L’esprit du RGPD

Texte initialement publié par Philippe Laroche sur https://www.linkedin.com/pulse/lesprit-du-rgpd-philippe-laroche/

Une règle pleine de bonnes intentions a obligé il y a quelques années à informer les personnes se connectant à un site web qu’elles vont être tracées par des cookies (le cas échéant). Tous les internautes ont maintenant, à l’arrivée sur un nouveau site, à faire un clic pour dire qu’ils sont au courant, et peuvent être redirigés vers une page de textes « légaux » abscons.

Cette règle ne distingue pas les cookies « légitimes » utiles aux développeurs de service, de ceux de « remarketing » permettant de s’assurer que vous serez harcelé de publicité de perceuses sans fil pendant 6 mois parce que vous avez eu le malheur d’en regarder une par erreur sur amazon ; sans parler des stratégies de ceux qui désirent mieux vous connaître, pour vous profiler, mais sans vous dire pourquoi (cf Cambridge Analytica).

Une règle inefficace de plus

Elle devient donc un poids inutile et inefficace de plus.

J’espère que le RGPD ne va pas aboutir aux mêmes non-résultats. Pour mon expérience actuelle, aidant quelques sociétés à se mettre en conformité, et regardant ce qui se passe dans ma boite aux lettres, je ne suis pas confiant.

Un point positif est certainement une vraie sensibilisation à la sécurité, et énumérer ses sous-traitants recevant des bases de données plus ou moins riches ne peut pas faire de mal.

Néanmoins, une société peut se donner bonne conscience assez facilement (et être effectivement protégée d’actions en justice) en se retranchant derrière les assurances données par ses sous-traitants.

J’ai reçu du spam envoyé pour le compte d’une grande société française, qui me dit qu’elle sous-traite l’achat de ses bases d’emailing commerciaux à une société qui respecte le RGPD – mais je n’arrive à la joindre, et ses bases sont de toutes évidences frauduleuses.

Je vois de nombreuses sociétés qui utilisent des services dans le cloud servis par des sociétés américaines. Que les données soient hébergées en Europe ou au USA, Privacy Shield ou pas, le gouvernement américain affiche peu de respect pour sa propre signature ; de plus, la tendance des agences de renseignements américaines à demander des portes d’accès cachées est connue. Si vous lisez les clauses « PURPOSE OF DATA COLLECTION » de Mailchimp par exemple : , vous voyez que nul besoin de backdoor pour que n’importe quel databroker americain fasse des inférences sur les clients « innocents » d’une société française « qui respecte le RGPD ».

On arrive aussi à un système où les entreprises petites ou moyennes de bonne foi passent beaucoup d’énergie à suivre ces règles – alors que les grosses peuvent botter en touche « assez facilement » (un peu comme avec les impôts – où seules les grosses structures peuvent faire baisser leur taux d’imposition sur le bénéfice à quelques pourcents). D’ailleurs, si Facebook a bloqué les agissements de Cambridge Analytica, c’est qu’ils ont vraiment abusé, pas à cause du RGPD : le même mécanisme, plus discret, pourrait encore fonctionner aujourd’hui, avec les nouveaux réglages de confidentialité.

Une trousse de clefs pour les citoyens

Il n’y pas de solutions simples, mais je pense qu’il faudrait limiter par principe les sous-traitances hors europe (A beau mentir qui vient de loin), et expliciter un niveau d’audit des sous-traitants qui soit un peu plus fort qu’actuellement – auto-certification + hors EU, ça commence à être facile de faire un peu ce qu’on veut. L’idée de commencer à chiffrer les données « par client » de manière plus systématique  mérite aussi plus de considération – je l’ai expérimenté avec succès dans le cadre de stockage de données médicales ; c’est dans ce domaine qu’émergent les outils opérationnels de délégation des droits d’accès (inutile quand les médecins racontent tout aux journalistes, mais ça reste l’exception… ). Il faut maintenant aller au-delà du login/password, chaque citoyen devrait avoir sa trousse de clefs public/privé – il faut juste trouver les bons outils.