GuiGui's Show

+ https://web.archive.org/web/20231006084131/https://nitter.privacydev.net/AlexArchambault/status/1369583075211022336
+ https://web.archive.org/web/20231006084051/https://nitter.privacydev.net/AlexArchambault/status/1622570901366616064

Droit des contrats B2B, responsabilité d'un prestataire, dans le cadre de l'incendie d'un centre de données OVH en 2021.

Distinction obligation de moyens / obligation de résultat :

D’un point de vue juridique, un contrat engage les parties, donc les obligations souscrites doivent être honorées. Point.
Après, le diable étant dans les détails, tout est dans l’interprétation du périmètre des obligations et, surtout, de comment on les évalue / conteste
Et c’est là qu’intervient la distinction obligation de résultat / obligation de moyens (qu’on assimile un peu hâtivement au best effort de la common law). En obligation de résultat, en cas de pépin, le débiteur d’une obligation est présumé avoir manqué à ses obligations
Dit autrement, en obligation de résultat, la charge de la preuve de l’absence de manquement incombe au presta. Il peut s’en défaire en établissant le manquement de son cocontractant, le fait d’un tiers, la force majeure (sans que cela ne soit open bar, les juridictions veillent)
A l’inverse, en obligation de moyen, en cas de pépin, le débiteur d’une obligation est présumé avoir respecté le contrat. Il appartient donc au client d’établir le manquement du prestataire à ses obligations contractuelles (et non à ses propres croyances)
[…]
Donc en B2B, la quasi-totalité des contrats liants clients de prestations d’hébergement & cloud et hébergeurs sont en… obligation de moyens.

Limitation de responsabilité en B2B :

Ensuite, en B2B, le contrat peut tout à fait prévoir (une nouvelle fois, le droit, ce n’est pas la morale) un plafonnement de la responsabilité du débiteur d’une obligation en cas de manquement de ce dernier. Dit autrement, ok, on a planté, voici 6 mois d’abonnement en avoir. (6 mois, parce que c’est l’usage sur la plupart des contrats B2B bas de marché. Une nouvelle fois, rien n’interdit aux parties de négocier des seuils différents - par ex. X% du préjudice plafonné à Y Brouzoufs - ou + élevés, ce qui peut influer sur le prix).
Enfin, en cas de pépin, en B2B le contrat peut également prévoir de limiter le périmètre de prise en compte du préjudice, par exemple en se cantonnant qu’aux seuls dommages directs, excluant donc les dommages indirects et pertes de données
Sachant que lorsque ça part dans le décor, il n’est pas rare de voir le juge prendre en compte la faute de la victime, à plus forte raison lorsque cette dernières est professionnelle (genre SSII, webagency, etc…). Par exemple ne pas avoir redondé les sauvegardes Arrêt de la Cour d’Appel de Paris, en date du 25 janvier 2019 - 16/07746 sur la responsabilité d’un hébergeur en cas d’#AlertePelleteuse se traduisant par une perte de données d’un client n’ayant pas procédé à des sauvegardes. Pas de faute lourde.
[…]
Par contre, ami hébergeur, à partir du moment où tu proposes une prestation de sauvegarde, *attention* à ce que tu écris. Si tu la vends comme l'option "tous risques", tu ne peux coller des clauses la vidant de toute portée. […] Dit autrement, si la tentation peut être grande (on ne sait jamais, sur un malentendu, cela peut marcher) de prévoir tout plein de cas où padbol spanou, c'est courir le risque de voir le juge écarter des clauses revenant à vider de sa substance l'obligation souscrite

Dans les deux jugements en première instance de février et mars 2023 (frappés d'appel), ce n'est pas l'incendie qui a entraîné la responsabilité d'OVH mais d'autres erreurs :

• Dans le premier cas, le client a souscrit à l'option de sauvegarde automatique proposée par OVH. OVH avait donc deux missions distincts : héberger et sauvegarder. La sauvegarde était dans le même centre de données. La clause du contrat qui dégage OVH de sa responsabilité étant trop générale, dégageant OVH de sa responsabilité en quasi tout sinistre, alors qu'une sauvegarde se défini comme un remède à un sinistre, a été réputée nulle. C'est celle qui entraîne la responsabilité d'OVH ;
  
  
• Dans le deuxième cas, le client d'OVH effectue sa sauvegarde lui-même. Sur la foi des informations fournies par OVH… donc la localisation des serveurs (primaire et sauvegarde)… dont l'une était erronée… les serveurs étaient dans le même centre de données…

