Émission Underscore #104 du 2 Juin 2018

Voici quelques liens sur les sujets développés :

Nouvelle émission sur « Cause Commune » : « Libre à Vous »

Le premier numéro de cette émission proposée par l’April est consacré à l’Open Bar Microsoft/Défense.

La capitale de la Suisse, Bern, va passer ses écoles sur Nextcloud!

Seconde campagne de financement pour Peertube

Framasoft lance aujourd’hui et pour 40 jours une campagne de crowdfunding pour PeerTube.
Cette nouvelle campagne est destinée à l’international, plus pour faire connaître peerTube que pour récolter beaucoup d’argent (on verra™)

Un donateur anonyme promet 1 million de dollars à Gnome

ZDnet rapporte que cette somme rondelette sera versée en deux ans à la fondation qui soutient l’environnement de bureau, notamment adopté pour les distributions Linux Ubuntu. Sinon y a Haiku qui veut bien des dons aussi 😉

Git corrige une faille de sécurité critique

Exploitée à l’aide d’un dépôt malveillant, la vulnérabilité peut permettre l’exécution d’un code arbitraire. Estampillée CVE 2018-11233/11235, elle est déjà colmatée.
Microsoft fait également la promotion de la nouvelle version 2.17.1 de Git for Windows. L’éditeur précise que Visual Studio 2017, qui intègre l’accès à Git, recevra très prochainement le correctif.

Le plus gros opérateur d’échange d’Internet poursuit l’agence de renseignement allemande

On le sait depuis longtemps, le BND (les espions allemands) espionne depuis longtemps les données qui passent par Internet, notamment celles passant par le point d’échange De-Cix à Francfort, pour eux-mêmes mais aussi pour son alliée, la NSA. L’opérateur a donc poursuivi le ministère de l’intérieur qui le contrôle, car il pense que cet espionnage concerne également des données des allemands, ce qui est illégal (genre, celles des français on s’en fout).

Regards Citoyens attaque 567 députés au tribunal administratif

Pour obtenir la transparence de leurs frais de mandat, la CADA s’étant déclarée incompétente.

Cinq plaintes à la CNIL contre les GAFAM par La Quadrature

La Quadrature du Net vient d’envoyer à la CNIL cinq plaintes contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn. En 6 semaines plus de 12000 personnes se sont ralliées à la plainte collective.

Déjà des poursuites sur la base du RGPD

Google, Facebook, WhatsApp et Instagram sont accusées de forcer les utilisateurs à consentir à une publicité ciblée afin de pouvoir utiliser leurs services. Ce qui est contraire au principe de libre choix exigé par le RGPD.

Chiptune: The G-D-P-R Song

Sujet : Le RGPD

Ben pour citer un tweet que j’ai vu passer, « Le RGPD c’est simple ça tient sur une feuille A3 ! »

Bon, elle est un peu dense la feuille…

Levez la main si vous n’avez reçu aucun mail à ce sujet ce mois-ci !

Vous savez, cette newsletter que vous recevez tous les mois, à laquelle vous ne vous êtes jamais inscrite, et à laquelle vous avez la flemme de vous désinscrire, et qui vous envoie un mail intitulé « Est-ce la dernière fois ? » à la façon d’un futur ex qui voudrait un dernier baiser…

Ben c’est grâce au RGPD.

Et Facebook qui vous propose de désactiver le ciblage publicitaire et la reconnaissance faciale (il vient de me faire ça tout à l’heure), c’est grâce au RGPD.

Bon, alors c’est quoi ?

Il s’agit d’un règlement européen sur les données à caractère personnel, qui s’applique directement, contrairement à une directive qui doit être transposé par des lois dans chaque pays de l’Union. C’est d’ailleurs parce qu’il peut y avoir une grande différence entre les transpositions suivant les pays qu’il a été choisi de faire un règlement.

C’est une mise à jour d’une directive européenne de 1995.

Il est très similaire à la loi française de 1978. En effet, la France a été pionnière sur les données personnelles, la loi de 78 ayant été adoptée suite à un scandale en 1974 d’une tentative de croisement de nombreuses données dans un fichier nommé SAFARI.
C’est cette même loi qui a d’ailleurs créé la CNIL, et qui a inspiré la directive de 1995 qui a créé des équivalent dans les autres pays de l’Union.

En fait ce règlement a été adopté en avril 2014 après 4 ans de négociation, mais il n’est devenu applicable que depuis le 25 mai dernier. Et là de nombreuses entreprises se sont réveillées en panique, d’où la tonne de mails qu’on a tous reçu.

