Le droit à l’image du salarié

J’ai récemment eu l’occasion de côtoyer une des nombreuses zones grises du droit, à savoir le droit à l’image d’un salarié lorsqu’il s’agit d’illustrer son activité professionnelle.

Le droit à l’image d’un particulier est bien balisé, celui du salarié utilisé à des fins lucratives aussi (mannequins, sportifs, etc.).

Mais entre les deux, quid ?

Exemple : une entreprise de prestation de services à domicile veut réaliser un tableau avec tous ses collaborateurs intervenant à domicile, en indiquant leur spécialité (ménage, garde d’enfants, etc.) et le secteur géographique. Le tout serait affiché dans le hall d’accueil de l’agence. Bien évidemment, le contrat de travail est vierge de toute clause portant sur ce point.

Penchons-nous sur les différents cas de figure.

  • Tout le monde est d’accord

Seriously, vous avez vraiment besoin que je développe !?

Pensez à bien cadrer les usages qui peuvent être faits des images (ou pas ^^’) dans l’autorisation d’exploitation de l’image.

  • Au moins une personne n’est pas d’accord

Vous ne pouvez pas l’obliger à aller se faire tirer le portrait. Et même si l’employé « consentait » à y aller (je rappelle que le consentement dans le cadre professionnel est loin d’être libre), ce consentement ne porte que sur le fait de se faire tirer le portrait, pas sur une éventuelle diffusion.

L’exception d’actualité ne peut pas non plus jouer, car un tableau d’affichage est loin d’en être une (d’actualité).

Il est cependant possible de se réfugier derrière un jugement du TI de Saint Denis du 27 aout 2015, qui prévoit une exception pour cause d’activité professionnelle.

C’est un jugement de TI, donc loin d’être parole d’évangile… Pensez toujours à vérifier si la C.Cass. ne s’est pas prononcée sur ce sujet avant d’utiliser cette exception.

Qu’apprend-on ?

Lorsqu’elles n’excèdent pas l’activité professionnelle consécutive de la finalité de la captation des images litigieuses, les diffusions non préalablement autorisées ne sont pas constitutives d’une atteinte aux droits de la personne en cause.

Il est donc possible de diffuser la photo d’une personne dans son activité professionnelle, s’il s’agit d’illustrer cette activité.

Le responsable de l’agence pourra donc prendre en photo ses salariés dans leur travail (en faisant attention aux droits des autres personnes) et réaliser son tableau, sans avoir besoin du consentement des-dits salariés.

  • Et si un salarié continue de s’opposer ?

C’est un motif personnel, non ?

Windows 7, 8 & 10 : bloquer l’hémorragie de données

Je ne vais pas y aller par quatre chemins, même en le paramétrant au maximum Windows 10 fait fuiter un nombre considérables de données :

Frappes au clavier (oh, le mot de passe de votre banque en ligne…), enregistrements webcam et audio (même si Cortana est désactivé), contenu de votre disque dur, etc…

Et bien évidemment, le tout est transmis à des sociétés tierces.

Oh, j’oubliais, le concept est étendu à Windows 7 et 8 (si tout ça ne vous fait pas passer sous un Windows piraté pour être exclu des updates….).

Bon, que faire pour limiter ceci ?

Seule solution que j’ai trouvé pour le moment, mettre en place un DNS menteur.

Je sais, c’est pas beau (Neutralité du Net), Microsoft peut le contourner à l’update suivante, mais en attendant mieux…

Installez Unbound sur votre machine (si vous avez un Pi qui traine, c’est le moment de le ressortir), et ajoutez les lignes qui suivent dans filter.conf. Le tout sans oublier de décommenter la ligne qui va bien dans service.conf ou unbound.conf :

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « df.telemetry.microsoft.com » redirect
local-data: « df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com » redirect
local-data: « i1.services.social.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com.nsatc.net » redirect
local-data: « i1.services.social.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « telemetry.appex.bing.net » redirect
local-data: « telemetry.appex.bing.net A 127.0.0.1 »

local-zone: « telemetry.urs.microsoft.com » redirect
local-data: « telemetry.urs.microsoft.com A 127.0.0.1 »

local-zone: « cs1.wpc.v0cdn.net » redirect
local-data: « cs1.wpc.v0cdn.net A 127.0.0.1 »

