À soutenir : une pétition auprès du Parlement européen demandant la révision ou l'annulation de la décision d'adéquation au RGPD des États-Unis d'Amérique.
Cette décision d'adéquation, nommée Data Privacy Framework (DPF), permet une libre circulation des données à caractère personnel entre l'UE et les USA alors que le respect des droits fondamentaux en matière de vie privée n'y est pas garanti (au sens européen) et au détriment de tout protectionnisme réglementaire qui permettrait de créer et de soutenir un écosystème numérique européen (indépendance, économie, etc.). Bref, c'est une saloperie. Plus d'infos.
Cette pétition a été initiée par l'un des co-fondateurs de l'association Pour un RGPD respecté (PURR).
Trois propositions à soutenir jusqu'à ce soir sur le site web dédié de la Cour des comptes :
Ce jour, je reçois un spam postal de mon opticien. Il me l'a aussi envoyé par email, mais j'avais paramétré ma messagerie pour transférer sa prose à Dave Null.
Le vocabulaire employé dans ce spam me laisse sans voix. Je devrais « profite[r] vite » d'une réduction sur une monture, me « laisser tenter » par des montures stylées. Mon opticien serait « ravi de [me] revoir » et que nous nous « retrouvions » (ça fait au moins quelqu'un !). Je passe sur les mentions en tout petit (pour un opticien, hein, génie !) qui exposent les dessous de l'entourloupe.
2024, l'humanité pratique toujours la mode en matière de lunettes. Genre, dans un délai d'un mois et demi, je devrais profiter, me laisser tenter… … … par un putain de dispositif médical ! Allô le monde ?! À quand le spam pour une réduction sur la poche à pipi thème licorne ou sur la hanche en métal d'un grand styliste ?! Acheter des lunettes quand on en a besoin au juste prix (et non pas à la loterie), non, toujours pas ?
2024, l'humanité envoie des emails et doublonne sur de l'arbre transporté à dos de camion… Allô le monde ?!
Vous êtes des malades ! Les humains sont de grands malades !
Mais à part ça, le pipi sous la douche et l'extinction du Wi-Fi la nuit vont nous sauver !
J'adore aussi l'adresse emails du DPO hébergée par Google. Je pense pas que Google savait que je suis bigleux ni qui est mon opticien. Maintenant, après ma demande d'opposition et d'effacement, si. Le paradoxe de filer plus de données à caractère personnel à encore plus de monde dans l'optique d'en effacer, c'est FA-BU-LEUX. Vous êtes de grands malades !
À soutenir : une proposition d'audit de la CNIL par la Cour des comptes. Date butoir : vendredi (4 octobre).
Petit rappel.
L'April a proposé une évaluation des dépenses logicielles de l'État qui mérite tout autant des soutiens.
À soutenir : une proposition d'audit de la CNIL par la Cour des comptes. Date butoir : vendredi (4 octobre).
La CNIL dispose-t-elle d'un budget suffisant ? L'utilise-t-elle à bon escient ? Est-elle efficace dans l'accomplissement de ses missions ? Etc.
L'ami Aeris n'ayant pas étayé sa proposition, je l'ai fait dans des commentaires (limités à 1 000 caractères…) que je reproduis ici :
En tant que citoyen, je ne peux qu'appuyer cette proposition.
La CNIL aime à rappeler qu'elle privilégie la pédagogie (ex. : https://x.com/gchampeau/status/1802963969830769110). Est-ce la bonne orientation stratégique pour remplir ses missions conférées par le RGPD ? Si oui, 26 M€/an est-il le juste prix pour ce faire ? La CNIL publie des lignes directrices, des recommandations et diverses documentations. Toutes relèvent du droit souple, pas contraignant et flou (puisque toute interdiction générale y est proscrite). Tout responsable de traitement (RT) pourra donc faire valoir, devant la CNIL puis le Conseil d'État, qu'elles ne trouvent pas à s'appliquer à son cas d'espèce précis. Perte de temps. D'après un sondage auprès des professionnels de la conformité RGPD (DPO, consultants, juristes, avocats, etc.) réalisé par l'ONG européenne NOYB spécialisée dans la vie privée, https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf : « Surprisingly, only 15.7% find EDPB guidelines “somehow influential” and only 7.3% find them “very influential”. […] The numbers for local DPA guidelines are only slightly better at 17.7% and 7.9%. This could be due to the fact that the DPOs – in their responses to open questions – considered these guidelines to be very general. ». Tout ce travail semble ne servir à rien. Comme dans tout domaine d'activité, les entreprises cherchent à gagner du temps en exigeant une réglementation très claire, blablabla. Il ne faut pas tomber dans leur piège, ou à un coût modéré. Un audit pourrait identifier dans quel cas est la CNIL.