[ Avec ] un contrat d'adhésion (rappel, en B2B, un contrat d'adhésion s'interprète en faveur [ du ] client), il faut faire super gaffe à ce qu'on écrit dans le contrat sur la portée de l'obligation. [ Il ] suffit de proposer plusieurs choix à ton prospect (1 € / plafonnement à 6 mois, etc… 1000 € pour 1 million € de plafonnement / etc) en l'invitant à choisir, documenter tout cela, pour écarter la qualification contrat d'adhésion

Les contrats établis à l'avance, standardisés, dont un client ne peut négocier aucune clause, sont des contrats d'adhésion. Ainsi, un contrat qui propose des sauvegardes « physiquement isolées de l'infrastructure du client » doit être interprété en faveur du client, c'est-à-dire sauvegarde dans un centre de données différent.

En outre, quand bien même la responsabilité du prestataire est engagée, on n'est pas aux 🇺🇸 avec des [ dommages-intérêts ] punitifs : il appartient au demandeur d'étayer ses demandes d'indemnisation par des éléments concrets, et se contenter de généralités ne suffit pas. Du coup, quand on peut étayer par des éléments concrets, on est indemnisé, intégralement quand c'est justifié. Quand on ne s'en tient qu'à des généralités, le tribunal ne suit pas. Quand c'est exagéré, le tribunal décide souverainement.

[…] les gens de droite sont cohérents, ils défendent le système actuel et l'utilisent. Seuls les gens de gauche sont incohérents puisque, justement, ils veulent changer le système où on vit.
[…] il est plus facile d'être cohérent quand on est en phase avec le système en place, que quand on le critiquer tout en faisant partie, et en ayant souvent pas beaucoup d'alternatives efficientes.

On revient à l'idée du pragmatisme "j'utilise ce qui existe / est à ma portée, quitte à améliorer ensuite, quitte à nourrir le système que je combats en attendant, tout en prêchant un nouveau système afin qu'il advienne". On revient toujours à savoir ce que je peux accomplir seul ou à ce qui nécessite une action collective voire sociétale, de la possibilité effective de faire autrement (une adresse email propre c'est plus facile que de ne pas recourir à un prêt bancaire), de l'intérêt de faire autrement (ne pas communiquer sur Twitter ou Facebook quand on critique les GAFAM, c'est demeurer confidentiel et refuser d'informer ceux qui en ont le plus besoin), de la fréquence (genre un McDo ou un Uber Eats pour dépanner, ce n'est pas pareil que d'y aller par "passion"), etc.

Hypothèse du philosophe Savidan : dans la peur du lendemain, dans la perte d'espoir en une victoire collective ou politique (perte de confiance dans les politiciens), nous préférons une solidarité restreinte / directe / chaude dans laquelle nous choisissons qui nous aidons, de quelle manière, et où nous pouvons vérifier ce qui est fait (héritage, don, bénévolat, etc.), au détriment d'une solidarité publique / indirecte / froide (cotisations sociales, prestations sociales, services publics, etc.). Il ne s'agit pas d'une montée d'individualisme (cf. le nombre d'heures de bénévolat en France), mais d'un conflit entre deux types de solidarités.

Donc, dans les sondages, nous continuons à prêcher la réduction des inégalités (pas la fin, le consensus va pour une acceptation d'écarts réduits justifiés par une utilité sociale, une compétence, etc.) tout en pratiquant une solidarité restreinte. On se protège, mais si un programme de réduction des inégalités est mis en œuvre un jour, par magie, ça sera tant mieux. C'est du pragmatisme, de l'optimisation, rêver d'une chose et faire au mieux en son absence, difficile d'y voir un « faites ce que je dis, pas ce que je fais ».

Il nous faut externaliser le risque des lendemains incertains sur d'autres individus ou groupes sociaux (d'où le discours usuel "filez-moi plus de thune en prenant ici ou là"). Les libéraux nous invitent à externaliser ça sur les moins méritants en se fondant sur la responsabilité individuelle ("tu n'as pas fait ce qu'il fait pour réussir, pour te protéger des mauvais lendemains"). Les identitaires, sur les étrangers.

