Bon, finalement pas pu faire vendredi. Mais je le fais aujourd'hui :) Prêt-es ?🤓
On en a énormément entendu parler. Beaucoup de gens prononcent l'acronyme comme une sorte d'incantation, devant beaucoup de cas qui leur paraissent contraires à leur compréhension de la loi et de la vie privée. Peu l'ont cependant lu et encore moins ont pratiqué l'application /1
...du texte dans la vraie vie. C'était censé faire trembler tout le monde, de l'asso locale à Google. J'ai nommé : le #RGPD.
Au début, on parvenait à bien distinguer les gens qui ne savent pas de quoi ils parlent à leur insistance à dire "la RGPD/la GDPR". Petit rappel 👇
Au début, on parvenait à bien distinguer les gens qui ne savent pas de quoi ils parlent à leur insistance à dire "la RGPD/la GDPR". Petit rappel 👇
Mais où en est-on 2 ans après l'entrée en application et 4 ans après l'entrée en vigueur du Règlement ? La situat° est nuancée. Bien sûr, plus les attentes sont importantes, plus la tâche est ardue.
Chacun-e, qu'il s'agisse d'individus, d'entreprises ou d'administrations,
/3
Chacun-e, qu'il s'agisse d'individus, d'entreprises ou d'administrations,
/3
... avait ses propres attentes et demandes. Cependant, celles-ci tenaient seulement parfois compte des objectifs du Règlement. Ceux-là étaient et restent :
- harmoniser et consolider les cadres de protection des données à caractère personnel au sein de l'Union ;
- faciliter la
/4
- harmoniser et consolider les cadres de protection des données à caractère personnel au sein de l'Union ;
- faciliter la
/4
... circulation de DCP au sein de l'Union.
Comme je disais, la situation est nuancée : il y a des attentes cohérentes avec les objectifs du texte et qui ont été remplies. Il y a aussi encore pas mal de place pr de l'amélioration. Regardons-y de plus près.
Note sur la forme :
/5
Comme je disais, la situation est nuancée : il y a des attentes cohérentes avec les objectifs du texte et qui ont été remplies. Il y a aussi encore pas mal de place pr de l'amélioration. Regardons-y de plus près.
Note sur la forme :
/5
... C'est difficile de faire "d'abord là où on a avancé", puis "là où on est à la ramasse". Alors, pour chaque axe qui me paraît important, je discute des deux aspects.
En 1er lieu, il y a eu énormément de sensibilisation de faite. Comme je le disais en début de ce thread,
/6
En 1er lieu, il y a eu énormément de sensibilisation de faite. Comme je le disais en début de ce thread,
/6
...tout le monde ou presque parle de RGPD, de la mamie à l'ado and all the way back. C'est particulièrement drôle parfois quand on explique aux gens qui s'insurgent contre ce qu'ils perçoivent comme des exigences hallucinantes qu'en fait, en Allemagne et - surtout - en France,
/7
/7
... la législation prévoyait déjà une majorité significative des exigences en question. Et ce, depuis des décennies.
Alors, je ne suis pas spécialiste du cadre de protection des DCP en Allemagne, mais il existe depuis avant la Loi informatique et libertés (LIL) :
/8
Alors, je ne suis pas spécialiste du cadre de protection des DCP en Allemagne, mais il existe depuis avant la Loi informatique et libertés (LIL) :
/8
... celle-là est présente depuis 1978 (je n'étais pas encore née) alors que les Allemands ont une législation depuis 1977. Cette (vieille🙂) note de synthèse du Sénat revient sur l'état de transposition de la Directive Data Protection (Directive 95/46/CE) dans 6 pays européens
/9
/9
... et précise les cadres nationaux pré-existants senat.fr/lc/lc62/lc62_m…
Et d'ailleurs, les US ne sont pas en reste : même s'il y a une différence culturelle significative entre "notre" vision et la "leur", un encadrement existe depuis ... 1890. Je vous recommande
/10
Et d'ailleurs, les US ne sont pas en reste : même s'il y a une différence culturelle significative entre "notre" vision et la "leur", un encadrement existe depuis ... 1890. Je vous recommande
/10
... cette petite lecture : lhistoire.fr/entretien/de-l…
Alors, non, la France n'est pas pionnière dans le domaine, même si l'apport reste majeur.