Concernant l'accompagnement juridique des entreprises prodigué par la CNIL : comme le pointe l'auteur de la proposition (site web ewatchers.org), des entités ne devraient pas être accompagnées en cela qu'elles sont des malfaisants notoires en matière de vie privée et/ou que leur modèle économique est strictement incompatible avec le RGPD. À titre subsidiaire, tout accompagnement, financé par l'argent public, devrait être transparent. Or, la CNIL pratique l'opacité : voir l'article ewatchers.org et les concertations non-publiques qu'elle organise (https://alliancecommerce.org/pixels-de-suivi-presentation-et-concertation-de-la-cnil/ ; https://www.fnps.fr/2023/10/24/lancement-de-trois-ateliers-de-concertation-par-la-cnil-sur-les-pixels-de-suivi-dans-les-emailing/). Là encore, l'orientation stratégique pour atteindre les objectifs fixés par le RGPD est questionnable : soit on pense qu'un tel accompagnement permet aux entreprises de progresser dans leur respect du RGPD, soit on pense que la CNIL les blanchit, que cette promiscuité rend la CNIL plus tolérante / plus compréhensive / moins protectrice des droits des personnes physiques, que les entreprises ne cherchent qu'un blanc-seing utilisable dans leur communication marketing (tel un label) sans réelle volonté de se mettre en conformité RGPD. Au vu de la prééminence de lobbies auprès de la CNIL (https://www.linkedin.com/posts/alliancedigitale_cnil-rgpd-alliancedigitale-activity-7131200178660757504-9H1m), je penche pour la deuxième option. Là encore, il convient de s'interroger sur le bon usage de l'argent public.
Concernant le traitement des réclamations que la CNIL reçoit. D'après ses rapports d'activité et sa réponse au CEPD (voir proposition), en 2023, la CNIL a reçu environ 12 800 réclamations, en a résolu 12 344, et a utilisé des pouvoirs correcteurs (article 58(2) DU RGPD) a 134 reprises. Environ 1/4 du reste était irrecevable. Le reste, soit l'écrasante majorité des réclamations, a été traité par un « rappel aux obligations » c'est-à-dire par une communication-type (parfois, la CNIL oublie même de changer le nom de l'entité visée dans le corps de sa prose) informelle, rédigée au conditionnel, qui se contente de rapporter les propos de l'auteur de la réclamation (« D'après le plaignant […] »), qui invite seulement à vérifier si les traitements sont en conformité avec le RGPD, et qui rappelle qu'aucune réponse n'est attendue. Ainsi, la CNIL n'instruit pas les réclamations, c'est-à-dire qu'elle ne prend aucune mesure active spécifique pour établir les faits, les éléments de droit et déterminer s'il a eu un manquement au RGPD. Ce faisant, la réaction de la CNIL n'est pas appropriée ni proportionnée à la réclamation, ce qui est contraire à la CJUE (cf. C-26/22 et C-64/22, §57 ; C-768/21, §37-41), et ses actions ne produisent aucun effet : « 70% of the respondents agree that “we would need more DPA enforcement in order to actually improve user privacy in practice” [...] Decisions to informally close complaints – currently the most common DPA action in many EEA/ EU jurisdictions – are seen as even less influential than social media postings by data subjects. » (source : sondage NOYB sus-pointé). De là, 26 M€/an de budget pour envoyer des emails paraît être un gaspillage d'argent public.