local-zone: « statsfe1.ws.microsoft.com » redirect
local-data: « statsfe1.ws.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com » redirect
local-data: « i1.services.social.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com.nsatc.net » redirect
local-data: « i1.services.social.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « df.telemetry.microsoft.com » redirect
local-data: « df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « cs1.wpc.v0cdn.net » redirect
local-data: « cs1.wpc.v0cdn.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « vortex.data.microsoft.com » redirect
local-data: « vortex.data.microsoft.com A 127.0.0.1 »

local-zone: « vortex-win.data.microsoft.com » redirect
local-data: « vortex-win.data.microsoft.com A 127.0.0.1 »

local-zone: « telecommand.telemetry.microsoft.com » redirect
local-data: « telecommand.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « telecommand.telemetry.microsoft.com.nsatc.net » redirect
local-data: « telecommand.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « sqm.telemetry.microsoft.com » redirect
local-data: « sqm.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « sqm.telemetry.microsoft.com.nsatc.net » redirect
local-data: « sqm.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « vortex-win.data.microsoft.com » redirect
local-data: « vortex-win.data.microsoft.com A 127.0.0.1 »

local-zone: « settings-win.data.microsoft.com » redirect
local-data: « settings-win.data.microsoft.com A 127.0.0.1 »

Ca en fait du monde, non ?

La mort des exceptions au droit d’auteur

Ce 20 mai 2015 la chambre criminelle de la Cour de cassation a assassiné les exceptions au droit d’auteur, dans son (déjà) (et tristement) célèbre arrêt Bluetouff.

Je vous épargne les faits, car :

1) j’ai linké l’arrêt deux lignes au-dessus;

2) si vous ne voyez pas de quoi je parle vous avez vécu dans une grotte ces deux dernières années.

On va donc parler de vol d’une oeuvre immatérielle, notion ô combien étrange…

I. Le vol, ce délit

Défini à l’article 311-1 du code pénal, le vol est un délit puni de 3 ans d’emprisonnement et de 45 000€ d’amende.

Le vol est la soustraction frauduleuse de la chose d’autrui.

Je passe les débats doctrinaux sur la notion de chose (matérielle ou immatérielle, meuble ou immeuble), pour sauter à ce qui est couramment admis en pratique : on ne peut voler que ce qui est meuble (donc pas un appartement), et qui est matérialisé (donc pas une action dans une société, mais le titre de propriété de cette action, si). La notion de soustraction est à prendre en compte, c’est à dire qu’il n’est possible de voler quelque chose que si on prive son propriétaire de la jouissance de l’objet pendant au moins un bref instant.

Par exemple, il n’est pas possible de voler une idée (au sens juridique), et photocopier n’est pas voler.

Sauf si, pour faire la photocopie, l’auteur du vol a soustrait frauduleusement les documents à son légitime propriétaire. Cas d’école : avant de quitter l’entreprise pour monter sa propre boite, une personne photocopie tous les documents intéressants. Elle a alors soustrait momentanément les documents à son propriétaire légitime, le temps de la photocopie. Le vol est caractérisé.

Autre élément intéressant, le vol d’électricité. Il n’existe pas, car il n’y a pas de dépossession de l’énergie.

C’est pour cette raison qu’il existe un article spécial dans le code pénal qui incrimine cet acte, en l’assimilant au vol (311-2 du code pénal).

Rappel de théorie générale de droit pénal : si c’est pas explicitement interdit, c’est autorisé.

II. Rappel sur le droit d’auteur et ses exceptions

L’auteur d’une œuvre dispose d’un droit exclusif sur celle-ci (qu’il peut éventuellement céder). Cela implique qu’il est le seul à décider de quand et comment est diffusée son œuvre.

Il existe un certain nombres d’exceptions à ce principe, qui sont strictes et limitatives (à la différence du droit américain qui reconnait le fair use) :

  • droit de citation et d’analyse
  • revues de presse
  • discours publics
  • parodie et caricature
  • enseignement et recherche
  • utilisation au profit de personnes handicapées
  • droit d’information sur un évènement d’actualité (en gros : journalisme)
  • sécurité publique
  • représentation dans une bibliothèque, école, musée

Et c’est tout.

Si vous voulez utiliser une oeuvre, et qu’elle ne rentre pas dans un de ces cadres, il faut l’accord de l’auteur. Sinon, c’est une contrefaçon.