Quoi qu'il en soit, tout le monde a entendu parler du RGPD, alors que personne ou presque ne connaissait la LIL. Je ne suis pas
/11
Alors, non, la France n'est pas pionnière dans le domaine, même si l'apport reste majeur.
Quoi qu'il en soit, tout le monde a entendu parler du RGPD, alors que personne ou presque ne connaissait la LIL. Je ne suis pas
/11
... pour autant certaine que cela équivaut à une réelle compréhension de l'esprit de la loi et encore moins des détails. On reste beaucoup dans des gens random qui déclarent que ceci ou cela est illégal comme s'ils étaient juges (je rappelle : seul un juge peut interpréter
/12
/12
... la loi et juger - ahah - si quelque action y est conforme ou pas).
Beaucoup continuent à confondre anonymisation et pseudonymisation. Je rappelle qu'il y a de la doc sur le site du @LINCnil, par ex. linc.cnil.fr/fr/nouvelles-f… par Sieur @el_Reg himself ou encore
/13
Beaucoup continuent à confondre anonymisation et pseudonymisation. Je rappelle qu'il y a de la doc sur le site du @LINCnil, par ex. linc.cnil.fr/fr/nouvelles-f… par Sieur @el_Reg himself ou encore
/13
... des retours intéressants sur les difficultés de faire de l'anonymisation dans la vraie vie linc.cnil.fr/fr/paul-franci… ainsi qu'une bonne explication en français avec un peu de maths sur le sujet dans le dernier numéro de 1024 societe-informatique-de-france.fr/wp-content/upl… chez @SocInfoFr.
/14
/14
Beaucoup continuent également à confondre vie privée et RGPD. Le droit au respect de la vie privée et la législation sur la protection des données à caractère personnel sont deux choses distinctes. Pour mieux appréhender le droit au respect de la vie privée :
/15
/15
vie-publique.fr/fiches/23879-c…
Ainsi, ces confusions et cette ignorance continuent à perturber l'application du RGPD. Il y a beaucoup de plaintes mais nombreuses sont celles qui sont pointent vers des irrégularités mineures. Même si ça s'est pas mal calmé en 2020, j'avais mini 3-4
/16
Ainsi, ces confusions et cette ignorance continuent à perturber l'application du RGPD. Il y a beaucoup de plaintes mais nombreuses sont celles qui sont pointent vers des irrégularités mineures. Même si ça s'est pas mal calmé en 2020, j'avais mini 3-4
/16
... demandes en DM par semaine de la part d'inconnu-es qui ne connaissent pas leurs droits _sensu_ RGPD mais jugent ceci ou cela "illégal" et veulent que je confirme... Ce n'est pas comme ça que ça se passe, les gens. Si vous ne lisez pas le texte lui-même, au moins lisez
/17
/17
... les articles de la @CNIL cnil.fr/fr/les-droits-…
Les droits donnés par n'importe quelle loi ou n'importe quel règlement sont terriblement amoindris si les individus ne les connaissent pas et, donc, ne les mobilisent pas.
Et c'est là où on arrive à la question épineuse
/18
Les droits donnés par n'importe quelle loi ou n'importe quel règlement sont terriblement amoindris si les individus ne les connaissent pas et, donc, ne les mobilisent pas.
Et c'est là où on arrive à la question épineuse
/18
... des sanctions, elle aussi en demi-teintes. Oui, le RGPD est devenu célèbre en grande partie par les montants prévus en cas de sanction (alors que, franchement, dans les sanctions il y en a une qui est juste super perverse et beaucoup plus ludique que du pan sur
/19
/19
... les doigts financier).