Une des choses que fait ce règlement c’est déjà de définir ce qu’est une donnée à caractère personnel (DCP) comme « toute information qui permet d’identifier une personne directement ou indirectement », et de déclarer que leur protection est un droit fondamental (au sens des traités de l’Union, donc de la déclaration des droits de l’homme), ce qui le place assez haut dans la hiérarchie des normes.

C’est assez large comme définition, et heureusement.

Il définit aussi assez largement la notion de « traitement » de l’information : la collecte, l’enregistrement… et précise qu’il doit être minimisé, c’est à dire n’utiliser que les informations strictement nécessaires.

Il définit enfin certaines données « sensibles » (comme l’orientation politique, religieuse, sexuelle…) comme étant interdites de collecte par défaut. Mais donne une demi-douzaine d’exceptions permettant de collecter néanmoins (comme le consentement explicite, l’intérêt public…).

Con con… consentement ?

Une des gros points du RGPD, c’est de dire que tout traitement de données à caractère personnel doit être explicitement consenti (sous réserve de 5 autres causes possibles de traitement telles qu’obligation légale, exécution d’un contrat ou intérêt légitime). Mais il ne s’agit pas de juste mettre une ligne en plus dans des CGU de 50 pages.

Le RGPD décrit précisément le consentement comme un « acte positif clair », explicite, éclairé (on doit indiquer clairement quel traitement les données vont subir, et pour quelles finalités), et libre, c’est à dire qu’il ne doit pas être conditionné à l’utilisation d’un service.
Le consentement doit pouvoir être retiré également.

Pour le dire simplement, Facebook, Google et leurs potes ne pourront plus vous obliger à recevoir de la publicité ciblée en échange du droit d’utilisation de leurs service.
C’est pour ça qu’ils ont récrit leurs CGU en 4ème vitesse parce que tous faisaient ça. Il reste d’ailleurs certains points qui sont manifestement illégaux dans ces CGU, mais bon…

« Si c’est gratuit… on est plus le produit ? »

Cela veut dire une remise en cause directe du modèle économique des GAFAM, mais aussi de nombreux sites plus petits, y compris ta page perso à toi là, oui, toi, qui a mis une bannière de pub ciblée pour payer l’hébergement !

Attention, ça n’interdit pas de mettre de la publicité, mais elle ne devrait pas être basée sur des données personnelles (y compris l’empreinte du navigateur qui permet de suivre les gens d’un site à l’autre) sans leur consentement explicite.

Pour un site perso ce n’est pas forcément grave, mais pour des sites qui dépendent des millions générés par une publicité qui rapporte d’autant plus qu’elle est bien ciblée, ça va faire mal.

Il y a déjà des sites et des services qui ont annoncé devoir fermer car leur business-model était incompatible avec le RGPD.

« Mais c’est juste une nouvelle loi, ça va rien changer… »

Oui et non. Effectivement, elle ressemble beaucoup à notre loi de 78, sauf que les sanctions peuvent aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaire mondial si ce nombre est supérieur.

Et ça ne concerne pas que les sites web, mais tout ce qui traite des informations perso, des applis mobiles aux objets connectés (là ça promet d’être marrant).

De plus, les intermédiaires techniques (les sous-traitants) pourront maintenant être co-responsable, donc aussi être mis à l’amende. Et un « responsable des traitements » doit être désigné qui doit tenir un journal des traitements, et prévenir la CNIL et les personnes concernées en cas de fuite ou d’intrusion…
Attention d’ailleurs, même les associations sont censées le faire. C’est l’occasion de regarder les fichiers d’adhérents, de faire le ménage… Une donnée bien protégée c’est une donnée qu’on a pas eu besoin de récolter déjà.

Et enfin, même les entreprises américaines vont y être soumises, dès qu’elles traiteront des données de citoyens européens.
D’ailleurs, certaines boites vendent déjà un « RGPD-shield » pour bloquer les utilisateurs européens sur votre site. Sauf que légalement le fait même de géo-localiser une IP pour vérifier si elle est européenne, c’est déjà un traitement, et donc c’est déjà soumis au RGPD…

Vous comprenez maintenant pourquoi même Google, Apple, Facebook et leurs copains vous envoient des mails pour dire qu’ils se mettent en conformité avec le RGPD ? (Même s’ils mentent partiellement)

C’est génial ! C’est vraiment parfait ce truc !

Alors en fait non, il y a plusieurs points qui posent problème, car les lobbies ont bien bossé pour laisser quelques trous dans l’armure.

