement, avec des amendes parfois relativement lourdes, et elle n'hésite pas à punir plusieurs fois les récidivistes", salue Guillaume Champeau. "L'Espagne a un fonctionnement beaucoup plus léger que le nôtre, sur le mode de la contravention, qui permet de prononcer beaucoup de petites amendes de façon simple", argumente Karin Kiefer. [ directrice de la protection des droits et des sanctions à la Cnil ] […] Pour accélérer les dossiers, la Cnil peut passer depuis 2022 par une procédure de sanction simplifiée, qui n'est pas non plus exempte de critiques. Les amendes ne peuvent pas dépasser 20 000 euros, et les décisions rendues dans ce cadre sont anonymisées
[…]
La Cnil délivre aussi de simples rappels à la loi, ainsi que des mises en demeure, mais elle vérifie rarement si les cibles sont rentrées dans le rang.
Ne pas confondre les rappels à la loi (4 en 2023, d'après son rapport d'activité), et les rappels aux obligations, très courants (c'est ainsi que la totalité des plaintes qui ne débouchent pas sur une sanction sont clôturées), qui sont des emails rédigés au conditionnel ("quelqu'un s'est plaint que… merci de regarder… inutile de répondre"), et qui ne semblent pas être des sanctions (d'après le rapport d'activité de la CNIL) ni des mesures correctrices (voir p. 22-23 de ce questionnaire rempli par la CNIL à l'attention du CEPD).
[…]
D'autres raisons sont plus prosaïques : "La Cnil est aussi une administration", soupire une source passée par la direction de la protection des droits et des sanctions. "Il y a beaucoup de niveaux de validation y compris quand ça n'est pas forcément nécessaire, et manager des agents de la fonction publique peut s'avérer compliqué puisque les moyens de motivation et les mesures disciplinaires sont très limités.
[…]
Une question philosophique… et politique. "Le ministère de l'Economie voit un peu la Cnil comme une empêcheuse de tourner en rond", résume le député Philippe Latombe.
Voir aussi Bercy demande à la CNIL de ne pas sur-interpréter le RGPD.
Je partage le constat présenté dans cet article. De mon expérience, la prétendue pression de Bercy et le manque de moyens sont des bonnes excuses : on est plus sur un problème de compétence professionnelle (lié à la faible attractivité des rémunérations dans la fonction publique ?), d'implication individuelle, et d'organisation collective du travail (procédures, harmonisation, orientation, outillage, etc.).
L'autre fois, je me demandais d'où vient la phrase « Je suis ni pour ni contre, bien au contraire » qui me trottait dans la tête.
Il me semblait que c'était Coluche qui citait un politicien. Bingo, c'est dans son sketch Votez nul. Il cite Jean Lecanuet, candidat à la présidentielle de 1965 (avec l'aide d'un publicitaire) qui aurait déclaré cela au sujet de la bombe nucléaire.
Retranscription :
Lecanuet, on ne sait pas trop ce qu'il fait là non plus, hein. J'ai l'impression il a du être premier dans un concours de circonstances, le gars. Remarquez, il est propre, hein, on dirait un VRP multi-cartes : « Bonjour, j'ai tout le matériel dans la R16 ». Tiens, pas plus tard que y a pas longtemps, dans le poste ils l'ont interviewé pour la bombe à étrons, là, bon, il a répondu « Je ne suis ni pour, ni contre, bien au contraire ». Va savoir ce qu'il pense ce mec-là !
Néanmoins, difficile de savoir si Lecanuet a dit ça texto ou si c'est une reformulation humoristique de Coluche, car j'ai trouvé que deux sources, 1, 2, qui en parlent de manière très concise.
Top causes of death for time travelers by geologic era
:DD
Si on ne parlait que de ce qu'on a vu, est-ce que les curés parleraient de Dieu ? Est-ce que le pape parlerait du stérilet de ma belle-sœur ? Est-ce que Giscard parlerait des pauvres ? Est-ce que les communistes parleraient de liberté ? Est-ce que je parlerais des communistes ?
Ça fait quelques temps que je pensais à cet extrait vidéo d'un épisode de l'émission TV Champs-Élysées de 1984. :D
Le Groland est ce qu'on appelle un coffre-fort urbain qui cache en son écrin un bijou de technologique sécuritaire : Groville. Groville, capitale de la tranquillité, appelée également, par la maréchaussée, « pas de problème qui y viennent ».
[ 1 policier pour 2 habitants ; vidéosurveillance partout ; habitants formés à la délation et au repérage d'individu suspect ; capteurs pour identifier l'origine, le poids et la propreté des véhicules ; capteurs sur les trottoirs pour récupérer l'identité et les intentions des passants ; 3 hélicos H24 ; escadrons de la défense de la quiétude surarmés ]
(Gendarme) ‒ Qui s'y viennent !
(Voix off) Problème, ils sont venus. Ou plutôt, il est venu, tout seul. Un petit bonhomme armé d'un simple marteau a fracassé la devanture d'une bijouterie, s'est servi, puis est reparti comme il était venu.