Je ne suis pas convaincu que les riches n'aient pas besoin de la solidarité publique ni qu'ils se soutiennent entre eux. Quid de toutes les aides sociales ciblées qu'ils reçoivent (CICE, dons défiscalisés, CIR, etc.) ? Chacun d'eux défend l'organisation sociale qui lui permet de s'extraire de la peur du lendemain, du boulot subit, etc., ça ne dit rien sur une quelconque solidarité, et j'ai bien l'impression de voir des rapaces en compétition.

Pour moi, il y a aussi une différence entre approuver des idées disparates et approuver un agglomérat d'idées que l'on nomme programme politique. D'où dire que les Français sont « attirés peu ou prou » par des idées portées par des programmes de gauche est plutôt stérile… C'est le mix final qui compte… et qui explique, en partie, la défaite électorale de la gauche.

De même, tout le début de la vidéo oppose sondage contre sondage (sur les programmes, sur les idées, etc.), ce qui, pour moi, n'a pas de sens… Il faudrait vérifier la méthodologie de chacun pour s'assurer qu'ils sont comparables. C'est bouillie contre bouillie, quoi.

Mon Espace Santé (MES) est l'ex-Dossier Médical Partagé, DMP (anciennement Dossier Médical Personnel), complété par une messagerie sécurisée et un catalogue d'applications (au sens d'appli Facebook quoi, pas de logiciel indépendant). Un agenda est attendu.

J'ai lu tout et son contraire au fil du temps. J'ai trouvé très peu d'avis techniquement éclairés (certains se contentent d'affirmer que MES n'est pas aussi sécurisé qu'une banque car il n'a pas de clavier virtuel, trololo), basés sur la pratique, et dénués d'exagération (LQDN exagère, la Fédération française des médecins généralistes est lunaire, etc.). Bref, j'ai besoin de faire le point.

C'est évident mais je le rappelle : je traite le sujet avec mon point de vue et mes biais, mes pathologies, mon vécu médical, et mes compétences numériques dont j'ai conscience qu'elles sont supérieures au niveau du citoyen-patient lambda.

Théorie

Je vois un intérêt à MES : conservation d'un historique médical par un tiers. Évidemment, ça dépend du vécu, de l'existence et de la gravité de pathologies, du nombre moyen de recours à des docteurs, de la mobilité, etc. Quand, comme moi, tu n'as plus accès à tes données de santé antérieures (livret de santé, radios, diagnostics, etc.) pour X raisons (dans mon cas, il ne s'agit pas d'une perte), c'est quand même plus pratique que de demander à chaque doc' de te refiler son bout de diagnostic ou d'essayer de te souvenir dudit diagnostic et de le réciter approximativement. D'un autre côté, mon vécu me montre que, sur des pathologies courantes, les médecins spécialistes savent repartir de zéro ou avec très peu d'informations, donc bon… Cet historique est-il vraiment pertinent ? À côté de ça, j'ai parfois dû faire la mule entre les médecins pour filer des documents et des infos, et c'est relou, faut bien l'admettre. Qu'ils puissent échanger dans leur jargon et se filer directement des documents me convient. J'ai lu que certains considèrent ça comme une mise à distance du patient considéré comme menteur, qui ne comprend rien, etc. Je ne le perçois pas ainsi. Il faut dire que j'ai le biais de l'informaticien qui a assuré du support niveau 2 tout en pouvant se mêler du support niveau 1, et qui préfère largement discuter avec ses collègues du niveau 1 dans des termes du métier plutôt qu'avec ses utilisateurs dont la grande majorité ne comprend rien et ne veut pas comprendre (l'informatique doit fonctionner « comme l'électricité », se faire oublier).

Ma plus grande crainte, c'est la centralisation. Je découpe ça en deux sous-notions :

