GuiGui's Show

Krevolt: Je peux comprendre que l'Administration, quand on a pas trop l'habitude, évoque plutôt une sorte d'immense monstre d'acier glacial, avec des rangés de dents en formes de classeurs aux coins acérés, prêt à dévorer tout sur son passage ; ou à la maison qui rend fou d'Asterix et Obelix.
Krevolt: Alors qu'en fait c'est plus souvent un petit vieux un peu perdu derrière un guichet, qui veut bien faire, mais à qui ses chefs lui ont répétés aujourd'hui que le jaune c'est du violet, alors qu'il y a pas deux semaines ses mêmes chefs lui avaient martelés que le jaune, c'était en fait du vert.

Je valide. Mais c'est aussi le cas dans n'importe quelle société commerciale ou entité au-delà d'un effectif…

Une décision d'adéquation est un acte de l'exécutif européen, la Commission européenne (CE), qui reconnaît que le droit d'un pays tiers (hors UE) offre un niveau de protection des données personnelles compatible avec celui de l'UE, ce qui permet d'y transférer des données persos sans frein (article 45 du RGPD).

En 2015, la Cour de Justice de l'UE (CJUE) a invalidé le Safe Harbor, nom donné à la décision d'adéquation des États-Unis prise par la CE à la fin des années 90. Arrêt dit « Schrems I ».
Les États-Unis et la CE négocient rapidement sa successeure, la décision d'adéquation nommée Privacy Shield. La CJUE l'invalide en 2020 (arrêt dit « Schrems II »).
Depuis, une nouvelle décision d'adéquation est en négociation.

Biden a pris un décret présidentiel afin de rendre les pratiques de ses services de renseignement conformes aux attendus de la CJUE, permettant à la CE de prendre une nouvelle décision d'adéquation.

D'après une première analyse de NOYB, si ce décret présidentiel reprend le vocabulaire clé de l'UE, il en change le sens. « Proportionnalité » s'entend toujours comme « aussi adapté que possible ». « Recours juridictionnel effectif » s'entend toujours comme un recours devant une Cour qui dépend de l'exécutif et qui adresse des réponses automatiques sans débat (en première instance). Donc, a priori, les critères posés par la CJUE ne sont toujours pas satisfaits.

Depuis ce décret présidentiel, la CE peut prendre une nouvelle décision d'adéquation. Elle est attendue pour le printemps 2023.

Deux notes :

• La section 702 de la loi FISA prend fin en 2023. Pour continuer, il faudra le renouvellement du Congrès. NOYB voit là une occasion, pour les États-Unis, d'ajouter des gardes-fous, des garanties, etc.
  
  

• However, the US takes the view that foreigners don't have privacy rights. I doubt that the US has a future as the cloud provider of the world, if non-US persons have no rights under their laws.

L’approche est toujours la même. Commencer par faire un inventaire des données que nous traitons. Ensuite, chercher le montage juridique qui permet de ne rien changer aux process habituels. Puis mettre en œuvre ce montage. C’est ce qui produit des textes longs, arides, qu’on demande à l’utilisateur final de valider d’un clic, le plus souvent sans le lire. Et hop, magie du droit : on a obtenu le consentement de l’utilisateur, on peut continuer comme avant. […] Elle positionne la privacy comme un poste de coût, comme un risque, comme une chose qui n’est pas souhaitable.
[…]
Le message affiché dit une chose (en général “we value your privacy”), alors que la réalité porte un message contraire (tu signes le contrat, 73 pages, maintenant, sans le lire). L’utilisateur sait bien, quand il signe ça, que tout le monde ment dans cette histoire. Non, il ne l’a pas lu. Et non, personne ne “value” sa privacy. On positionne l’utilisateur comme ennemi, d’une certaine manière. Quelqu’un a qui on fait signer un document, plus ou moins sous la contrainte, par lequel il s’engage à ne pas nous faire un procès, c’est un ennemi.
[…]
Voilà bien un point clef de compréhension. Si on en vient à devoir demander son consentement explicite à l’utilisateur, c’est qu’on est en train de porter atteinte à sa vie privée d’une manière qui ne lui rend pas service. Le consentement n’est pas la première condition de tout traitement de données personnelles. C’est au contraire la dernière, si vraiment il n’y a aucun motif légitime, avant de faire un truc potentiellement un peu crado, il faut demander la permission.
[…]
Le plus souvent, une fois que ce point est posé, il reste l’objection clef : tout le business du digital, c’est de saccager la vie privée des gens, pour pouvoir les modéliser et les profiler, pour vendre de la publicité ciblée le plus cher possibles, et faire de la prédiction de comportements. Bref, si on veut exister en ligne, il faut se calquer sur le modèle américain.
[…]
Tentons une autre approche. Considérons que le RGPD est un texte qui protège les Européens, qui impose nos valeurs (comme le respect de la vie privée) dans un monde qui les ignore. Le texte nous dit que les entreprises qui ne respectent pas ces valeurs ne sont pas les bienvenues sur le marché unique européen. Sous cet angle, le RGPD offre un effet protectionniste évident : les entreprises européennes, qui respectent la vie privée comme une chose précieuse et désirable, gagnent un avantage concurrentiel évident. L’écosystème du numérique européen peut se mettre à exister, et obtenir un accès protégé au marché le plus profitable du monde.
[…]
Voilà bien un équilibre de Nash. Toutes les entreprises européennes ont intérêt à utiliser à leur avantage l’effet protectionniste du RGPD, mais chacune a l’idée que si elle s’y colle en premier, elle va se faire tailler en pièces par celles qui ne respectent pas la norme. Normalement, pour sortir de ce type d’équilibre néfaste, il faut une action de régulation du marché.

