Depuis le début d’année 2018, le Règlement Général sur la Protection des Données (RGPD) fait beaucoup parler de lui. Si de nombreux articles tentent d’expliquer son fonctionnement et ce qui va changer pour nous, utilisateurs, peu (si ce n’est aucun), n’expliquent le moyen de faire valoir les différents droits que nous confère le RGPD. L’ensemble des articles sont tournés vers les entreprises, sur leur mise en conformité, mais ne s’adressent pas aux utilisateurs, ce que nous sommes tous et pour qui le RGPD a été finalement créé.

Cet article est mis à jour régulièrement. Nous avons intégré récemment le cas BlaBlaCar et maintenant celui de Spotify !

par Maxence Delong et Éric Filiol

ESIEA – Laboratoire (C + V)^O

De ce fait, dans cet article, nous allons faire une courte explication de la loi et notamment de l’article 15 du RGPD axé sur « l’accès aux données personnelles » en se plaçant du point de vue de l’utilisateur. Comme ce droit est, en apparence, semblable au « droit à la portabilité » (article 20 du RGPD), nous expliquerons les différences qui existent en fait entre ces deux articles et entre les droits qu’ils concernent. Un tableau résumera les différentes caractéristiques des procédures pour faire appliquer ce droit d’accès et une observation de la procédure de certaines entreprises, très joueuses sur les règles, sera faite. Un lien vers une procédure détaillée pour quelques grandes entreprises sera disponible à la fin de cet article. Cette procédure sera évolutive et d’autres entreprises pourront être rajoutées sur demande.

Dans le chapitre III « Droits de la personne concernée » du Règlement Général sur la Protection des Données, section 2 « Information et accès aux données à caractère personnel », l’article 15 traite du « Droit d’accès de la personne concernée ». Ce droit permet à chaque utilisateur possédant un compte sur une application, un site ou service de demander l’ensemble des données le concernant, collectées par l’entreprise. Attention : même si une entreprise crée des comptes « fantômes », ou collecte des données d’utilisateur n’ayant pas créé de compte chez eux (Facebook, Google…) aucun utilisateur ne peut demander ces données précises car elles ne sont pas associées directement à l’utilisateur (comme Facebook par exemple). Voici le texte en détail.

Flexibilité

Cet article 15 détaille donc les obligations nouvelles des entreprises pour répondre au besoin du droit d’accès et les données qu’elle a obligation de fournir, selon des modalités également assez précises. Le plus intéressant se trouve dans paragraphe 3 qui autorise les utilisateurs à demander une copie de leurs informations personnelles détenues par les entreprises (à noter que, malheureusement, l’article ne concerne pas les données induites, inférées grâce aux techniques de profilage, fouille de données). Mais, une certaine flexibilité permet aux entreprises de jouer avec ce texte et, finalement, en pratique de limiter le droit d’accès voire de le rendre quasiment impossible. Après consultation avec un juriste RGPD, voici les quelques points identifiés comme encore « vagues » de ce paragraphe 3 (la prochaine loi dite CNIL 2 lèvera peut-être certaines de ces incertitude.

Tout d’abord, les termes « données à caractère personnel faisant l’objet d’un traitement » est en réalité l’ensemble des informations que vous avez donné à l’entreprise, mais aussi les informations qu’elle a collectées par d’autres canaux, peu importe le support, et le fondement juridique utilisé pour la collecte.

• La première copie des données est gratuite ! Les suivantes peuvent être payantes, mais la somme doit être « raisonnable » (proportionnels aux coûts administratifs réels). Aucune somme maximale étant précisée, on pourrait donc s’attendre à des abus et la notion de coût administratif est à la libre appréciation des entreprises qui peuvent l’utiliser comme un frein à l’exercice du droit en question.