• Sécurité. Tout système informatique se fera pirater (laboratoires médicaux, l'assurance maladie, etc.), y compris, et surtout, indirectement (phishing, etc.), ou détourner par ceux qui l'opèrent (vidéosurveillance, LOVEINT, tricoche, les salariés qui passent le temps, etc.). Concentrer des données perso augmente l'attrait et le gain. D'un côté, même sans discuter chiffrement et autres délires d'informaticiens, MES sera toujours plus sécurisé qu'un cabinet médical (les ordis winwin vérolés et pas mis à jour sur un réseau Wi-Fi avec une clé WEP, donc des partages CIFS accessibles au petit voisin du quartier, on connaît, sans compter l'inculture crasse et le manque d'hygiène informatique des médecins), qu'un labo médical, ou qu'un hosto exsangue. D'un autre côté, la dispersion des données est une meilleure garantie au global même si elle est localement plus faible (des morceaux d'Internet tombent en panne à chaque instant, mais, l'écrasante majorité du temps, l'information voyage d'un point A à un point B de ce réseau). Mais, cette garantie n'est pas évidente : 1) quid d'une faille de sécurité dans un logiciel hégémonique chez les pros de la santé (cas Dedalus) ? 2) tous mes médecins ont des données communes sur moi (état civil, numéro de sécu, etc.) qui permettent, à elles seules, de me faire du mal (usurpation d'identité, par ex.). Qu'apporte réellement le fait de choper en plus ma radio dorsale ou mon électrocardiogramme ? Avec ce raisonnement, la dispersion perd de son intérêt, car MES protégera mieux ce socle commun que X docteurs ; 3) La CNAM (monopole) et les mutuelles (oligopole) reçoivent déjà l'intégralité des prestations pour les rembourser, donc le système de santé est déjà centralisé (la sécu ne connaît pas tous les documents, mais les ordonnances en disent déjà très long) ;
  
  
• Qui décide ? Ma hantise du moment, c'est les silos (étatiques ou privés, même combat) qui, parce qu'ils sont hégémoniques, peuvent faire ce qu'ils veulent de nous, y compris changer les règles du jeu sans notre accord en pleine partie. Exemples ? Tiens, changeons les règles d'indemnisation du chomdu. Tiens, élargissons tel fichier de données perso au-delà de ce pourquoi on l'a vendu aux citoyens au départ (ex. le FNAEG). Tiens, décalons l'âge de départ à la retraite (je pense aussi aux magouilles de l'Agirc-Arrco pour parvenir à cela, comme le coefficient de solidarité et la baisse de la valeur des points). Tiens, utilisons une loi antiterrorisme pour interdire des manifestations. Etc. Bref, actuellement, MES est plutôt bien conçu (je vais y revenir), mais, ça ne veut rien dire : au début, tout est toujours rose (cf. le FNAEG ou les lois antiterro). Quid des obligations qui seront ajoutées ultérieurement par décret (genre MES obligatoire pour être remboursé par la sécu) ? Qui obtiendra, par décret, des accès imprévus à ce jour ? Quels réusages seront autorisés par décret sans consentement des patients-citoyens ? L'ouverture automatique sans consentement d'un espace pour chaque citoyen, et le consentement oral pour qu'un médecin accède à un espace (je vais y revenir) sont déjà de mauvais signaux. Pour moi, il s'agit du point noir de MES.

Je reviens un peu sur la sécurité :

• Traçabilité des accès, y compris la consultation de documents. Attention : dans les lieux de soins collectifs (hosto, maisons de santé / centre médical, etc.), les accès peuvent être partagés à la maille d'un service, d'après le décret ;
  
  
• Possibilité de révoquer un soignant après-coup ou de le bloquer par anticipation. À la granularité d'un professionnel de santé, pas d'un service (d'un hosto ou d'une maison de soins). Donc, pour contrer un praticien qui refile sa e-CPS (jeton d'autorisation) quand il part à la retraite ou autre, il suffit de le révoquer quand on ne veut plus faire appel à lui. Néanmoins, c'est très dommage de ne pas pouvoir bloquer tout accès sauf aux médecins que l'on autorise explicitement. Ça sera ça, une vraie politique d'autorisation qui, de plus, mettrait le patient au centre. Là, n'importe quel professionnel peut consulter l'espace santé de quiconque, ce dernier reçoit une notification (email ou téléphone) la première fois ou à chaque consultation d'un document. Évidemment, il est censé avoir obtenu le consentement (oral) du patient au préalable (sauf en cas d'urgence, mais, dans les paramètres, on peut désactiver la procédure d'accès en urgence / bris de glace ou l'autoriser uniquement pour le SAMU ou pour tous les autres professionnels), mais va le prouver… Pour moi, ce n'est pas conforme aux lignes directrices du CEPD sur le consentement ;
  