Oui. C'est à ce titre que la décision de l'autorité allemande de la concurrence de considérer que des infractions au RGPD constituent une atteinte à la concurrence est une bonne idée, faute de mieux.

#Bayart

Pas conforme (sécurité des données, articles 5.1f et 32 du RGPD, voire détournement de finalité articles 5.1b et 6), d'après les Autorités de Protection des Données personnelles grecque, espagnole, belge, et anglaise, que ce soit un conseil municipal, une école, un cabinet d'avocats, ou une œuvre de charité. Même pour quelques clients d'un même cabinet d'avocats.

Via https://twitter.com/aeris22/status/1466123307762208785.

Pour rappel, une donnée personnelle n'est pas forcément nominative, c'est plus vaste. Une donnée, ou un ensemble de données, publiée ou non, qui peut être liée, par quiconque et par tous moyens, maintenant ou dans le futur, à une personne ou un groupe restreint de personnes est une donnée à caractère personnel (DCP). Une somme de données persos, ça peut définir un profil fantôme : on ne sait pas encore, mais on va savoir (exemple de la collecte des pages web lues, car elles intègrent toutes une police de caractère distante).

Un numéro de compte client est une donnée identifiée auprès d'un responsable de traitement (RT), car il l'a collecté ou associé à une identité. Une plaque d'immatriculation ou un numéro de sécu est une donnée identifiante : quelqu'un d'autre que le RT peut faire le lien (si je publie la photo d'une plaque d'immatriculation, je suis un RT en incapacité de nommer le titulaire de la carte grise, mais un tiers le peut). Les exemples de l'article pointé sont des données possiblement identifiantes : à première vue, un RT qui les collecterait peut ne pas avoir conscience qu'elles sont identifiantes. Le RGPD protège ces trois types de données (d'où l'exigence d'analyses d'impact sur les données détenues, par ex.).

Cet article donne quelques exemples. Mes préférés sont les traces GPS de footing (numéro 3), la balance connectée (numéro 6), la vente de médicaments (numéro 8) et le triplet genre / date de naissance / code postal (87 % de ré-identification).

(Le terme consacré est « donnée à caractère personnel », pas « donnée personnelle », mais ça va plus vite. :- )

Via https://twitter.com/aeris22.

Changer la police par défaut de LibreOffice Writer : Outils, Options -> LibreOffice Writer -> Polices standard (occidentales).

Quand le correcteur orthographique de LibreOffice Writer ne souligne plus les fautes (alors qu'il est activé dans les options), il faut supprimer le profil utilisateur car il doit être corrompu. Il se trouve dans ~/.config/libreoffice.

Un truc qui me fascine : le recours massif à un CDN… Sans trop savoir pourquoi ni vérifier son paramétrage ni évaluer le gain économique réel ? J'ai l'impression qu'il s'agit d'une frénésie, de mode, de suivisme, pas de décisions rationnelles. Je vais tenter de développer ce ressenti.