Très tôt, dès 2018, la sanction a été vue par beaucoup comme la seule façon de forcer les organisations aux pratiques non-conformes de filer droit. Une telle approche éminemment répressive n'était pas du goût de tout le monde (moi y compris) :
/20
Très tôt, dès 2018, la sanction a été vue par beaucoup comme la seule façon de forcer les organisations aux pratiques non-conformes de filer droit. Une telle approche éminemment répressive n'était pas du goût de tout le monde (moi y compris) :
/20
... je ne suis pas sûre que casser les dents dès que quelqu'un bouge soit la façon la plus constructive pour parvenir à la conformité. Parce que la conformité n'est pas un état qu'on atteint une bonne fois pour toutes : loin s'en faut. C'est, pour reprendre l'image que
/21
/21
... j'ai toujours dans mes slides, une amélioration continue (le cycle PDCA, vous savez). La réalité est que vous avez énormément de legacy à gérer parce que la LIL qui existe depuis 1978, beh osef.
Donc, dans la vraie vie des vraies organisations et de la vraie conformité,
/22
Donc, dans la vraie vie des vraies organisations et de la vraie conformité,
/22
... il y a un passif souvent atroce parce que les gens ne respectaient déjà pas la LIL. La perspective de sanction pécuniaire élevée a eu un effet de levier considérable, faut pas le nier.
Mais insister que les sanctions sont la seule façon de rendre les orgas conformes à la
/23
Mais insister que les sanctions sont la seule façon de rendre les orgas conformes à la
/23
... loi, c'est comme dire que la seule façon pour votre enfant d'apprendre à écrire, c'est de lui claquer une baffe dès qu'iel fait une faute. La sanction n'est pas l'unique façon de forcer la redevabilité.
Bien sûr, cela ne signifie pas qu'il ne faille pas taper sur les
/24
Bien sûr, cela ne signifie pas qu'il ne faille pas taper sur les
/24
... doigts.
Je me souviens comment on était sur les dents, tous et toutes : qui sera celui qui prendra cher et fera un exemple ? Cela reste l'amende de 50 millions contre Google prononcée par la CNIL en janvier 2019.
Je me suis intéressée à l'état des lieux donc et ai fait
/25
Je me souviens comment on était sur les dents, tous et toutes : qui sera celui qui prendra cher et fera un exemple ? Cela reste l'amende de 50 millions contre Google prononcée par la CNIL en janvier 2019.
Je me suis intéressée à l'état des lieux donc et ai fait
/25
... quelques pitits graphes. Pour être totalement précise, j'ai exclu les amendes prononcées par la CNIL UK (l'ICO) à l'encontre de British Airways et Marriott car ces amendes ne sont pas définitives ; elles avaient d'abord été ajournées pour 18 mai 2020 et 1 juin 2020
/25
/25
... (BA et Marriott, respectivement). La crise #COVID19 a, toutefois, introduit des délais supplémentaires ("fin 2020") : computerweekly.com/news/252481207…
Voici donc :
- fig. 1 : les sanctions publiques d'un montant >100k € par an ;
- fig. 2 : les montants cumulés par an.
/26
Voici donc :
- fig. 1 : les sanctions publiques d'un montant >100k € par an ;
- fig. 2 : les montants cumulés par an.
/26
Ensuite, j'ai cherché à savoir qui a prononcé les sanctions pécuniaires les plus lourdes et qui sont les plus zélés :
- fig. 3 : le Top 5 des amendes les plus coûteuses ;
- fig. 4 : les pays qui imposent les amendes les plus élevées.
Regardez les 2 pour comprendre ;)
/27
- fig. 3 : le Top 5 des amendes les plus coûteuses ;
- fig. 4 : les pays qui imposent les amendes les plus élevées.
Regardez les 2 pour comprendre ;)
/27
Ce qui m'a fait tilter, c'est de voir que les pays sont plus ou moins zélés dans les amendes, j'ai donc continué à regarder. Effectivement, il y a des différences tout en étant que le nombre élevé de sanctions ne signifie pas pour autant que les sommes le sont.