  
• Il existe une « matrice d'habilitation » qui spécifie qu'en pratique, en résumé, n'importe quel professionnel (y compris kiné, infirmière, dentiste, etc.) à accès à l'écrasante majorité des documents… Dès l'activation de l'espace, on peut choisir de masquer tous les documents à tous les pros ou non (par défaut, la procédure d'urgence donne accès aux documents masqués, mais on peut spécifier le contraire dans les paramètres) puis, masquer ou non tel ou tel document à la vue de tel ou tel professionnel. Y compris, les documents des médecins (car ceux-ci ne sont supprimables que par le pro qui l'a ajouté, alors que les documents ajoutés par le patient le sont aussi par lui-même). Les documents ne sont pas dissimulés aux médecin « administrateurs » (source). Par défaut, il s'agit du médecin traitant désigné dans MES, mais d'après la politique de protection des données de MES, sa désignation n'est pas obligatoire, et elle est dissociée de sa déclaration auprès de la sécu dans le cadre du remboursement des soins (donc sans intérêt à mes yeux). Un patient peut nommer plusieurs médecins administrateurs (ça sent l'abus sur les p'tits vieux m'enfin…). Du coup, je ne partage pas les critiques sur une absence de contrôle, sur le fait qu'il serait impossible de révéler uniquement ce qu'on veut à tel ou tel docteur (ils ont déjà accès, prétendument sur consentement, via le téléservice HRi de la sécu, aux soins remboursés sur les 12 derniers mois, cf. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759 point 132 et suivants), ce qui compliquerait la demande d'un deuxième avis (je l'ai déjà fait, et même pas pour une grosse opération chirurgicale, donc je comprends la démarche), et renforcerait l'errance médicale (difficulté dans la pose d'un diagnostic) ;
  
  
• Les mineurs sont liés à leurs parents, donc ces derniers voient leur dossier. Pour tous, mineurs comme majeures, la loi prévoit que des actes médicaux puissent être omis (pas ajoutés au dossier par le doc') quand un patient invoque un « motif légitime ». Comme d'hab, la formulation est floue, donc le périmètre est flou (a priori, pour les mineures, ça englobe l'IVG, la pilule du lendemain, etc., mais quid des trans ?) et à l'appréciation du médecin, en définitive. Cela dit, j'ignore comment ça se passe aujourd'hui ? Comment le doc' est payé ? Si le mineur donne son numéro de sécu, c'est cramé, donc… Donc, soit MES change rien, soit il sera toujours possible de convenir avec un praticien de faire une consultation sans MES (comme aujourd'hui il doit être possible de procéder sans numéro de sécu). Donc MES change rien. (Je rappelle que les toubibs ont déjà accès, prétendument sur consentement, via le téléservice HRi de la sécu, aux soins remboursés sur les 12 derniers mois, cf. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759 point 132 et suivants.)

En résumé, MES me semble bien conçu, ça envoie du rêve, mais son utilisation requiert une vigilance, une rigueur et des compétences numériques qui va dépasser l'essentiel de la population.

L'argument « numérisation de nos vies » (affaiblissement de la relation patient<>professionnel, etc.) ne percute pas vraiment chez moi. Avec la massification de la téléconsultation… De plus, tout acte ne nécessite pas forcément une relation forte entre patient et professionnel, comme une ordonnance pour renouveler une énième fois un dispositif médical arrivé en fin de vie dont un patient dispose depuis des dizaines d'années… Même sans MES, je n'ai connu qu'une écrasante majorité de médecins expéditifs, qui discutent peu, qui n'expliquent rien. La connerie humaine existait avant MES. Ce dernier la renforce-t-elle ? La rend-il inévitable ? Difficile à dire.

Contrairement au Health Data Hub, l'hébergement informatique est opéré en France par des entités françaises (Atos et Worldline).

Pratique

La sécu m'a prévenu de la création imminente de MES en mars 2022. Sans réaction de ma part (j'avais autre chose à faire), elle a créé mon espace début juillet 2022 (d'après la presse, les créations ont eu lieu par vagues, ce qui est crédible vu le nombre d'espaces ‒ la totalité de la population ‒). Lorsque j'écris ce retour, nous sommes le 21/09/2023.

Évidemment, le site web comporte des dépendances JavaScript dont certaines sont hébergées par des entités états-uniennes (AT Internet, Trust/Tag Commander, Google Tag Manager, etc.). Encore une fois, je demande ce que vient faire un outil de mesure d'audience et d'efficacité d'une campagne marketing sur le site web d'un service public, surtout quand celui-ci est créé d'office ?! Si la partie visible par tous n'est pas conforme au RGPD (les transferts de données à caractère personnel étant couverts par le DPF), que penser de la conformité de la partie invisible et incontrôlable par le plus grand nombre ?