Même les dino s'y sont mis. Gandi (l'espace client). Un hébergeur qui ne sait pas héberger ses propres JavaScript et CSS ? Le noyau Linux (docs.kernel.org, bugzilla.kernel.org). L'IETF (site web vitrine et certains outils comme le suivi des documents ‒ datatracker ‒). La discussion des normes techniques d'Internet chez Cloudflare… Le RIPE (site web vitrine). Ces personnes sont capables de monter des architectures techniques aussi chiadées qu'Atlas, que RIPEstat / RIS, ou que des référentiels pour gérer les ressources Internet rares (adresses IP, numéros d'AS, racine RPKI), mais plus d'héberger un simple site web ? Qui va croire que ces sites web reçoivent une plus forte affluence qu'avant alors qu'ils sont très techniques et mêmes inconnus de nombre d'informaticiens ?

J'ai déjà râlé sur Debian et OpenStreetMap.

Il y a ceux qui recours à un CDN alors que leurs concurrents encaissent quasi deux fois plus de visiteurs qu'eux sans CDN. Exemple : Les Jours (12 000 abonnés en 2021) a recours à un CDN alors qu'Arrêt sur images (22 000 en 2021) n'en utilise pas. On peut mettre ça sur le compte aussi bien d'un site web mal conçu (gourmand en ressources) que d'une fréquentation tout au long d'une journée différente que d'un arbitrage délibéré ("on préfère dépenser la thune sur autre chose ‒ salaires, investissements, etc. ‒, ce CDN réduit notre facture d'hébergement conventionnel").

Il y a ceux qui ont la puissance de calcul pour génerer les pages web dynamiques de leur site web, mais pas pour diffuser quelques images, documents PDF, etc. alors que les ressources statiques se mettent très facilement en cache, aussi bien côté serveur (Varnish, HAProxy, etc.) que client (entêtes HTTP Cache-Control et Expires, désactiver ETAG, etc.). Exemple : Next Inpact.

Il y a les incohérents qui ne recourent pas à un CDN sur toutes leurs pages alors qu'on peut pourtant prédire qu’elles reçoivent la même quantité de trafic et que leur tenue de la charge est tout aussi nécessaire pour le fonctionnement global du service. Exemple : le fisc français. Le portail d’authentification de l'espace web pour les particuliers et le tableau de bord après authentification, sans lesquels l’accès au service (et donc les démarches administratives) est impossible, ne sont pas derrière un CDN…

Dans leurs réponses, les CDN incluent des entêtes HTTP additionnels (curl -D - -so <URL> ;) ). On peut y lire le nom du serveur qui a traité la requête web, qui, très souvent, indique sa localisation géographique. On peut aussi y lire si le CDN a servi une copie du contenu qu'il détenait ou s'il le récupére, en temps réel, à chaque demande, auprès de l'hébergeur final, auquel cas il a servit à rien (le serveur final a mouliné) et il a même fait perdre du temps (trajet client -> CDN -> hébergeur final + retour au lieu de client -> hébergeur + retour).

C'est ainsi que l'on constate que toutes les requêtes pour les pages web (le texte) de Mediapart, de L'informé ou de sites web officiels français gérés par la DILA (Légifrance, Journal-Officiel, Service Public, Vie-Publique, etc.) parviennent à leur hébergeur final (cf. entête HTTP « x-cache: MISS »). Cloudflare permet de configurer la mise en cache des pages dynamiques, mais Numerama ou Les Jours n'ont pas effectué cette configuration, donc toutes les requêtes pour leurs pages web doivent être traitées par leur hébergeur (cf. entête HTTP « cf-cache-status: DYNAMIC »). Intérêt du CDN ? À leur décharge, la mise en cache de pages dynamiques contenant des données personnelles (Mediapart : identifiant dans le menu horizontal supérieur) n'est pas triviale (ben oui, il ne faut pas servir une page contenant les données persos d'une autre personne… Et mettre en cache X versions d'une page pour X abonnés, ça revient au même que de se passer de cache).