• Enfin, la demande par voie électronique est la méthode qui pose le plus de soucis. Tout d’abord, de quoi s’agit-il ? Implicitement, on comprend tout de suite « plateforme internet », mais nous pourrions tout aussi bien comprendre « e-mails ». Parlons d’e-mails justement… Si les plateformes numériques pour demander ses informations personnelles sont disponibles pour de grands groupes comme Google ou Facebook, est-ce qu’une demande par email à n’importe quelle adresse d’une entreprise est considérée comme valide ? Si nous demandons nos informations personnelles au DPO (Data Protection Officer – Délégué à la Protection des Données) ou au service client, l’entreprise a-t-elle l’obligation de nous répondre ou a-t-elle le droit de forcer l’utilisateur à passer par une autre voie —  comme la voie postale par exemple – à la discrétion de l’entreprise qui pourra ainsi disposer d’un frein supplémentaire ? En effet, si l’entreprise nous force à passer par voie postale, rien n’oblige l’entreprise à nous répondre par voie électronique. De plus, lors de la réception de nos données par voie électronique, qu’est-ce qu’un langage structuré, courant et compréhensible par une machine ? Les langages nécessitant un long prétraitement comme le HTML sont-ils acceptables à l’inverse du CSV ou du JSON qui sont eux, directement exploitable ?

Jouer avec le texte

Si l’article 15 peut paraître flou sur le droit d’accès et la voie employée pour faire cette demande, il en est tout autrement pour l’article 20 qui parle du « Droit à la portabilité ». Selon cet article, l’entreprise doit fournir (sur demande) une copie des données pour que l’utilisateur puisse, au choix, les transférer à une autre entreprise et ensuite faire valoir son droit d’effacement chez la première entreprise. Dans le cas du droit à la portabilité, les données que l’utilisateur reçoit sont uniquement celles qu’il a fournies et les reçois obligatoirement par voie électronique sous un format structuré, couramment utilisé et compréhensible par une machine.

Ce qui est consternant, c’est de constater que ce sont les entreprises étrangères, hors de l’Union Européenne qui sont les plus « fair-play » vis-à-vis des obligations liées au RGPD (à quelques exceptions prêtes bien évidemment). Les entreprises françaises sont, quant à elles, beaucoup plus rétives et essayent de louvoyer en permanence et de jouer avec le texte, trahissant ainsi l’esprit même du RGPD. C’est pour cette raison qu’il faut attendre la loi CNIL 2 qui devrait (si les constats sont faits et pris en compte) lever certains doutes et préciser formellement et techniquement les obligations liées RGPD et finalement mettre un peu de discipline et de contraintes pour les entreprises françaises.

Pour vérifier si ce droit d’accès peut être bel et bien demandé par les utilisateurs, et ce, facilement, nous avons choisi de créer une procédure détaillée pour plusieurs grandes entreprises, mondiales ou françaises.

Cette procédure est réservée aux abonnés (12 mois) de notre site SecuriteOff qui pourront la recevoir sur simple demande par email (voir notre page Contacts pour connaître l’adresse de notre service Abonnements). Pour résumer ce guide, voici un petit tableau récapitulatif des procédures pour les différentes entreprises :

Si les plateformes de Google, Facebook et Apple sont très simples d’utilisation, rapides, etc. Il en est tout autre pour Amazon. Amazon faisant partie des GAFAM (le second ‘A’), nous devions nous attendre à une procédure tout aussi simple que pour les autres. Ce n’est absolument pas le cas et nous allons voir qu’Amazon joue avec un autre axe non exploité du RGPD : la facilité de la demande.

Le cas Amazon

Tout d’abord, il faut trouver la page informant l’internaute de l’utilisation et du traitement de ses données. Ensuite, cette page redirige vers un formulaire de « problèmes » en ligne et arrive directement sur une première catégorie de problème. Premier constat, pour Amazon visiblement demander ses propres données est considéré comme un problème ! Cela en dit long sur le mépris de cette entreprise pour ses clients. Là, il faut être malin et aller voir les autres catégories de « problèmes » car la demande de l’archive se trouve dans toutes les catégories SAUF celle par défaut. Une fois sélectionnée, Amazon nous redirige vers un email prérempli. Il est toutefois important de ne pas l’envoyer directement. Il faut lire le mail pour s’apercevoir que, même en étant connecté au compte, Amazon demande à l’utilisateur de mettre son nom dans le mail pour confirmer la demande. On pourrait se dire que cela suffit, mais cela n’est pas le cas. Amazon envoie un autre mail pour demander à l’utilisateur s’il est bien à l’origine de cette demande.