III. L’apport de l’arrêt Bluetouff quant au vol

La Cour de cassation nous indique que :

Attendu que, pour déclarer le prévenu coupable de maintien frauduleux dans un tel système et vol, l’arrêt prononce par les motifs repris aux moyens ;

[Bluetouff] s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire, la cour d’appel, qui a caractérisé les délits en tous leurs éléments, a justifié sa décision ;

Bienvenue à la soustraction sans soustraction, la chambre criminelle caractérise le vol alors qu’à aucun moment la victime ne s’est vue dépossédée de ses fichiers informatisés (indice : c’est pour cette raison que l’on parle depuis des années de contrefaçon plutôt que de vol). Un dézingage en règle de cet arrêt est à prévoir dans les prochains temps par les universitaires de tous poils sur ce point.

Analysons plutôt comment cette solution s’articule avec les exceptions au droit d’auteur.

L’arrêt n’en fait pas mention (on peut éventuellement tomber sur le droit de citation et d’analyse, en raison de la publication d’un article sur la légionellose).

Donc les deux infractions (vol et contrefaçon) s’articulent chacune de leur coté, avec leurs spécificités propres.

C’est à dire que si une personne publie une œuvre/article/whatever en s’appuyant sur une autre oeuvre, grâce à l’une des exceptions au droit d’auteur précité, elle pourra quand même être condamnée pour vol.

Il suffira juste à l’auteur original de prouver qu’il ne souhaitait pas que son œuvre se retrouve dans les mains de l’auteur secondaire.

[normalement, là, vous avez réalisé que mon titre était racoleur. Il ne s’agit pas à proprement parler de la mort des exceptions au droit d’auteur. Néanmoins, la simple possibilité qu’elle soient mise en échec par l’infraction de vol est une sérieuse limitation à leur exercice.]

Le statut de l’adresse IP (encore) remis en question

Ce qui est bien avec la Justice, c’est que des choses pourtant évidentes mettent du temps à rentrer dans les mœurs des juges. Du coup, on peut médire à leur encontre à moindre frais 🙂

Cour d’appel de Rennes, 28 avril 2015.

Celle-ci nous indique que :

le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau  informatique, une liste d’adresses IP[…], sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel.

Je vous épargne le listing de jurisprudences, certaines allant dans le sens de la reconnaissance comme donnée à caractère personnel (CJUE notamment), d’autres non (CA françaises notamment). Prenez un bon bouquin si ce point vous intéresse.

[troll] Ça ne gène pourtant pas les tribunaux de condamner en vertu de la HADOPI, c’est à dire d’identifier un coupable sur la base d’une IP. [/troll]

Ce que je veux souligner dans cet article, c’est ce point précis :

sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait

  • RTFM

Loi n°78-17, article 2 :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Je reformule à partir de ce qui est en gras :

Constitue une donnée à caractère personnel toute information relative à une personne physique qui peut être identifiée indirectement, par référence à  un ou plusieurs éléments qui lui sont propres.

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont  peut avoir accès toute autre personne.

Le second paragraphe est très intéressant, du coup. Pour déterminer si une personne est identifiable, il faut considérer tous les moyens (illégaux y compris ?) à disposition de toute autre personne. Cela inclut donc les moyens exceptionnels dont peut disposer un petit cercle restreint, du type « enquête judiciaire ».

Or la correspondance IP – abonné est disponible, justement, dans le cadre d’une enquête judiciaire. Et pour le cas d’espèce, l’admin sys de la société mise en cause dispose de logs pour savoir quel salarié est en cause.

Bref, l’argument comme quoi aucun rapprochement entre les IP et les salariés n’est effectivement fait est inopérant. Il suffit qu’il soit possible pour que la loi s’applique.

  • RTFM 2.0

Si vous lisez ce blog, l’extrait du jugement va surement vous laisser un petit arrière-gout. Cet arrière-gout, c’est le pseudonyme. Passons sur le fait que ce concept n’existe pas encore juridiquement en France et au niveau de l’UE. Le projet de Règlement le définit dans son article 4. Ici pour la version du Parlement :

‘pseudonymous data’ means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution

ici pour la version du Conseil Européen :

‘pseudonymisation’ means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution to an identified or identifiable person
Donc un wording un peu différent, mais le fond reste le même : une information est conservée et traitée de façon séparée de tout élément, ou conjonction d’éléments, qui pourraient permettre de la rattacher à quelqu’un.
Le sort d’un traitement qui respecte cette séparation est encore un peu floue (les lobbyistes continuent de s’affronter à ce sujet), mais la ligne de base est que ces données restent des données à caractère personnel. Tout au plus les traitements bénéficieront d’un formalisme allégé.
Donc même en appliquant un régime juridique qui n’est pas encore fixé, nos Juges se sont plantés ^^’

Responsabilité du fait des robots

Cela fait un petit moment que je n’ai plus rien posté ici, je vais donc en profiter pour vous faire partager un exercice que j’ai proposé à mes étudiants en TD de droit, 2ème année.

