GuiGui's Show

Avec du Aeris et du PURR dedans.

Par contre, l'article payant alors qu'il s'agit des propos d'une autre personne, pas d'un travail journalistique, je n'adhère pas, donc article complet ci-dessous. L'emphase est de moi.

Marianne : Pourquoi avez-vous lancé le site « Bonjour la fuite », qui recense les fuites de données signalées en France ?

Aeris : C’est la suite d’un combat que je mène sur le sujet de la protection des données personnelles. Dans les années 2010, j’étais actif dans le logiciel libre. Puis il y a eu, en 2013, l’affaire Edward Snowden [ce lanceur d’alerte qui a dénoncé l’ampleur de l’espionnage numérique américain, N.D.L.R.]. J’ai alors participé à la création des cafés « Vie privée », pour expliquer comment on peut se protéger et ce que les services de renseignement pouvaient faire.

Trois ans plus tard, il y a le Règlement général sur la protection des données (RGPD), un texte vraiment bien. Nous avions de bons espoirs, mais on sentait déjà que cela n’allait pas le faire avec la Cnil [Commission nationale informatique et libertés]. Et en effet, nous avions beau lui signaler des manquements au RGPD, il n’y avait aucune sanction. À quatre, nous avons été ainsi à l’origine de plus de dix mille plaintes. Nous avons décidé de nous regrouper dans une association, PURR (Pour un RGPD respecté), pour faire bouger les choses.

Puis après la fuite « Viamedis », en février 2024, j’ai décidé de faire ce site pour essayer d'attirer l'attention sur ces problématiques. Pour l’alimenter, je m’appuie sur les notifications de violation de données envoyées par des responsables du traitement des données personnelles. Après, c’est également beaucoup de veille sur les réseaux ou les forums de revente de base de données, avec la problématique de qualification des données : il y a quand même pas mal de faux qui circulent aussi.

Quelle est votre analyse sur ce phénomène des fuites de données ?

Il y a deux choses qui se renforcent l'une l'autre. D'un côté, l'absence totale de sanctions de la Cnil, alors que même avant le RGPD, la France était supposée être couverte par une législation quasiment équivalente. Cela n’a pas du tout incité les entreprises à investir dans la sécurité informatique. Nous avons ainsi beaucoup de retours de directeurs de systèmes d’information auprès de notre association, expliquant qu’ils voudraient faire les choses bien mais qu’ils n’ont pas de moyens et que la direction n’écoute pas. Et de l’autre, il y a aussi des moyens d'attaque qui ne sont pas forcément plus efficaces aujourd'hui, mais qui permettent en tout cas de les automatiser. C’est cette conjonction qui fait que de plus en plus de systèmes informatiques sautent.

Pourquoi est-ce que ces fuites de données sont un problème ?

Ces données relatives au nom, prénom, à l’adresse, à l’e-mail ou encore au numéro de téléphone sont surtout utilisées pour faire du hameçonnage ou, quand des pièces d’identité ont fuité, pour des usurpations d’identité. Il y a également des services payants qui ont agrégé des bases de données, c’est littéralement du doxxing [divulgation malveillante d’informations sur une personne] généralisé. C’est donc une vraie perte d’intimité, alors qu'on a pourtant tous quelque chose à cacher. On peut ainsi tous servir de point d’entrée à des criminels pour des fraudes. Et cela facilite aussi les escroqueries au faux conseiller bancaire, quand l’escroc connaît vos derniers achats ou le nom de votre grand-mère. Enfin, cela peut être dramatique dans certains cas : je pense aux enlèvements autour de la crypto.

Ce constat d’une inaction de la Cnil n’est-il pas contredit par les récentes amendes prononcées contre Free ou France Travail, respectivement de 42 et 5 millions d’euros ?

Même si ce sont des gros montants, ces sanctions sont ridicules vu l’ampleur de la catastrophe et la taille des organisations concernées. Et surtout, il n’y a toujours pas d’électrochoc dans le secteur. Les responsables de traitement nous disent qu’il y a toujours peu de risque de prendre une amende. La Cnil, elle, nous reproche de demander des sanctions monstrueuses. Mais nous, ce qu’on demande, ce sont des sanctions justes, dissuasives et surtout plus fréquentes.

[J'aurais plutôt répondu que seules deux entités sur des milliers ont été sanctionnées, pas de quoi sabrer le champagne. Surtout si la CNIL se relâche après ces deux coups médiatiques.]

Si les responsables de traitement n’ont pas l'impression qu'ils risquent une sanction sous un an, ils vont continuer à violer la loi. Et sur ce plan, nous sommes derniers ou avant-derniers en Europe. L’Espagne, par exemple, c’est environ quarante fois plus de sanctions pour un volume de plaintes identiques. Ce n’est pas forcément une question de ressources. Je pense que la Cnil a un vrai problème d'organisation interne et d’outillage, et qu’il y a aussi une volonté politique de ne pas sanctionner les entreprises au nom de la compétitivité.

Sur d’autres sujets équivalents, comme ChatGPT en Italie, d’autres pays ont pris des décisions contraignantes. Mais la Cnil n’a pas bougé, alors qu’elle aurait pu pourtant par exemple imposer un moratoire de trois mois avant ensuite de dire oui ou non. De même, c’est aujourd’hui un enfer pour déposer une plainte auprès de l’autorité administrative indépendante. Cela fait ainsi trois ans que nous demandons en vain la mise en place d’un lien direct en page d’accueil.

Vous êtes à l’origine de nombreux recours devant le Conseil d’État, dont un contre votre ex-employeur. Mais au final, l’absence de résultat pour le moment ne suggère-t-il pas une démarche contre-productive ?

J’en suis à 26 recours devant le Conseil d’État, dont cinq encore en cours, pour un résultat quasiment négatif, à part des remarques sur la qualité de l’instruction de la Cnil et sa célérité – on est censé être informés dans les trois mois après le dépôt d’une plainte. Mais aujourd’hui, nous n’avons pas le choix. Pour attaquer une décision de l’autorité administrative indépendante, le Conseil d’État est le seul compétent. C’est un problème : ce type de contestation devrait plutôt être renvoyée devant le tribunal administratif. Ce serait plus logique, car le Conseil d’État n’a pas du tout l’habitude de traiter des dossiers au fond. À la fin décembre, nous avons ainsi vu une vingtaine de dossiers étudiés dans la même audience. C’était pour faire du chiffre et évacuer nos plaintes plutôt que de nous donner raison ou transmettre nos recours sous la forme d’une question préjudicielle à la Cour de Justice de l’Union européenne.

[Je confirme que toutes les juridictions administratives expédient les dossiers avant l'été et, surtout, avant la fin de l'année, afin, entre autres, de faire du chiffre. C'est ainsi que fonctionne la justice en France. Ça se vérifie dans l'Open Data des juridictions administratives].