Tinder, l’appli qui « trie »

On doit alors répondre à Amazon que oui, la demande vient bien de nous. Puis dans son email de validation, Amazon tente le tout pour le tout pour nous dissuader d’attendre cette archive. En effet, le mail commence par nous expliquer que nous pouvons trouver toutes nos données en allant à divers endroits sur le site (plus d’une dizaine). Puis, ce mail finit par indiquer que l’archive envoyée sera chiffrée et qu’il faudra appeler un numéro de téléphone pour avoir le mot de passe de l’archive et ainsi y avoir accès. Ils n’ont plus qu’à rajouter quelques captchas et un numéro surtaxé pour avoir la clé de l’archive, et nous sommes au paroxysme de la complexité, de la perversité et de la galère…

Dans un autre genre, l’application Tinder, elle, « trie » les données qu’elle nous envoie. Après avoir consulté un spécialiste du RGPD, il nous a été confirmé que les messages envoyés et REÇUS sont considérés comme données personnelles (notre adresse IP ou identifiant de compte se trouvant dans l’en-tête du message, c’est tout à fait logique, et un mail envoyé n’est finalement qu’un mail reçu par l’autre acteur de la communication). Mais, quand Tinder prépare l’archive, l’entreprise précise bien que les messages reçus ne font pas partie de cette archive, ce qui a été vérifié à la réception de celle-ci. Si Tinder ne semble pas respecter le RGPD, les interactions et messages entre personnes ne sont pas précisés dans le RGPD.

Le cas de Microsoft est tout aussi intéressant en termes de mauvaise volonté. La plateforme pour demander ses données n’en fournit en réalité « qu’une grande partie » et met 10 minutes à être prête contre plus de deux semaines pour l’ensemble des données si la demande est, cette fois, faite par email. D’autres sociétés françaises (voir le document détaillé) sont tout aussi peu vertueuses : soit elles n’ont mis aucune plateforme en place, soit aucune adresse email de DPO n’est disponible.

Actions de groupe

Avec ces différentes entreprises, nous avons donc un beau panel de ce qui peut se faire pour jouer avec les limites du RGPD. Si les entreprises comme Facebook et Apple sont très claires et ont fait des plateformes très intuitives et pratiques, on remarque que beaucoup jouent un peu trop avec les règles. En faisant une plateforme simplifiée, mais qui n’est pas « GDPR compliant » à l’inverse d’un envoi d’email, en compliquant la procédure en mettant différentes étapes et outils de communication (plateforme Amazon, adresse email et téléphone pour Amazon par exemple), ou en jouant sur les mots « données personnelles » directement, on ressent la volonté de certaines entreprises d’en faire le moins possible pour nous donner l’accès à nos données.

Si les nombreux articles sont portés sur la mise en conformité RGPD des entreprises, la réalité des utilisateurs est tout autre. Le RGPD a été créé pour les utilisateurs, mais on se rend compte que les utilisateurs ne sont pas forcément gagnants. De plus, nettoyer toute une vie de traces numériques sur les réseaux sociaux divers peut prendre du temps (30 jours pour faire valoir son droit d’accès ou son droit à la portabilité donc encore plus de traitement). Le RGPD est donc très pratique pour contrôler ses données futures, mais il est presque trop tard pour tenter de récupérer le contrôle de toutes les données déjà présentes sur Internet. Toutefois, la grande nouveauté du RGPD est de donner un certain pouvoir aux internautes, pour peu qu’ils l’exercent :

• La possibilité d’actions de groupe. Il est à souhaiter que les entreprises peu vertueuses soient saturées de demandes qui auront un impact final non négligeable sur leur activité.

• Boycotter (quand cela est possible, ce qui n’est pas forcément le cas pour des sites comme la SNCF) ces services ou faire en sorte de limiter fortement la collecte des données (ne pas créer de compte pour faire un achat, comme cela est possible pour le site de la SNCF). Pour beaucoup de ces acteurs, leur existence et business n’existent que tant qu’il y a des internautes.

In fine, si le RGPD a pour but de responsabiliser les entreprises, les internautes doivent aussi se sentir investis de leur propre responsabilité à la fois personnelle, mais surtout collective. Accepter que ses propres données soient collectées et traitées permet de mieux cibler et analyser les autres internautes. Cette responsabilité collective est à la base de l’esprit citoyen. Sinon l’utilisateur devient finalement ce que ces plateformes entendent qu’il soit : un consommateur et donc ultimement un produit.