Par exemple, la clause dite d’« intérêt légitime » permet de se passer du consentement explicite, alors que cet intérêt légitime n’est pas vraiment défini. Mais de nombreux sites s’en prévalent déjà pour éluder la question, notamment des sites de journaux français.
Donc ça va servir de clause bateau dans de nombreux cas. Reste à savoir si il sera possible de la faire encadrer plus précisément, par exemple avec une jurisprudence à l’issue des plaintes collectives de LQDN envers les GAFAM.
C’est pour ça qu’il est important de soutenir La Quadrature, et si vous pouvez, de rejoindre les plaintes collectives.

Également, le RGPD exclue spécifiquement la question de la sécurité nationale. Donc tout ce que l’état récupère sous ce prétexte (vrai ou faux d’ailleurs), n’est pas concerné, et c’est bien dommage.

De plus, d’autres textes vont interagir avec le RGPD.

Il reste un règlement toujours en discussion, ePrivacy, qui pourtant a été entamée au même moment que le RGPD.

Et le Privacy Shield qui remplace le Safe Harbour et autorise le stockage de données aux US parce qu’elles disposent de protections « équivalentes », alors qu’il n’en est rien puisque la NSA peut aller piocher dedans. Le Privacy Shield est d’ailleurs déjà attaqué comme l’a été son prédécesseur.

Pour aller plus loin…

Il y a de nombreux points qu’on a pas eu le temps d’aborder (droit à l’oubli, portabilité…), mais heureusement il y a pas mal de littérature déjà sur le sujet.

Références :

Chiptune: Slice World – Pharos

Agenda

  • La VIP c’est aujourd’hui !
  • Lundi 3.0
    • Actualité oblige, un Lundi 3.0 exceptionnel pour discuter vie privée et neutralité des réseaux, mais pas seulement…
      • Présentation du RGPD
      • Discussion sur la Neutralité du net
      • Animation musicale
    • Lundi 4 juin 19h – 23h
    • CCO, 39 rue Georges Courteline, 69100 Villeurbanne
  • Linux-Meetup Québec
    • Avec la coordination du meetup avec les centres de loisirs de la ville de Québec, nous devons planifier un sujet de discussion sur les logiciels libres. Ce sujet devra couvrir la partie technique de son utilisation. Notre rencontre du mois sera l’occasion de planifier les discussions du prochain mois.
    • Nous invitons tous les amateurs de logiciels libres (peu importe la plate-forme) à venir discuter. C’est vraiment une excellente occasion de socialiser et de faire connaissance avec d’autres qui partagent les mêmes intérêts.
    • Les Linux-Meetup se déroulent simultanément à travers le monde tous les premiers mardis du mois ainsi que dans plusieurs régions du Québec.
    • mardi 5 juin 2018 de 18h00 à 20h45.
    • Centre des Loisirs St-Louis de France, 1560 route de l’Église, Québec
  • Séminaire – CYBERSECURITE
    • La sécurité des données à l’ère du cloud computing et des objets connectés
    • L’arrivée massive des objets connectés ainsi que des outils de Cloud computing dans la vie quotidienne et celle des entreprises est aujourd’hui une réalité.
    • L’interdépendance et la complexité croissante des SI sont autant de vulnérabilités potentielles à prendre en considération.
    • Les intervenants répondront à ce questionnement et partageront leurs retours d’expérience sur les thématiques liées à la protection des données personnelles, les bonnes pratiques à mettre en oeuvre pour se protéger et limiter les risques.
    • Grenoble INP – Esisar et CAP’TRONIC vous proposent une journée sur ce thème.
    • Sur inscription
    • Jeudi 7 juin, 8h30 – 17h
    • ESISAR, 50 rue Barthélémy de Laffemas, Valence
  • #FeteCoworking : Journées portes ouvertes à La Forge Collective
    • À l’occasion de la Fête des Coworking, du 5 au 12 juin, La Forge Collective vous ouvre ses portes le 8 et le 12 juin !
    • Nous vous accueillons tout au long de la journée pour vous faire visiter notre espace de coworking et répondre à toutes vos questions.
    • Profitez en pour échanger avec les Forgeron(e)s autour d’une tasse de café !
    • Vendredi 8 juin, et Mardi 12 juin
    • La Forge Collective, 8 rue Baudin, Valence

Astrologeek

  • SF : Ton histoire , on n’y croit pas !
  • otaku : je suis prêt pour être au ministère de l’intérieur
  • macounet : Si un jour tu as alzheimer , apple te rappellera tout ton passé….
  • oldschool : Avant de jouer , je remonte toujours la bande du temps.
  • atariste : En piste les artistes
  • amigaïste : En piste les Amis