La conformité (RGPD ou autre) est coûteuse. Donc, afin de guider le marché économique, il faut inciter les entreprises défaillantes par des sanctions contraignantes, pécuniaires ou non, de telle sorte que la mise en conformité spontanée devienne moins coûteuse que de se faire prendre en défaut. On retrouve cela dans le sondage NOYB : « 70% of the respondents agree that “we would need more DPA enforcement in order to actually improve user privacy in practice” [...] 63.5% report that the mere fear of fines is a driver for compliance. 61.5% agree that such a deterring effect exists when it comes to “high fines”. [...] The most relevant actions are formal decisions at 58%, orders to comply with the law at 61% and fines at 67.4%. ». Ainsi, une nouvelle fois, l'orientation stratégique de la CNIL est questionnable au regard de son ratio coût / efficacité.
L'efficacité de la CNIL en matière de traitement des réclamations, c'est-à-dire sa productivité, interroge également, notamment face à d'autres autorités de contrôle européennes de même budget, ressources humaines et nombre de réclamations reçues qui motivent leurs décisions et qui utilisent quasiment 4 fois plus leurs pouvoirs correcteurs, le tout dans un délai moyen 3 fois plus court (cf. https://www.edpb.europa.eu/system/files/2023-12/edpb_contributiongdprevaluation_20231212_en.pdf, pages 36-37, 41, 46, et 49-51). Dans la presse (https://www.francetvinfo.fr/internet/securite-sur-internet/elle-fait-de-moins-en-moins-peur-peu-de-moyens-peu-de-sanctions-la-cnil-protege-t-elle-bien-vos-donnees-personnelles_6696153.html), la CNIL fait l'état d'un « fonctionnement plus léger » de ces autorités. Pourtant, quand il s'agit d'opacifier son fonctionnement (cf. article ewatchers dans la proposition), la CNIL sait intervenir très rapidement auprès du législateur. Pourquoi pas dans ce cas ? Il faut en déduire que la situation lui convient, et s'interroger, donc, sur la pertinence de son action au regard de ses missions et de son budget.
Ainsi, la question de l'outillage des agents de la CNIL (dans l'aide à l'identification et à la qualification des manquements dont font état les réclamations ou de manière préventive), de l'organisation du travail, de la méthodologie de travail et de la documentation communes (actuellement, chaque agent semble être livré à lui-même, sans harmonisation des pratiques, il informe ou non l'auteur d'une réclamation, il lui laisse ou non la possibilité de produire des observations, il vérifie ou non l'existence d'autres réclamations visant la même entité, etc.), et de l'orientation stratégique pour accomplir ses missions dont veiller au respect du RGPD et protéger les droits des personnes physiques (articles 57(1)a et 57(1)f du RGPD), et de l'équilibre entre ses missions (trop de pédagogie au détriment des sanctions ?), se pose. Un audit de la Cour des comptes pourrait éclaircir tout cela.
Dans l'article de presse francetvinfo référencé supra, un ancien agent à la protection des droits et des plaintes témoigne d'une verticalité étouffante et d'une difficulté à manager des agents publics. Contrairement à d'autres, ce point n'est pas nuancé par la directrice de la protection des droits et des sanctions de la CNIL. Là encore, le bon usage de l'argent public interroge.
Pour finir sur une note positive : le LINC (Laboratoire d'Innovation Numérique de la CNIL) produit d'excellents travaux et outils.
Il reste encore cette fin de semaine pour signer la pétition / lettre ouverte pour demander à la CNIL de faire son boulot. Pétition portée par l'association Pour un RGPD respecté (PURR).
Sur certains navigateurs web (Brave) ou systèmes (mobiles), et en fonction des paramètres du navigateur (visionneuse PDF intégrée activée ou non, téléchargement auto des fichiers ou non, « toujours demander » avant de télécharger ou non), l'affichage de la lettre ouverte (un fichier PDF) peut ne pas fonctionner (c'est ça d'avoir voulu un recueil des signatures conforme au RGPD, ce que ne sont aucun des autres sites web de pétitions). Je mets à disposition une copie de cette lettre ouverte.
Lettre ouverte de l'association Pour un RGPD respecté (PURR) à la CNIL lui demandant d'agir pour l'intérêt général et de traiter convenablement les réclamations. À signer.