On nous propose d'activer notre espace ou de nous y opposer. Dans ce deuxième cas, rien n'est dit sur la suppression des données qui ont pu être ajoutées par un pro. Peut-être qu'un nouvel écran, après la confirmation du souhait de clôturer, propose la suppression, je n'ai pas osé cliquer (d'autant que j'ignore si des documents ont été déposés dans mon espace, même si je soupçonne légitimement que non, sinon j'aurais reçu un email). J'ai donc préféré activer puis clôturer mon espace, et là, j'ai bien eu la possibilité de demander la suppression de mes données en même temps que je demandais la clôture de mon espace.

À la première connexion, y'a un mini tutoriel qui explique la possibilité de masquer les documents, qui nous demande si l'on veut désactiver la procédure d'accès en urgence (sans proposer de ne pas démasquer les documents à cette occasion, il faut aller dans les paramètres pour ce faire, dommage), etc.

Fin 2022, un hosto qui m'a soigné en 2020 m'a envoyé un message (dans MES) m'informant qu'il ajoute depuis quelques mois les documents liés à mes venues récentes et, progressivement, tous les documents antérieurs selon une liste validée par sa commission médicale interne. À ce jour, il n'a rien fait. MES m'indique qu'aucun pro n'a encore accédé à mes « rubriques ». Idem dans la rubrique traçabilité. J'en déduis qu'il est possible, pour un pro, d'envoyer un message sans entrer dans le MES.

Conclusion

Je pense que MES est actuellement plutôt bien conçu (bémol sur l'accès au dossier par consentement oral). Il a l'essentiel des fonctionnalités que j'attends (traçabilité, masquer les documents, bémol sur l'impossibilité d'interdire tout accès sauf ceux accordés). Il faut néanmoins être rigoureux et compétent dans la révocation des accès, dans la traçabilité, dans l'octroi du droit administrateur, etc. Rigueur compensée en se rappelant qu'on n'a même pas ces fonctionnalités sans MES.

J'ai une préférence pour un système décentralisé (ce que MES n'est pas), mais je peine à évaluer le gain concret dans ce cas d'espèce.

Pour moi, le point bloquant est que je n'ai pas confiance pour le futur. Quand le système aura pris, il sera bien trop facile, pour nos politiciens autoritaires et monarchiques et nos technocrates, d'accorder des droits d'accès, des ré-utilisations des données, etc. Nous serons bien eus.

Dans ma situation (je bénéficie de peu de soins), le risque ne vaut pas la peine d'être pris en échange d'une prétendue simplification de mon quotidien et d'un diagnostic prétendument plus affûté. Gain dérisoire. Risque énorme.

C'est pour cela que j'ai clôturé mon espace santé avec suppression de son contenu.

Sources :

• Pourquoi s’opposer à la création de Mon Espace Santé ? – La Quadrature du Net ;
  
  
• Aide en ligne et contacts - Mon espace santé ;
  
  
• Un avis lambda : partie 1, partie 2 et partie 3.

Une analyse de l'infrastructure de Doctolib telle qu'elle était en 2021, et l'écart avec sa communication. Même si ça ne reflète pas forcément l'état actuel, je trouve ça instructif.

L’agence nationale des données de voyage (ANDV), entrée en fonction le 1er juillet 2022 aux termes du décret n°2022-752 du 29 avril 2022, est un service interministériel à compétence nationale rattaché au ministère de l’Intérieur et des Outre-mer, et placé auprès du directeur général de la Police nationale. […]

L’ANDV est chargée de la mise en place et de l’amélioration des dispositifs de collecte et d’exploitation des données de voyage (données de réservation, d’enregistrement et d’embarquement des passagers) dans les transports aériens, maritimes et terrestres, au départ ou à destination de la France. L’agence assure également la collecte des données, en vérifie la qualité et la fiabilité, et exerce à ce titre la fonction d’Unité Information passagers (UIP) telle que prévue par la directive européenne 2016/681. [ PNR ]

L’ANDV contribue à la prévention et à la détection des infractions terroristes, des formes graves de criminalité et des atteintes aux intérêts fondamentaux de la Nation ainsi qu’aux enquêtes et poursuites en la matière. De la même manière, elle participe au contrôle frontière et la lutte contre l’immigration irrégulière et la sûreté des transports. [ Le décret prévoit aussi sûreté de l'État, sécurité publique, défense, etc. ]

