#rgpd

  • Affaire DisinfoLab : quelles retombées potentielles sur la recherche publique et la science ouverte ? – – S.I.Lex –
    https://scinfolex.com/2018/08/21/affaire-disinfolab-quelles-retombees-potentielles-sur-la-recherche-publiq
    https://scinfolex.files.wordpress.com/2018/08/disinfo.jpg

    Le début du mois d’août a été marqué par l’affaire Disinfolab qui a mis un violent coup de projecteur sur la question de la réutilisation des données issues des réseaux sociaux à des fins de recherche. S’inscrivant dans le contexte explosif de l’affaire Benalla, elle a fait naître une bruyante polémique, pas forcément propice au développement d’une analyse juridique rigoureuse des différentes questions qu’elles soulèvent. Maintenant qu’un peu de temps est passé, il paraît intéressant de se replonger dans cette affaire qui constitue un véritable cas d’école pour l’application du nouveau cadre de la protection des données personnelles issu du RGPD. La CNIL ayant été saisie suite au dépôt de nombreuses plaintes, il sera extrêmement intéressant de regarder sa décision, qui va devoir trancher beaucoup de points épineux.

    Par ailleurs, l’affaire Disinfolab soulève aussi des questions vis-à-vis de la Science Ouverte. La personne à l’origine de l’étude – le doctorant Nicolas Vanderbiest – justifie le choix de publier les fichiers problématiques en ligne par un souci de transparence pour permettre à des tiers de vérifier les résultats par l’accès aux données source. C’est typiquement ce que prône l’idée d’ouverture des données de la recherche, promue notamment par le Plan national pour la Science Ouverte publié par le Ministère de l’Enseignement et de la Recherche en juillet dernier. Plus encore, l’ouverture des données de recherche est même une obligation légale à laquelle les équipes de recherche sont désormais soumises, comme l’a montré un rapport récent de la BSN. Mais l’exigence d’accès aux données est à concilier avec l’impératif de protection des données personnelles et l’obligation d’ouverture ne concerne pas ces informations. Il n’en reste pas moins que si les principes sont relativement clairs, les chercheurs vont se retrouver pris entre des injonctions contradictoires qui peuvent être assez redoutables à concilier, surtout dans le contexte tendu d’une affaire médiatisée comme celle-ci.

    C’est la raison pour laquelle il me semble intéressant d’examiner les principales questions juridiques soulevées par cette affaire, sans l’ambition d’en faire le tour mais en essayant de faire ressortir les enjeux qui seront sans doute au coeur de la décision à venir de la CNIL

    #RGPD #Données_personnelles #Desinfolab

    https://seenthis.net/messages/716446 via Articles repérés par Hervé Le Crosnier


  • #RGPD : la #Quadrature au carré
    https://framablog.org/2018/04/20/rgpd-la-quadrature-au-carre

    Le 16 avril dernier, la Quadrature du Net a lancé un appel inédit en France pour une action de groupe contre les #GAFAM. Cette action s’appuiera sur l’application prochaine du Règlement général sur la protection des données (RGPD). Sans attendre … Lire la suite­­

    #Dégooglisons_Internet #Droits_numériques #G.A.F.A.M. #Internet_et_société #Libertés_Numériques #ActionDeGroupe #Facebook


  • Richard Stallman, le RGPD et les deux faces du consentement – – S.I.Lex –
    https://scinfolex.com/2018/04/05/richard-stallman-le-rgpd-et-les-deux-faces-du-consentement
    https://scinfolex.files.wordpress.com/2018/04/800px-richard_stallman_by_anders_brenna_01.jpg

    Par Lionel Maurel

    La question que l’on peut se poser est de savoir si le principe de protection par défaut du RGPD (privacy by default) va aussi loin que l’interdiction par défaut que Stallman propose. Il dit bien qu’un système n’aurait le droit de collecter des données que si ces dernières sont strictement nécessaires à l’accomplissement de ses fonctionnalités. Est-ce que le RGPD de ce point de vue va interdire à la RATP d’identifier les utilisateurs des transports à Paris au motif qu’il y aurait une façon pour le passe Navigo de fonctionner tout en garantissant l’anonymat des personnes ? Le RGPD ne va sans doute pas aussi loin, car il n’emploie pas la notion de finalité exactement de cette manière. Le texte dit qu’un traitement réalisé sans finalité précise est illicite, alors que Stallman propose que la finalité d’un traitement soit en elle-même déclarée illicite s’il y a moyen de faire fonctionner un système sans collecter de données personnelles, ce qui n’est pas la même chose.