Il y a les champions qui cumulent un hébergeur Google Cloud et un CDN Fastly. Comme si Google ne disposait pas de ressources suffisantes ni d'une excellente connectivité de son réseau à travers le monde ni d'une capacité à encaisser les attaques par déni de service… Exemple : L'informé. Faisons l'hypothèse que Fastly coûte moins cher que de la ressource supplémentaire Google Cloud et que l'utilisation de Fastly permet la montée en charge d'un nouveau journal, mais je prends les paris que le CDN demeurera après la montée en charge (qui est un prétexte parmi d'autres) parce que ça marche, parce qu'on a oublié, parce qu'on s'en fiche le public nous aime comme ça, parce qu'on a toujours fait comme ça, blablabla.

Alors, oui, un CDN ne sert pas qu'à mettre en cache. Il peut aussi filtrer des attaques informatiques (par déni de service, applicatives, etc.) plus efficacement que d'autres prestataires (typiquement les gros hébergeurs) car il a accès à la requête web, donc à plus d'infos pour arbitrer, et peut-être pour moins cher qu'une prestation spécialisée vu les parts de marché des CDN. On ne peut donc pas totalement préjuger de la volonté de ceux qui y ont recours. Même si on me fera difficilement croire que le petit journal ou l'IETF ou le RIPE croulent sous des attaques permanentes.

Ces choix concentrent le trafic web dans les mains de quelques acteurs (dépendance, fiabilité, concurrence ?) et appauvrissent les compétences (qui sait construire, configurer finement, et maintenir une plate-forme d'hébergement web digne de ce nom ? Qui sait construire et maintenir un CDN maison ? Qui peut concurrencer, techniquement, les gros CDN ricains ?). Évidemment, ces quelques acteurs consignent qui (adresse IP) a consulté telle page web précise (c'est l'URL demandée ou des entêtes HTTP supplémentaires) à telle date.

Le 1a de l'article 49 du RGPD permet d'autoriser des transferts de données personnelles vers un pays tiers non adéquat (n'offrant pas les mêmes garanties de respect de la vie privée) sur la base du consentement (spécifique au transfert, pas le consentement de l'article 6 du RGPD, et après information sur les risques encourus).

Mais uniquement pour des transferts occasionnels.

Via https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics (question « Est-il possible de continuer à transférer des données avec le consentement explicite des personnes ? »).

En juillet 2022, l'Autorité de Protection des Données personnelles (APD) danoise ordonnait à deux communes (en charge de l'éducation) de cesser leur utilisation des Chromebooks et de G Suite for Education / Google Workplace for Education.

Injonction levée en septembre 2022 alors que les problèmes ne sont pas corrigés, mais comme les communes reconnaissent leurs torts et ont identifié les problèmes, tout va bien. Dommage, car ça donne le sentiment que les infractions au RGPD ne sont pas si grave que ça, après tout.

Notes :

• Au final, ce qui est le plus reproché par l'APD, c'est de ne pas avoir suffisamment identifié et atténué les risques (passage en prod' trop rapide, avec désinvolture, quoi), de ne pas avoir documenté sa (non-)conformité. Les mésusages potentiels des données personnelles par Google (marketing, surveillance des États-Unis, etc.) sont secondaires dans sa décision ;
  
  
• Les données personnelles sont stockées dans l'UE mais sont accessibles à Google lors d'une prise en main à distance dans le cadre d'une demande d'assistance, d'après les communes… Tout le temps (FISA) d'après l'APD. Rien de neuf, mais rappel salutaire ;
  
  
• Là encore, les responsables du traitement (les communes) récitent les belles promesses de Google : d'après les statistiques publiées par Google (quid de ce qu'elle ne comptabilise pas ?), cette dernière reçoit très peu de demandes des autorités ricaines portant sur des Européens, Google préviendra de toute demande des autorités ricaines (et les gag orders, c'est-à-dire les interdictions de divulguer avoir reçu une demande, alors ?), Google restreindra chaque demande excessive (bien sûûûûr, elle a que ça à faire), c'est un citoyen des États-Unis qui assistera les Européens et lui n'est pas soumis à FISA (ses données à lui ne sont pas soumises à FISA, rien change pour les données des clients, et il peut "choisir", sous contrainte, de divulguer leurs données, cf. le mémorandum d'un cabinet d'avocats ricain commandité par le ministère de la justice des Pays-Bas, et l'APD rétorque que, de toute façon, FISA s'applique en dehors des créneaux d'assistance, cf. point 2 ci-dessus), etc.

Bref, ça gamberge bien pour sauver la mise aux GAFAM.

Via https://twitter.com/bayartb/status/1568286800296173568.