/28
/28
Explication sur les graphes du tweet précédent :
- la bar chart montre une hétérogénéité forte dans la quantité de sanctions publiques prononcées (80 pr Espagne, les "gens de terrain" qui ont eu à gérer de la conformité hors FR ne seront guère surpris ; vs. 7 pour l'Autriche)
/29
- la bar chart montre une hétérogénéité forte dans la quantité de sanctions publiques prononcées (80 pr Espagne, les "gens de terrain" qui ont eu à gérer de la conformité hors FR ne seront guère surpris ; vs. 7 pour l'Autriche)
/29
... Le Top 10 des plus zélés en matière de sanctions ne compte pas la France (5 à son actif).
- les bulles représentent les montants cumulés de sanctions (en €) pour le nombre donné de sanctions. On voit par ex. que les 80 espagnoles représentent 2,5M€ vs. 7 autrichiennes
/30
- les bulles représentent les montants cumulés de sanctions (en €) pour le nombre donné de sanctions. On voit par ex. que les 80 espagnoles représentent 2,5M€ vs. 7 autrichiennes
/30
... représentant 18M€.
Je ne suis pas allée dans les détails des raisons par pays (je ne peux pas me coltiner une analyse en 20+ langues ;) ). Cependant, j'ai fait un Top 5 des non-conformités sanctionnées d'après ce que j'ai vu, globalement dans l'Union :
/31
Je ne suis pas allée dans les détails des raisons par pays (je ne peux pas me coltiner une analyse en 20+ langues ;) ). Cependant, j'ai fait un Top 5 des non-conformités sanctionnées d'après ce que j'ai vu, globalement dans l'Union :
/31
Ainsi, le montant cumulé le plus élevé est pour des insuffisances des mesures techniques et organisationnelles de sécurité (63 sanctions, ~333M€) ; les insuffisances en matière de base légale représentent 105 sanctions et un total de 111M€. (M = millions)
Toute cette
/31
Toute cette
/31
... mini-investigation me laisse sur ma faim : là où on a une claire insuffisance, toutefois, c dans l'estimation de la conformité. Oui, les sanctions représentent des écarts constatés suite à des contrôles. Mais cette vision est partielle : on ne voit que ce qui est rendu
/32
/32
... public suite à des contrôles. Soit, une partie minime de ce qui existe. Or, l'un des changements fondamentaux du RGPD, c'est la redevabilité (art. 5 ; accountability en anglais), soit, le fait de démontrer sa conformité revient à l'organisation considérée. C'est différent
/33
/33
... de la responsabilité : être redevable = montrer des preuves d'avoir agi de manière responsable.
Du coup, on est mauvais dans notre compréhension des efforts incrémentaux qui sont faits dans les organisations pour, d'une part, écluser le legacy et, d'autre part, veiller à
/34
Du coup, on est mauvais dans notre compréhension des efforts incrémentaux qui sont faits dans les organisations pour, d'une part, écluser le legacy et, d'autre part, veiller à
/34
... la conformité de ce qui est entamé post-entrée en application. Oui, la politique de confidentialité du site tartampion est un peu fantaisiste, mais ça ne vous dit rien quant à l'état de conformité des fichiers RH par ex. Eh oui, parce que le RGPD ne se résume pas à la
/35
/35
... gestion des cookies😉
Ce que montrent également les quelques graphiques plus haut, c'est l'harmonisation toujours insuffisante des approches des Etats membres. C'est l'un des objectifs principaux du Règlement. Le RGPD étant d'application directe devrait permettre moins de
/36
Ce que montrent également les quelques graphiques plus haut, c'est l'harmonisation toujours insuffisante des approches des Etats membres. C'est l'un des objectifs principaux du Règlement. Le RGPD étant d'application directe devrait permettre moins de
/36
... variabilité dans les législations dédiées nationales (diversité renforcée par la Directive Data Protection laquelle, comme son nom ne l'indique pas, est à transposer avec les modifications que l'Etat décide d'y apporter).