(En plus, comme ça, je serais forcé de me renouveler pour l’année prochaine ^^ ).

Le voici :


Une clinique a expérimenté trois robots aides-soignants. Les trois ont connu des incidents, et l’assurance vous contacte pour savoir qui de la clinique ou du fabricant elle doit assigner en justice.

1. Robot à programmation pré-établie

Le robot a été fourni « clés en main » par le fabricant.

En transportant un patient de son lit à la salle de bain, le robot s’est heurté au cadre de porte. Le patient est tombé au sol et a la jambe droite fracturée.

Le rapport d’expert indique :

La fonction iFranchirPorte() comporte une instruction « read » qui, exécutée sur une puce TSM-101 telle que celle équipant le robot en question, renvoie une valeur erronée.

Cette valeur erronée est la source du dysfonctionnement ayant entrainé le heurt du cadre de porte.

 2. Robot à capacité d’apprentissage par mimétisme

Le robot a connu une phase d’apprentissage des gestes, sous l’instruction d’un aide-soignant de la clinique, pendant une semaine.

En transportant un patient de son lit à la salle de bain, le robot s’est heurté au cadre de porte. Le patient est tombé au sol et a la jambe droite fracturée.

Le rapport d’expert indique :

Les enregistrements de la phase d’apprentissage indiquent que, même si l’aide-soignant a fait la démonstration adéquate des gestes, ceux-ci n’ont pu être enregistrés par le robot. L’aide-soignant n’a pas utilisé les bonnes commandes pour activer la phase d’apprentissage du robot.

3. Robot auto-apprenant

Le robot n’a pas besoin d’apprentissage spécifique, il est capable d’apprendre par lui-même simplement en observant. Il peut agir en autonomie, et peut prendre des décisions en fonction du référentiel qu’il s’est construit.

En passant devant la chambre d’un patient en phase terminale d’un cancer, le robot a pris l’initiative de le poignarder en plein cœur.

Le rapport d’expert indique :

Les tests effectués à réception indiquent que le robot n’avait, à ce moment, que la capacité de se déplacer et d’apprendre de nouveaux gestes et concepts. […] Le dump de la mémoire vive effectué après l’incident montre que le robot a analysé la situation du patient, prenant en compte la douleur ressentie, les chances de guérison et le cout des soins palliatifs. Il en a déduit que la meilleure action possible consistait à « terminer la vie » du patient.

 


Buts recherchés :

  • Faire mobiliser aux étudiants leurs connaissances (ici, les différents régimes de responsabilité), mais  pour une application inédite. Think out of the box.
  • Au travers des pseudo-rapports d’experts, faire comprendre aux étudiants qu’ils doivent être curieux sur le monde qui les entoure, et ne pas se cantonner à leur seul univers juridique (l’avenir sera transdisciplinaire ou ne sera pas).

Solutions :

Tout d’abord, j’insiste bien sur « solutions » au pluriel, car nous sommes dans du pur prospectif. Rien de juridiquement contraignant n’existe à l’heure actuelle, donc la balance peut pencher de n’importe quel coté. C’est un point que j’ai bien souligné lors de la séance.

Pour commencer, enfonçons les portes ouvertes. Les robots sont un bien, un objet, appartenant à quelqu’un. À ce titre, les dommages qu’ils causent relèvent du régime de la responsabilité du fait des choses. Un autre point intéressant à analyser consiste à savoir si un robot concluant un contrat engage son propriétaire, ou pas (a priori, je chercherais du coté du consentement).

1. Robot à programmation pré-établie

Ici, le cas est facile. La clinique n’a absolument pas la main sur le robot, qui se contente de suivre sa programmation pré-établie en fonction des ordres qu’il reçoit.

Deux cas de figure :

  • soit l’ordre est dommageable en lui-même (laisse tomber la personne par terre), auquel cas la clinique pourra être poursuivie (garde du comportement)
  • soit l’exécution de l’ordre est imparfaite, auquel cas c’est le fabricant qui est en cause (faute de conception). Plusieurs régimes de responsabilité peuvent s’entrechoquer ; dans ce cas précis la responsabilité contractuelle aurait la préséance (contrat visant à l’expérimentation des robots en cours). Il est aussi possible d’envisager la responsabilité du fait des choses (garde de la structure), 1383 C. Civ., ou encore la responsabilité des produits défectueux.