(Gendarme) ‒ Ben, comment qu'on pouvait savoir qu'ils s'y viendraient ?! À midi, pendant le déjeuner en plus !
La faille est toujours humaine.
Un livre électronique (ebook) au format EPUB est une archive zip contenant des fichiers HTLM, des styles CSS, des images, etc. La mise en page d'un ebook est flottante / adaptative : elle s'adapte à la taille d'affichage (donc la notion de page n'a pas de sens), les styles peuvent être surchargés par le logiciel visionneur, etc.
En réalité, n'ayant pas d'imprimante, je veux convertir mon livre au format PDF. (Avec cups-pdf
, ça revient au même).
Les lecteurs de PDF que j'utilise, calibre
et foliate
, ne proposent pas intuitivement une option pour imprimer. Avec calibre
, ctrl+p conduit à une conversion facile au format PDF (on choisit le format ‒ j'ai choisis A5 afin que le texte soit lisible, car la largeur d'un A4 rend la lecture fatiguante, et pour pouvoir imprimer deux pages du PDF sur une même page A4 ‒, j'ai réduit les marges à 0,1 pouce ‒ par défaut, elles sont démesurées ‒, j'ai ajouté le numéro de page ‒ prévoir alors une marge du bas de 0,2 pouce ‒).
En ligne de commande, calibre
procure ebook-convert
. Par défaut, le format de page n'est pas top (US letter), les marges sont démesurées, et il n'y a pas le numéro de page. Les paramètres permettant de changer cela dépendent du format de sortie et, à ce titre, ils ne sont pas exposés dans man ebook-convert
… Il faut soit lire la documentation en ligne soit utiliser ebook-convert -h <entrée>.epub <sortie>.pdf
(le coup du -h
adaptatif, on me l'avait jamais fait, je crois…).
Les paramètres équivalents à ceux manipulés dans la GUI (cf. troisième paragraphe ci-dessus) sont --pdf-page-numbers
, --paper-size
(ex. : « a5 »), et --pdf-page-margin-{top,bottom,left,right}
(attention, cette fois-ci, la valeur s'exprime en points et non en pouces…).
La GUI de calibre
propose aussi un bouton « Convertir des livres » qui permet une conversion en PDF, mais elle comporte clairement trop d'options pour mon besoin.
Un récent article de tonton Bortz m'a informé d'une évolution des paramètres imposés ou recommandés pour les enregistrements DNS de type NSEC3 (liés à DNSSEC).
En effet, le RFC 9276, notamment sa section 3.1, prévoit que le nombre d'itérations doit être égal à zéro et que plus aucun sel ne devrait être utilisé. (Les justifications sont dans le RFC et ici.)
L'outil dnsviz affiche donc des erreurs pour le premier point (« NSEC3 proving non-existence of guiguishow.info/A: An iterations count of 0 must be used in NSEC3 records to alleviate computational burdens. See RFC 9276, Sec. 3.1. ») et des avertissements pour le deuxième (« NSEC3 proving non-existence of guiguishow.info/A: The salt value for an NSEC3 record should be empty. See RFC 9276, Sec. 3.1. »).
Mettons en œuvre cette évolution avec OpenDNSSEC.
Dans /etc/opendnssec/kasp.xml
, on modifie les paramètres « Iterations » et « Salt » du bloc « Denial » de la politique appliquée à nos zones. Avant :
<Denial>
<NSEC3>
<!-- <OptOut/> -->
<Resalt>P7D</Resalt>
<Hash>
<Algorithm>1</Algorithm>
<Iterations>10</Iterations>
<Salt length="8"/>
</Hash>
</NSEC3>
</Denial>
Après :
<Denial>
<NSEC3>
<!-- <OptOut/> -->
<Resalt>P7D</Resalt>
<Hash>
<Algorithm>1</Algorithm>
<Iterations>0</Iterations>
<Salt length="0"/>
</Hash>
</NSEC3>
</Denial>
On demande à OpenDNSSEC de relire les politiques, de prendre en compte nos modifications et de les appliquer : ods-enforcer policy import
.
À ce stade, dnsviz n'affichera plus d'erreurs, mais il affichera toujours des avertissements concernant la longueur du sel. dig @viki.guiguishow.info NSEC3PARAM guiguishow.info
nous confirme que le nombre d'itérations, la 3e valeur du RDATA, a changé (pour zéro) mais qu'un sel est toujours présent (cf. dernière valeur du RDATA).
Deux solutions : soit attendre qu'OpenDNSSEC change le sel (ods-enforcer queue
permet de connaître la prochaine action planifiée de type « resalt »), soit lui demander de le changer de suite : ods-enforcer policy resalt guiguishow.info
.
Et voilà.
Dès ce soir, une nouvelle saison du jeu télévisé La Carte aux trésors est diffusée les vendredis soirs. \o/
Pour regarder en direct : yt-dlp -o - 'https://www.france.tv/france-3/direct.html' | vlc -
.
D'après Jacques Rigaudiat (conseiller maître honoraire à la Cour des comptes) venu vendre son bouquin :