L'harmonisation et le renforcement de la
/37
L'harmonisation et le renforcement de la
/37
...protection des DCP nécessitent également d'apprécier les cadres dédiés hors UE, notamment aux US. Malgré l'apparition de la CCPA et autres, au niveau fédéral le cadre reste celui du Privacy Shield. Lequel est considéré sur papier comme apportant des garanties de protection
/38
/38
... des DCP adéquates au RGPD, mais en pratique, il protège autant que vous protégerait un masque tricoté façon maille... Une révision est en cours, ptet qu'on y verra la fin avant que Zuckerberg arrive à la Maison Blanche.
Pour boucler la boucle,
/39
Pour boucler la boucle,
/39
... j'aimerais finir là où j'ai commencé : le RGPD est devenu, par la force de la confusion souvent, par l'impact du numérique parfois, une loi "de tout", une incantation qu'on invoque sans mesure, notre 42 face à l'artisan du coin et aux GAFAM+.
L'IA et les algorithmes ?
/40
L'IA et les algorithmes ?
/40
Vite, faut que les CNIL se prononcent sur la transparence des algos, les possibles biais y afférents, les procédures d'audit et que sais-je encore. Que les autorités administratives indépendantes que sont les CNIL (au moins en France) aient un mot à dire, d'accord, il faut.
/41
/41
Mais il s'agit là de sujets sensibles politiquement et avec un impact parfois significatif sur la fabrique de la loi nationale, voire supranationale. Or, les autorités administratives sont exactement cela ; leurs employé-es ne sont pas des élu-es de la République.
/42
/42
D'ailleurs, merci à @AlexArchambault de m'avoir rappelé cette complexité il y a bientôt 2 ans qd j'étais, comme bcp, tête dans le guidon et le RGPD était mon filtre de lecture principal (déformation pro😉). Oui, le RGPD a changé beaucoup de choses dans la façon dont on fait
/43
/43
... société aujourd'hui.
Beaucoup reste à faire. On attend que les investigations à l'encontre de Netflix (au Pays-Bas), d'Amazon et Paypal (établis au Luxembourg), de Twitter, FB et WhatsApp (par l'Irlande) soient finalisées et suivies d'effet. Il est trop tôt, au bout de
/44
Beaucoup reste à faire. On attend que les investigations à l'encontre de Netflix (au Pays-Bas), d'Amazon et Paypal (établis au Luxembourg), de Twitter, FB et WhatsApp (par l'Irlande) soient finalisées et suivies d'effet. Il est trop tôt, au bout de
/44
... seulement 2 ans, s'attendre à ce que des autorités administratives indépendantes (dotées de budgets très différents) commencent automagiquement à collaborer sans accroc (lire à ce propos un article chez @POLITICOEurope qui en parle : politico.eu/article/europe… )
/45
/45
Ainsi, il est essentiel de ne pas négliger la complexité inhérente aux règles qui régissent notre vie et de continuer à participer à cette société ne serait-ce que par reconnaissant la nécessaire gestion de complexité qui vient avec🙂
Et à dans 2 ans !
/FIN
Et à dans 2 ans !
/FIN
P.S. Des GIF spécialement créé pour me soutenir moralement et faire marrer les anciens collègues, clients et partenaires qui se reconnaîtront😘
- la version de "je ne peux pas, j'ai piscine" adaptée
- la version de "je ne peux pas, j'ai piscine" adaptée
- la version de "je ne peux pas, j'ai aquaponey" adaptée aux relous
- la version "je ne mens pas, je lis les CGU et la Politique de confidentialité quand je visite des sites et des applis"
- la version "pu*****, jpp de cette analyse de risques de mes 2 tentacules"
... et pour finir, la version "mais ils peuvent pas lire et comprendre, c'est pourtant pas compliqué, m*rd*", applicable à tout un tas de situations 🤭