Pour info, la CNIL a contesté la partialité de la pétition lancée par Guillaume Champeau il y a quelques mois sur le même sujet, au motif que celui-ci travaille pour une société commerciale de conseil en conformité RGPD. C'est cocasse quand on connaît certains accompagnements douteux de la CNIL (voir ici et là) ainsi que ses concertations sectorielles non publiques (certes, la CNIL a dit que ça débouchera sur une décision soumise à consultation publique, mais la possibilité d'influer sera alors très faible). L'aspect positif, c'est que ça a forcé Aeris, membre fondateur de PURR, à mettre en place la première plateforme de pétition conforme au RGPD. :)
Nombre de contrôles jugé faible, délai de traitement des plaintes, "stratégie des petits pas", soutien trop timoré à l'innovation : les critiques ne manquent pas.
[…]
Une très grande partie de son activité consiste aujourd'hui à sensibiliser le public à la protection de ses données, et à élaborer un tas de documents qui précisent les obligations légales de chacun […] "La Cnil a une culture de l'accompagnement et du conseil"
Les lignes directrices, guides, et autres documentations ne sont pas vraiment contraignantes, même si elles peuvent servir à l'appui d'une sanction individuelle (cf. point 83), donc les responsables de traitement en ont très souvent rien à faire (pages 3, 13 et 14).
[…]
Le cœur de métier historique de la Cnil, le contrôle de l'Etat, a par exemple été largement affaibli au cours du temps. "Depuis 2004, la Cnil ne peut plus opposer son veto à la création d'un fichier de police", rappelle Yoann Nabat. "Ses avis ne sont pas contraignants, elle doit souvent les rendre dans des délais trop courts, elle ne peut pas contrôler les fichiers touchant de près ou de loin à la sûreté de l'Etat et n'a pas de pouvoir de sanction contre lui", égrène le chercheur.
Il n'est pas exact de dire que la CNIL n'a pas de pouvoir de sanction contre l'État : elle dispose de tous les pouvoirs de l'article 58(2) du RGPD à l'exception des sanctions pécuniaires (cf. 7 du IV de l'art. 20 de la loi 78-17).
[…]
Il pointe le faible nombre de sanctions : sur les 16 433 plaintes instruites par la Cnil en 2023, seules 340 ont donné lieu à des contrôles, et seulement 42 ont débouché sur des sanctions, selon le rapport annuel 2023 de l'autorité.
Sachant qu'en 2022, 1/3 des plaintes étaient irrecevables et n'ont donc pas été instruites (par définition).
[…]
Il existe pourtant une Cnil qui inflige beaucoup plus d'amendes : son homologue espagnole, l'AEPD. "Elle publie des décisions argumentées régulièrement, avec des amendes parfois relativement lourdes, et elle n'hésite pas à punir plusieurs fois les récidivistes", salue Guillaume Champeau. "L'Espagne a un fonctionnement beaucoup plus léger que le nôtre, sur le mode de la contravention, qui permet de prononcer beaucoup de petites amendes de façon simple", argumente Karin Kiefer. [ directrice de la protection des droits et des sanctions à la Cnil ] […] Pour accélérer les dossiers, la Cnil peut passer depuis 2022 par une procédure de sanction simplifiée, qui n'est pas non plus exempte de critiques. Les amendes ne peuvent pas dépasser 20 000 euros, et les décisions rendues dans ce cadre sont anonymisées
[…]
La Cnil délivre aussi de simples rappels à la loi, ainsi que des mises en demeure, mais elle vérifie rarement si les cibles sont rentrées dans le rang.
Ne pas confondre les rappels à la loi (4 en 2023, d'après son rapport d'activité), et les rappels aux obligations, très courants (c'est ainsi que la totalité des plaintes qui ne débouchent pas sur une sanction sont clôturées), qui sont des emails rédigés au conditionnel ("quelqu'un s'est plaint que… merci de regarder… inutile de répondre"), et qui ne semblent pas être des sanctions (d'après le rapport d'activité de la CNIL) ni des mesures correctrices (voir p. 22-23 de ce questionnaire rempli par la CNIL à l'attention du CEPD).