En 2019, Next Inpact écrivait sur l'un de ses co-prédécesseurs, le Service national des données de voyage. (L'autre co-prédécesseur est l'UIP / PNR France). On y lit : « L'idée, c'est de tracer les trajets des passagers », nous explique la Direction générale de la police nationale (DGPN). « Au départ, avec le PNR, ce n'était que l'avion. Désormais, on l’étend au maritime et au ferroviaire. ». On retrouve ça dans aux pages 287 et suivantes de l'étude d'impact du premier jet, avorté, de la LOPMI 2023 (qui voulait modifier la législation pour collecter les données des membres d'équipages marins).

On dirait que l'ANDV va coordonner / contrôler les procédures existantes, comme la PNIJ (toute proportion gardée), et "améliorer" tout ça.

Pour l'instant, elle récupère uniquement les accès aux bases de données "aériennes" qu'avait PNR France / l'UIP.

Le gouvernement envisage de lutter contre la fraude fiscale et sociale par le lieu de résidence (se déclarer résident fiscal à l'étranger quand on vit majoritairement en France), ce qui peut expliquer que l'agence soit aussi sous tutelle du ministère de l'économie (son prédécesseur ne l'était pas). Le Canard du 02/08/2023 évoque l'accès du fisc au PNR.

L'étude d'impact de la première version de la LOPMI 2023 consigne aussi :

Conçu au départ pour le seul transport aérien, le dispositif PNR a été étendu ces dernières années au transport maritime, puis ferroviaire. Les articles L. 232-1 à L. 232-7-1 du code de la sécurité intérieure (CSI) autorisent aujourd’hui la collecte des données d’enregistrement et de réservation pour le transport aérien et le transport maritime. En revanche, seules les données d’enregistrement peuvent être collectées pour le transport ferroviaire. Par ailleurs, si le cadre législatif et règlementaire est pleinement en vigueur pour le transport aérien, le cadre règlementaire est en cours de finalisation pour le transport maritime et doit encore être défini pour le transport ferroviaire.

En outre, l’extension de ce dispositif au transport maritime, par l'article 14 de la loi n° 2017-1510 du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme, à travers l'article L. 232-7-1 du code de la sécurité intérieure […] [ tiens donc… on retrouve encore une loi de sortie de l'état d'urgence ]

La présente disposition [ collecte des données des membres d'équipage ] a vocation à s’appliquer à toutes les compagnies de transport opérant des vols en provenance et à destination de la France, extra et intra-européens, ainsi que les déplacements en provenance et à destination des collectivités d’outre-mer ainsi que dans les ports français pour les passagers et gens de mer de toutes nationalités, au départ et à l’arrivée des liaisons France/France, des liaisons France/étranger ou étranger/France, à bord de tous navires battant pavillon français ou étranger.

Les finalités vont au-delà de l'arrêt de la CJUE, tombé quelques mois après la création de l'agence et l'étude d'impact de la première monture de la LOPMI 2023, qui juge que les seules finalités du PNR, pour les vols extra-UE, sont la lutte contre le terrorisme et la criminalité grave, et qui interdit toute collecte et traitement généralisé des vols intra-UE et des déplacements par d'autres moyens au sein de l'UE sauf menace terro réelle et actuelle ou prévisible (sinon il faut surveiller "uniquement" des liaisons / ports / gares / aéroports craignos et/ou des schémas de déplacement). L'étude d'impact de la LOPMI 2023 rappelle cela… donc se contredit : « Le dispositif PNR ne pouvant se concevoir que dans le domaine des déplacements internationaux ».

Je suis également d'accord avec Next Inpact sur le fait que le décret de création de l'ANDV parle aussi des transports terrestres, qui englobent plus large que le ferroviaire (ex. : bus).

Bref, affaire à suivre.

#fichier #passenger name record

Pas conforme au RGPD.