    Néanmoins, il semble que le RGPD ne soit pas complètement fermé non plus à une telle interprétation et il n’est pas impossible qu’un service comme celui de la RATP doive revoir en profondeur ses principes de collecte et de traitement de données pour se mettre en conformité avec le RGPD. Mais c’est surtout la jurisprudence à venir qui sera déterminante, car c’est elle qui va fixer la portée exacte de principes comme celui de la protection par défaut des données (privacy by default). D’où l’importance des recours qui vont être lancés dans les premiers temps de l’application du texte, notamment les nouveaux recours collectifs, qui nous permettront de savoir si Stallman avait raison dans sa critique du RGPD ou si cette réglementation s’approchait au contraire de sa vision.

    Néanmoins, on ne peut pas réduire le consentement à cette seule dimension « subjective » étant donné que la notion comporte aussi une face « objective », qui paraît bien plus intéressante en termes de protection des données. Dans cette conception, au lieu de donner à l’individu le pouvoir de fragiliser ses propres droits à travers son consentement, on va au contraire fixer des règles établissant qu’un consentement ne peut être valablement donné s’il a pour effet d’aboutir à une telle fragilisation des droits. C’est ce que permet la manière dont le consentement est défini dans le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

    Ce caractère « libre, spécifique, éclairé et univoque » du consentement constitue autant de critères « objectifs » qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir au contraire ce à quoi il ne peut pas consentir.

    Le G29 a fixé des lignes directrices pour l’interprétation de la notion de consentement dans le RGPD qui vont encore renforcer cette dimension « objective ». Les autorités de régulation européennes considèrent notamment que pour être véritablement libre, le consentement doit être « inconditionné« , c’est-à-dire que la personne doit avoir un véritable choix et que l’absence de consentement ne doit pas avoir de conséquences négatives pour elle. Cela va mettre fin à ce que l’on peut appeler le « chantage au service » qui reste la règle dans l’environnement numérique, vu que les plateformes nous placent généralement face au choix d’accepter telles quelles leurs conditions d’utilisation ou de renoncer au service qu’elles proposent.

    Mais tout ceci ne vaut que dans une conception « subjectiviste » du consentement, alors que le RGPD va accentuer au contraire la dimension « objective » de la notion. Or il existe une chance que le mode de fonctionnement de plateformes comme Facebook soient déclarées par les tribunaux « structurellement » incompatibles avec l’exigence du recueil d’un consentement libre et éclairé. Si cette lecture l’emporte dans la jurisprudence, alors le souhait de Stallman serait exaucé, car cela revient à dire que nous serons en mesure « d’arrêter la surveillance avant même qu’elle ne vienne demander le consentement » ou plutôt que les plateformes dont le modèle économique est intrinsèquement basé sur la surveillance ne seraient plus en mesure de demander un consentement valide. Comme le capitalisme de surveillance repose tout entier sur la « servitude volontaire » des individus, cela revient à dire que le RGPD aurait le potentiel de détruire purement et simplement ce modèle.

    Bien évidemment, les grands acteurs du numérique (mais aussi sans doute les États…) vont tout faire pour empêcher que cette lecture s’impose dans la jurisprudence. C’est la raison aussi pour laquelle ils manoeuvrent déjà dans le règlement ePrivacy pour faire en sorte que certains types de traitements (géolocalisation, profilage) échappent à l’obligation de recueillir le consentement des individus. Et le RGPD comporte lui-même de nombreuses failles qu’ils pourront essayer de faire jouer, notamment en invoquant d’autres fondements comme l’intérêt légitime ou l’exécution d’un contrat pour se passer du consentement individuel (mais surtout se protéger de son redoutable versant « objectif »).

    #RGPD #Consentement #Vie_privée

    https://seenthis.net/messages/683229 via Articles repérés par Hervé Le Crosnier


  • Home Office plans to deny immigrants access to data ’are illegal’
    https://www.theguardian.com/technology/2018/mar/05/home-office-immigration-data-access-eu-citizens-data-protection-bill

    Digital rights campaigners threaten legal action if data protection bill clause is enacted Plans to deny millions of people the right to access immigration data held on them by the Home Office are illegal and will be challenged in court, the government has been told. Organisations representing up to 3 million EU citizens living in the UK and digital rights activists have written to the home secretary, Amber Rudd, giving notice that they will take legal action if a clause in the data (...)

    #RGPD #données_ #discrimination #OpenRightsGroup

    https://seenthis.net/messages/674097 via etraces