[…]
D'autres raisons sont plus prosaïques : "La Cnil est aussi une administration", soupire une source passée par la direction de la protection des droits et des sanctions. "Il y a beaucoup de niveaux de validation y compris quand ça n'est pas forcément nécessaire, et manager des agents de la fonction publique peut s'avérer compliqué puisque les moyens de motivation et les mesures disciplinaires sont très limités.
[…]
Une question philosophique… et politique. "Le ministère de l'Economie voit un peu la Cnil comme une empêcheuse de tourner en rond", résume le député Philippe Latombe.
Voir aussi Bercy demande à la CNIL de ne pas sur-interpréter le RGPD.
Je partage le constat présenté dans cet article. De mon expérience, la prétendue pression de Bercy et le manque de moyens sont des bonnes excuses : on est plus sur un problème de compétence professionnelle (lié à la faible attractivité des rémunérations dans la fonction publique ?), d'implication individuelle, et d'organisation collective du travail (procédures, harmonisation, orientation, outillage, etc.).
L'autre fois, je me demandais d'où vient la phrase « Je suis ni pour ni contre, bien au contraire » qui me trottait dans la tête.
Il me semblait que c'était Coluche qui citait un politicien. Bingo, c'est dans son sketch Votez nul. Il cite Jean Lecanuet, candidat à la présidentielle de 1965 (avec l'aide d'un publicitaire) qui aurait déclaré cela au sujet de la bombe nucléaire.
Retranscription :
Lecanuet, on ne sait pas trop ce qu'il fait là non plus, hein. J'ai l'impression il a du être premier dans un concours de circonstances, le gars. Remarquez, il est propre, hein, on dirait un VRP multi-cartes : « Bonjour, j'ai tout le matériel dans la R16 ». Tiens, pas plus tard que y a pas longtemps, dans le poste ils l'ont interviewé pour la bombe à étrons, là, bon, il a répondu « Je ne suis ni pour, ni contre, bien au contraire ». Va savoir ce qu'il pense ce mec-là !
Néanmoins, difficile de savoir si Lecanuet a dit ça texto ou si c'est une reformulation humoristique de Coluche, car j'ai trouvé que deux sources, 1, 2, qui en parlent de manière très concise.
Top causes of death for time travelers by geologic era
:DD
Si on ne parlait que de ce qu'on a vu, est-ce que les curés parleraient de Dieu ? Est-ce que le pape parlerait du stérilet de ma belle-sœur ? Est-ce que Giscard parlerait des pauvres ? Est-ce que les communistes parleraient de liberté ? Est-ce que je parlerais des communistes ?
Ça fait quelques temps que je pensais à cet extrait vidéo d'un épisode de l'émission TV Champs-Élysées de 1984. :D
Le Groland est ce qu'on appelle un coffre-fort urbain qui cache en son écrin un bijou de technologique sécuritaire : Groville. Groville, capitale de la tranquillité, appelée également, par la maréchaussée, « pas de problème qui y viennent ».
[ 1 policier pour 2 habitants ; vidéosurveillance partout ; habitants formés à la délation et au repérage d'individu suspect ; capteurs pour identifier l'origine, le poids et la propreté des véhicules ; capteurs sur les trottoirs pour récupérer l'identité et les intentions des passants ; 3 hélicos H24 ; escadrons de la défense de la quiétude surarmés ]
(Gendarme) ‒ Qui s'y viennent !
(Voix off) Problème, ils sont venus. Ou plutôt, il est venu, tout seul. Un petit bonhomme armé d'un simple marteau a fracassé la devanture d'une bijouterie, s'est servi, puis est reparti comme il était venu.
(Gendarme) ‒ Ben, comment qu'on pouvait savoir qu'ils s'y viendraient ?! À midi, pendant le déjeuner en plus !
La faille est toujours humaine.
Un livre électronique (ebook) au format EPUB est une archive zip contenant des fichiers HTLM, des styles CSS, des images, etc. La mise en page d'un ebook est flottante / adaptative : elle s'adapte à la taille d'affichage (donc la notion de page n'a pas de sens), les styles peuvent être surchargés par le logiciel visionneur, etc.