 2. Robot à capacité d’apprentissage par mimétisme

Les choses se corsent un peu. Le fabricant à livré un robot exempt de défauts, mais nécessitant une phase d’apprentissage. C’est cet apprentissage qui a mal été réalisé, or il incombait à la clinique. Donc responsabilité de la clinique (garde du comportement).

3. Robot auto-apprenant

Ce cas de figure relève pour le moment de la science-fiction. Mais comme des équipes de chercheurs y travaillent, il faut l’envisager.

Ici, ni le fabricant ni la clinique n’ont la maitrise de ce que le robot enregistre, apprend et déduit. Il agit en autonomie. La question de sa personnalité juridique se pose donc ; faut-il donner une personnalité juridique quelconque à un objet capable d’agir de son propre chef, hors de toute supervision humaine ?

Une solution juridique envisageable serait de toujours considérer la responsabilité du fait des choses applicables :

  • si le fait relève d’une action interdite par la loi (comme le meurtre), le fabricant serait responsable (garde de la structure, et/ou responsabilité des produits défectueux)
  • si le fait relève d’une action courante du robot (comme ne pas arriver à franchir une porte), la clinique serait responsable (garde du comportement).

Une autre approche serait de s’inspirer des anciennes règles en vigueur pour la responsabilité des parents du fait de leur enfant, à savoir de devoir démontrer que la clinique a commis une « faute d’éducation » envers le robot, en ne lui inculquant pas les limites de ce qui est autorisé et interdit. Mais cette solution se heurterait à de nombreux obstacles économiques (ne serait-ce que la durée nécessaire pour l’apprentissage).

Privacy in practice : le trackeur d’activités

Parler du (manque de) respect de la vie privée des nouveaux joujoux électroniques c’est bien, mais le constater en pratique c’est mieux !

J’ai récemment découvert que les assurances françaises se lançaient dans la surveillance de leurs assurés par trackeur interposé (Axa, par exemple). Et comme les assurances anglo-saxonnes visent aussi les entreprises, ce n’est qu’une question de temps avant que les entreprises françaises se voient proposé le deal suivant :

On vous fait une remise de 20% si vous équipez vos salariés du dernier BigBro Tracker ™ et que ceux-ci ont un mode de vie sain et équilibré.

Je ne m’étendrais pas sur l’aspect juridique du sujet, vu que de toute façon le code du travail est optionnel en France (note : humour noir).

Donc, pour vérifier l’utilité concrète de ce type de joujou, j’ai décidé de m’en acheter un. Histoire de voir, en vrai, ce que ça vaut. Il s’agit du trackeur MiBand, de la marque Xiaomi (la même que mon téléphone), qui a en plus l’avantage de ne pas être vendu à un tarif exorbitant.

Voici donc mes impressions au bout de 2 jours d’utilisation, sachant que je passe sur les fonctions annexes pour me concentrer sur le trackeur :

Screenshot_2014-12-19-17-47-11

 Le mode JOUR.

On définit un objectif de pas à atteindre (8000 pas étant le chiffre recommandé), et le trackeur calcule combien on en fait dans la journée. C’est approximatif (marge d’erreur de 10% chez moi), et le trackeur vibre quand on atteint l’objectif journalier.

Un graphique à barres indique, heure par heure, combien de pas ont été effectués (entre 9h et 12h, ce chiffre est proche du zéro … ).

Le mode NUIT.

Screenshot_2014-12-19-17-47-19

Il trace l’heure d’endormissement et de réveil, les phases de sommeil léger et profond (quand on ne bouge plus du tout).

Il vibre à l’heure du réveil. Vous avez ci-contre la nuit typique d’un parent dont l’enfant est malade et pleure la nuit ^^.

Donc, au bout de deux jours d’utilisation, mon sentiment est que les salariés n’ont RIEN à gagner en se faisant équiper de ce genre de gadget :

  • Le sentiment d’être badgé comme un pigeon est fort (et pourtant, je m’en suis équipé volontairement)
  • Être traqué 24h/24 par son entreprise, ça ne se justifie que très rarement, et en aucun cas pour économiser quelques euros de cotisations à une mutuelle
  • Qui dans l’entreprise aurait accès à ces données, et dans quelles conditions ? (tout le monde connait le décalage entre les postures de principe et la réalité)
  • Quel usage de ces données aura la mutuelle ? Qu’est-ce que l’employé va en retirer (en dehors d’un rabais de quelques euros sur sa mutuelle) ?
  • Si ces bracelets embarquent la fonction GPS, c’est le jackpot pour l’employeur…
  • Quelles sont les sanctions si un employé ne respecte pas le deal ? Hausse de sa cotisation (et donc doublement perdant ) ? Sans parler des erreurs de mesure des trackeurs…

Bref, affaire à suivre…

#EDGF14 : ça a causé surveillance massive

Ce lundi se tenait le congrès annuel des autorités de contrôle européennes (les CNIL, quoi), à Paris au Palais de l’UNSECO.