Je n'ai jamais compris pourquoi valider un abonnement à chaque trajet. Je l'ai payé pour le jour, le mois, l'année, etc. pour un nombre illimité de transports… Bien sûr, je devine l'intérêt : exiger des conducteurs et des usagers (réprobation sociale) qu'ils jouent aussi les contrôleurs, comme ça, ça réduit les coûts de main d'œuvre. Et comme ils ne peuvent pas différencier, sans machine, un abonné d'un paiement au trajet d'un paiement au trajet non réglé bah…

Sans le mettre en avant, les transporteurs proposent des titres de transport dits déclaratifs. Les trajets sont enregistrés, mais ils ne sont prétendument pas reliés à une identité (donc une photo sur la carte est obligatoire afin d'en déterminer le détenteur…). Pourtant, un abonnement est lié à des infos de facturation (qui vont contenir le numéro de la carte ou autre identifiant qui permet de justifier l'encaissement d'une somme d'argent, ne serait-ce que pour contestation), qui, elles-même peuvent être liées à des infos de paiement (CB). La CNIL s'en satisfait alors que, pour moi, ça sent la ré-identification par recoupement, notamment avec les caméras et la facturation. Les titres de transport anonymes, donc sans abonnement, ne proposent pas le même niveau de service (coût, temps pour l'acquisition, etc.). Elle préconise une durée de conservation de 48 h (la durée du trajet serait largement suffisante), et elle propose une méthode d'anonymisation qui, dans un cas (suppression du numéro de la carte) reste vulnérable à la ré-identification.

Toute la question est de savoir derrière quelle base légale et quelle finalité ranger la validation d'un abonnement. Exécution du contrat ? Ben non, la transaction monétaire et la prestation de transport ont lieu sans. Intérêt légitime à lutter contre la fraude ou à analyser la fréquentation, améliorer le réseau, blablabla ? Quelle nécessité (l'exploitant du réseau sait combien il y a d'abonnés et si tel abonnement est payé, notamment pour moduler les subventions, mais reste la modulation du service qui pourrait se faire par voie déclarative des chauffeurs) et quelle proportionnalité ? Consentement ? L'exploitant ne peut pas refuser de contracter (le refus de consentir doit entraîner aucune conséquence négative), donc ça sert à rien. Les autres bases légales ne sont pas applicables.

Pop-corn dans les années à venir ? Je l'espère.

#bus #transport en commun

• Pour traiter une plainte, elle dispose d'un « large pouvoir d'appréciation » (gravité de l'infraction, sérieux des indices, contexte, intérêts des parties, etc.). De même, elle n'est « pas tenue de répondre à l'ensemble des circonstances de fait mises en avant par le requérant » (source, mais le Conseil d'État rappelle cela dans plusieurs décisions) ;
  
  
• Proportionnalité : « eu égard à la nature et au degré de gravité du manquement allégué, aux incertitudes entourant sa commission et sa persistance et à l'ampleur des moyens qui devraient être employés pour procéder à un contrôle sur place de l'orientation des caméras installées au domicile de M. C..., la CNIL n'a pas commis d'erreur manifeste d'appréciation en adressant un simple courrier d'avertissement à l'intéressé puis en clôturant la plainte dont elle était saisie » (source) ;
  
  
• Le RGPD et la loi Informatique et Libertés ne définissent pas tous les délais, notamment celui pour saisir la CNIL (suite au constat d'une infraction ou du refus opposé à l'exercice d'un droit), et le délai de traitement de la plainte par la CNIL. Dans le premier cas, la CNIL envoie parfois un email de refus. J'ignorais cette pratique, je n'ai jamais reçu cet email. Dans le deuxième cas, comme relaté ici, la CNIL doit informer tous les trois mois, l'absence d'information vaut décision implicite de rejet qui se conteste devant le Conseil d'État dans un délai d'un an (fixé par la jurisprudence en l'absence d'un accusé de réception en bonne forme, cf. R112-5 du CRPA). Application concrète par le Conseil d'État. Que se passerait-il si la CNIL informait tous les trois mois (empêchant ainsi la naissance de la décision implicite de rejet permettant de contester son action) ? Y aurait-il un délai raisonnable au-delà duquel il serait possible de saisir le Conseil d'État en application de l'article 6 de la CEDH ? En tout cas, en phase d'enquête, la CNIL se prévaut d'un délai raisonnable. D'un autre côté, l'association noyb, qui a des plaintes vieilles de plusieurs années n'a pas utilisé ce levier. Par choix ou parce qu'il n'existe pas ?

Dernière fournée de pratiques interdites (dark patterns) par les APD et le CEPD en matière de bandeau cookie.

Piratage (y compris phishing), perte/vol d'un équipement, divulgation verbale, données envoyées au mauvais correspondant, etc.

Uniquement ce qui est déclaré à la CNIL (oui, y'a obligation, mais bon…).