En réalité, n'ayant pas d'imprimante, je veux convertir mon livre au format PDF. (Avec cups-pdf
, ça revient au même).
Les lecteurs de PDF que j'utilise, calibre
et foliate
, ne proposent pas intuitivement une option pour imprimer. Avec calibre
, ctrl+p conduit à une conversion facile au format PDF (on choisit le format ‒ j'ai choisis A5 afin que le texte soit lisible, car la largeur d'un A4 rend la lecture fatiguante, et pour pouvoir imprimer deux pages du PDF sur une même page A4 ‒, j'ai réduit les marges à 0,1 pouce ‒ par défaut, elles sont démesurées ‒, j'ai ajouté le numéro de page ‒ prévoir alors une marge du bas de 0,2 pouce ‒).
En ligne de commande, calibre
procure ebook-convert
. Par défaut, le format de page n'est pas top (US letter), les marges sont démesurées, et il n'y a pas le numéro de page. Les paramètres permettant de changer cela dépendent du format de sortie et, à ce titre, ils ne sont pas exposés dans man ebook-convert
… Il faut soit lire la documentation en ligne soit utiliser ebook-convert -h <entrée>.epub <sortie>.pdf
(le coup du -h
adaptatif, on me l'avait jamais fait, je crois…).
Les paramètres équivalents à ceux manipulés dans la GUI (cf. troisième paragraphe ci-dessus) sont --pdf-page-numbers
, --paper-size
(ex. : « a5 »), et --pdf-page-margin-{top,bottom,left,right}
(attention, cette fois-ci, la valeur s'exprime en points et non en pouces…).
La GUI de calibre
propose aussi un bouton « Convertir des livres » qui permet une conversion en PDF, mais elle comporte clairement trop d'options pour mon besoin.
Un récent article de tonton Bortz m'a informé d'une évolution des paramètres imposés ou recommandés pour les enregistrements DNS de type NSEC3 (liés à DNSSEC).
En effet, le RFC 9276, notamment sa section 3.1, prévoit que le nombre d'itérations doit être égal à zéro et que plus aucun sel ne devrait être utilisé. (Les justifications sont dans le RFC et ici.)
L'outil dnsviz affiche donc des erreurs pour le premier point (« NSEC3 proving non-existence of guiguishow.info/A: An iterations count of 0 must be used in NSEC3 records to alleviate computational burdens. See RFC 9276, Sec. 3.1. ») et des avertissements pour le deuxième (« NSEC3 proving non-existence of guiguishow.info/A: The salt value for an NSEC3 record should be empty. See RFC 9276, Sec. 3.1. »).
Mettons en œuvre cette évolution avec OpenDNSSEC.
Dans /etc/opendnssec/kasp.xml
, on modifie les paramètres « Iterations » et « Salt » du bloc « Denial » de la politique appliquée à nos zones. Avant :
<Denial>
<NSEC3>
<!-- <OptOut/> -->
<Resalt>P7D</Resalt>
<Hash>
<Algorithm>1</Algorithm>
<Iterations>10</Iterations>
<Salt length="8"/>
</Hash>
</NSEC3>
</Denial>
Après :
<Denial>
<NSEC3>
<!-- <OptOut/> -->
<Resalt>P7D</Resalt>
<Hash>
<Algorithm>1</Algorithm>
<Iterations>0</Iterations>
<Salt length="0"/>
</Hash>
</NSEC3>
</Denial>
On demande à OpenDNSSEC de relire les politiques, de prendre en compte nos modifications et de les appliquer : ods-enforcer policy import
.
À ce stade, dnsviz n'affichera plus d'erreurs, mais il affichera toujours des avertissements concernant la longueur du sel. dig @viki.guiguishow.info NSEC3PARAM guiguishow.info
nous confirme que le nombre d'itérations, la 3e valeur du RDATA, a changé (pour zéro) mais qu'un sel est toujours présent (cf. dernière valeur du RDATA).
Deux solutions : soit attendre qu'OpenDNSSEC change le sel (ods-enforcer queue
permet de connaître la prochaine action planifiée de type « resalt »), soit lui demander de le changer de suite : ods-enforcer policy resalt guiguishow.info
.
Et voilà.