La vue depuis le Palais de L'UNSECO

La vue depuis le Palais de l’UNSECO.

Étant invité, j’y suis allé bien volontiers pour troller sur Twitter.

Je retiendrais deux choses de cet évènement : les discussions sur la surveillance massive, et le régime juridique des données.

  • La surveillance des citoyens

Le leitmotiv de quasiment toutes les interventions était, bien évidemment, les révélations d’E. SNOWDEN. Que personne n’avait pris la peine d’inviter, of course.

L’intervention la plus remarquée sur le sujet sera celle du député URVOAS,  qui est membre de la délégation parlementaire du renseignement (le comité supposé surveiller l’emploi des services de renseignement par le Gouvernement).

En mode troll, celui-ci nous assènera deux énormités :

* Si l’action des services de renseignement s’inscrit dans un cadre légal, il n’y a rien à y redire.

Encore un qui confond légal et juste… S’il n’était pas aussi président de la commission des lois, ce genre d’argumentation « café du commerce » ferait sourire ; mais là….

* Si on se balade à poil sur les autoroutes de l’information, on ne peut pas se plaindre qu’on ne respecte pas sa vie privée.

Je n’ai même pas envie d’analyser cet argument tellement il est grotesque.

Aussi, l’occasion était trop belle pour les autorités de contrôle de marquer leur incapacité à agir, en rendant public une déclaration commune dénonçant la surveillance massive (consultable ici). Un point m’a littéralement sauté au visage, c’est le point 6 :

La surveillance secrète, massive et indiscriminée de personnes en Europe, que ce soit pas des acteurs publics ou privés, qu’ils agissent au sein des Etats membres de l’Union ou ailleurs, n’est pas conforme aux Traités et législation européens. Elle est inacceptable sur le plan éthique.

Le juriste qui est en moi défaille à ces mots… Une lecture restrictive du texte, que ne manquera pas de faire le troll mentionné plus haut, permet de faire de la surveillance secrète et massive, du moment qu’elle vise une catégorie particulière de population (à tout hasard, les musulmans). Bref, j’arrête là sur ce sujet, sinon on va dire que je fais du mauvais esprit.

Passons au point suivant : le régime juridique des données.

  • Une donnée à caractère personnel, c’est quoi ?

Le régime juridique de la donnée à caractère personnel, cet éternel serpent de mer…

Lundi, nous avons eu le droit à trois visions différentes, toutes portées par des acteurs privés.

* Atos, représentée par Thierry BRETON, ex-ministre de l’Economie. La vision est simple, la donnée à caractère personnel en tant que bien ou morceau de l’identité de la personne, OSEF. Tout ce qu’Atos veut, c’est un régime bien défini pour savoir quels services développer. Au passage, j’ai croisé leur futur CIL ; bon courage à lui (et un peu de lecture pour lui, histoire qu’il sache où il met les pieds).

* CozyCloud, représenté par Benjamin ANDRE son fondateur. Il veut absolument sécuriser le droit à la portabilité, pour assoir son business model consistant à rapatrier toutes les données d’une personne chez elle (ou sur un serveur loué). Ceci afin de  mettre en place un écosystème lié à la valorisation de ces données regroupées en un endroit.

* Skyrock, représenté par Pierre BELLANGER, son PDG. De loin la vision la plus rafraichissante  et innovante des trois, à savoir que les données à caractère personnel sont un bien commun (au même titre que l’eau, par exemple). Tout le monde peut donc se servir dedans, sans se gêner. La justification théorique avancée est que l’analyse des données d’une personne A permet de déduire le comportement d’une personne B. Donc open bar sur les données. #Mwarf

Guerre de plate-bandes (bis)

J’ai déjà parlé de la guerre que se livrent les Gouvernements des 28 à propos du one-stop-shop mechanism (OSSM).

Si si, vous vous en souvenez, la discussion concernant le fait de savoir qui pourra condamner les GAFAs.

 

Et ben les discussions continuent.

 

Mais il faut reconnaitre que des progrès ont été réalisés, la procédure commence à devenir compréhensible. D’ailleurs, je vous laisse ici un schéma réalisé par @CarloPiltz.

one stop shop

Original : @CarloPiltz -25 Nov 2014

 

  • Si l’affaire reste purement interne à un pays, l’autorité national de contrôle de votre pays (la CNIL en France) sera compétente. Rien de neuf sous le soleil.
  • Si l’entreprise en cause a des établissements dans plusieurs pays (une grosse société d’assurance, par exemple), ou si elle intervient depuis un seul pays vers plusieurs autres (ex :depuis l’Irlande vers le reste de l’UE), l’OSSM entre en jeu :
    1. Co-décision si les différents pays se mettent d’accord, l’autorité chef de file propose une sanction que les autorités locales vont formellement prononcer. Si un désaccord intervient, on passe au règlement des conflits
    2. Règlement des conflits, ou consistency mechanism. En cas de désaccord sur l’autorité chef de file (coucou CNIL, coucou ICO, coucou Facebook), sur la coopération pendant l’instruction de la procédure, ou sur la sanction. L’organisme de coopération européen (EDPB, qui viendrait en remplacement du G29) tranche le cas, et la décision s’impose aux autorités nationales.

 

Les décisions de l’EDPB seraient attaquables devant la CJUE, et celles des autorités nationale devant les juridictions nationales.

 

Ce mécanisme n’est pas encore la panacée (pourquoi ne pas faire intervenir directement l’EDPB ?), mais c’est clairement un pas en avant. Je suis curieux de voir les réactions des délégations nationales.

 

Ça s’passe comme ça au SGAE #euDataP

SGAE, kézako ? Secrétariat Général des Affaires Européennes.

Rappel (simplifié): dans l’UE, il faut que trois organes tombent d’accord pour qu’une législation soit adoptée : la Commission Européenne, le Parlement Européen, et le Conseil de l’Union Européenne (représentant les gouvernements des 28).

Le SGAE est l’organe qui (entre autre) coordonne la position de la France au Conseil de l’Union Européenne. Il s’agit du lieu de réflexion qui valide les propositions des différents organismes français, et les transmet aux représentants de la France à Bruxelles (ou ailleurs).

Par mon ancien job, j’ai réussis à participer à quelques une de ces réunions, relatives à #euDataP (merci à la personne qui m’y a fait entrer, elle se reconnaitra). Il s’agissait des réunions interministérielles (par opposition aux réunions avec les lobbys et les experts), regroupant en général le ministère de la santé, l’économie (fisc + INSEE) et la justice. D’autres ministères intervenaient de temps à autre, pour porter des revendications spécifiques (la culture qui défendait le point de vue des archivistes et de la presse, les douanes qui demandaient un aménagement pour les recherches transfrontières, etc.).

Et à ce niveau, deux choses m’ont énormément choqué :

  • J’étais le seul « spécialiste » autour de la table.

Plusieurs autres personnes avaient des connaissances dans le domaine de la privacy, mais ces connaissances portaient surtout sur des contraintes règlementaires spécifiques (ex : INSEE et l’établissement de statistiques). À les entendre, aucune ne savait à quoi ressemblait une déclaration à la CNIL, ni n’avait eu à ferrailler avec une direction métier pour faire retirer certaines données d’un traitement.

Cette méconnaissance de l’application réelle de la loi n’était pas trop gênante quand le SGAE arrivait à organiser des rencontres avec les experts ou lobbys. Mais bien souvent les délais de réponse imposés au niveau européen étaient tellement courts (48h) que seules les réunions interministérielles étaient organisées. Laisser des bureaucrates définir des règles censées s’appliquer dans l’économie « réelle » …

Et quand j’avais le malheur de contredire un collègue … Tous avaient environ 20 à 25 ans de plus que moi, le p’tit jeune, et des titres ronflant (sous-directeur d’un obscur organisme, co-auteur d’un rapport XYZ, etc.). Inutile de dire que le ton montait tout de suite de quelques crans ^^’. Étrangement, ma position n’était quasiment jamais reprise par le SGAE (ironie inside). Mais elle était discutée la réunion d’après, car un autre pays avait fait les mêmes remarques que moi, et figurait donc dans les points à étudier #jdcjdr.

 Et la CNIL, me direz-vous ? Elle ne venait pas à ces réunions ?

En fait, je ne l’ai vu qu’une fois. Pas pour présenter les enjeux du texte ou apporter un éclairage technique sur un point particulier, non. Elle n’est venue que pour défendre son beefsteak territorial (voir ici pour les détails).

  • La défense de l’intérêt général.

Ces réunions regroupant les différents ministères (censés agir pour le bien commun), je m’attendais à discuter de l’intérêt général, à opérer une balance entre les intérêts économiques des entreprises et les intérêts des citoyens.

Que dalle.

Pas une seule fois je n’ai entendu prononcés les mots « citoyen » ou « intérêt général ».

Les représentants des ministères défendaient tous, de manière unanime, l’allègement de leur propre charge de travail.

Le texte ne devait surtout pas leur rajouter un peu de travail en plus.

Éventuellement, ils répercutaient aussi les demandes des lobbys qui avaient l’oreille de leur ministre (la Culture était forte à ce jeu).

Et quand ils ne comprenaient pas un point, ils le passaient sous silence, sans chercher à savoir ce qu’il voulait dire (j’avais, par exemple, essayé d’expliquer qu’interdire l’usage des identifiants gérés par l’Etat comme pseudonymes était une bonne idée. Le silence qui a suivi était tellement pesant que j’ai cru m’être trompé de salle de réunion…).

Je n’ai pu participer à ces réunions que pendant une année, mais elles ont réussi à me convaincre définitivement que l’Administration française était un parasite qui vivait sur le dos de la société.

La diarrhée normative actuelle fait que l’Administration est focalisée sur la façon de réduire le nombre de normes qu’elle viole (la maitrise des risques), et abaisser les exigences normatives en est une. Et sa deuxième préoccupation est de se pérenniser, en faisant plaisir aux copains influents au mépris des moins influents (les Sans-dents).

Instaurer une 6è (ou 7è ou 8è) république ne servira à rien tant qu’on n’aura pas remis le citoyen au centre des préoccupations de l’Etat.

#EUDataP : pourquoi ça coince ?

Note : pour ceux qui ne savent pas où on en est dans la procédure d’adoption du texte, je vous invite à relire ceci.

 

Donc, le texte coince toujours en Conseil de l’Union Européenne.

 

Si encore ça coinçait sur le montant des sanctions financières ou sur les obligations à charge des entreprises, je comprendrais, il s’agit d’orientations politiques. Mais là, ça coince principalement sur une querelle de plate-bandes.

 

Le motif ? Qui aura le droit de taper sur les doigts des GAFA (Google, Amazon, Facebook, Apple). Ceci sont en effet installés en Irlande, pays où la CNIL locale est assez coulante (voire complaisante).

 

Le mécanisme prévu à l’origine par la Commission européenne ressemblait à ça :

désignation chef de file - proposition Commission

Le lieu d’établissement principal servait à désigner l’autorité de contrôle compétente (la CNIL compétente, quoi) pour instruire le dossier, et infliger une sanction valant pour toute l’UE.

 

La CNIL française a bondi de sa chaise en voyant ça, et a proposé le mécanisme suivant :

CNIL-sanctions

Ce mécanisme permettait à n’importe quelle autorité de contrôle de sanctionner les entreprises sur son territoire, quelle que soit la décision de l’autorité de contrôle compétente pour l’ensemble de l’UE (autorité chef de file).

 

L’Irlande a bondi de sa chaise, ainsi que la Commission Européenne.

L’Irlande on sait pourquoi, tandis que la Commission tient au principe du one-stop-shop (une autorité chef de file pour l’ensemble de l’Europe) pour faciliter la vie des entreprises.

 

Soit, la CNIL a pris acte, et a fait montre du génie légistique caractéristique de la France pour imaginer un mécanisme de désignation de l’autorité chef de file :

Irlande-3

Je n’essaie même pas de vous expliquer le processus, mais au bout d’un an de tractation et de réunions/avis divers, la procédure pouvait aboutir à un constat de blocage. Fin de la discussion, chacun rentre chez soi, et les GAFA sont tranquilles.

Inutile de souligner que la plupart des pays n’ont même pas compris la proposition française (qui n’était accompagnée d’aucun schéma explicatif)…

 

Voilà, on en est là. Ca discute depuis plus de 8 mois sur le sujet des chefs de file.

 

Et me direz-vous, à quand un one-stop-shop pour le citoyen ?

Encore faudrait-il qu’on se soucie du citoyen dans ces discussions…