Blog

Accueil

Archives
Février 2021
Mai 2018
Octobre 2017
Mars 2017
Décembre 2016
Septembre 2014
Août 2013
Mai 2013
Avril 2013
Mars 2013
Décembre 2012
Novembre 2012
Octobre 2012
Septembre 2012
Août 2012
Juillet 2012
Juin 2012
Mai 2012
Avril 2012
Mars 2012
Janvier 2012
Décembre 2011

Beaucoup de flou autour du RGPD

25/05/2018 à 13h20 Yywyn

Aujourd'hui, 25 mai 2018, un règlement européen concernant la protection des données personnelles (RGPD) entre en vigueur. L'association Zyzomis ne peut que se réjouir du renforcement du contrôle des données personnelles par les utilisateurs.

Acteurs du web depuis 20 ans, nous avons pu observer de nombreuses pratiques douteuses dans notre vie professionnelle et nous avons toujours refusé de considérer les gens et leurs informations comme une marchandise. Ainsi, nous avons toujours appliqué une éthique au moins égale, ou sinon supérieure au RGPD dans notre vie associative, bien avant l'existence de celui-ci. Les clients qui ont sollicité Zyzomis pour la réalisation de leur site internet ont toujours été accompagnés pour agir en conformité avec la loi lorsqu'ils devaient utiliser des données personnelles, comme un fichier de prospection par exemple.

Le but du RGPD est de renouer une relation de confiance entre utilisateurs et entreprises du web. En ce qui nous concerne, nous avons toujours appliqué l'adage : "ne fais pas aux autres ce que tu ne veux pas qu'on te fasse". Et cela commence par le respect de la vie privée de chacun : on interdit aux joueurs d'utiliser leur nom réel ou d'indiquer publiquement leur lieu de vie, on interdit les photos réelles en guise d'avatar, on ne tient pas de "liste de fratrie" comme dans certains jeux où il faut déclarer les personnes partageant la connexion, même temporairement si on reçoit un invité, pour avoir la permission des administrateurs... ce qui est selon nous une atteinte à la vie privée.

Sur Dragonium, la collecte de données est minimale, on se contente de votre adresse e-mail. Le principe de "minimisation" est d'ailleurs recommandé par la Commission Nationale Informatique et Libertés (CNIL). Cette adresse permet d'authentifier votre compte. Depuis toujours, les utilisateurs peuvent exercer leur droit d'accès aux données les concernant sur simple demande par e-mail depuis l'adresse liée au compte concerné et nous leur communiquons ces informations de manière claire et lisible. C'est ce que préconise le RGPD et on ne l'a pas attendu pour le faire. On utilise également les adresses IP pour éviter la triche entre personnages ou le vol de compte. En cas de piratage, l'impact sera donc modéré puisque nous n'avons pas de données sensibles (nom, adresse postale, numéro de carte bancaire, données de santé ou politiques par exemple).

Le RGPD insiste sur une clarification des conditions d'utilisation à destination des enfants. Nous avons déjà introduit une petite synthèse de chaque article des CGU du jeu et nous avons ajouté une mention supplémentaire près de la case à cocher, ou une fenêtre de confirmation pour s'assurer que même si l'utilisateur n'a pas tout lu (car qui a vraiment tout lu, à part celui qui les a écrites ?), il est averti de ses droits et obligations.

Mais jusqu'où faut-il aller pour respecter la loi ?

Avec le RGPD, les mineurs doivent avoir le consentement de leurs parents pour créer un compte quelque part. On ne sait pas si la simple case à cocher est suffisante, ou sinon, quelles mesures sont recommandées par le législateur. Ce qui donne l'occasion de faire du zèle plus ou moins honnêtement, au nom de la nouvelle loi ! Microsoft, par exemple, a exigé que tous les comptes de mineurs soient validés par un compte de majeur et nous avons été bien embêtés car le compte Skype dragonium_rpg a pour date de naissance la date d'ouverture de Dragonium, soit un âge de 5 ans. Il y a peu, ce compte a été bloqué subitement sans préavis et nous avons dû créer un compte "adulte" bidon et payer 50 centimes par carte bancaire pour le valider immédiatement, car seul un adulte peut avoir une carte bancaire, et d'après le fonctionnement de Microsoft, un compte enfant ne peut pas avoir comme e-mail celui de ses parents. Il faut que les parents aient un deuxième compte séparé. Nous avons pourtant souvent rencontré des enfants qui se sont inscrits à Dragonium avec l'e-mail de leurs parents car ils n'en possédaient pas eux-mêmes.

Microsoft disait bien qu'on pouvait également valider le compte "adulte" en envoyant une copie de sa pièce d'identité mais laissait sous-entendre que cela prenait beaucoup de temps, face à l'afflux de demandes. Alors ? Payer tout de suite ou être bloqué pendant plusieurs jours ? On a payé, mais ce procédé est malhonnête car Microsoft (qui va curieusement dégager un joli bénéfice à ce trimestre, parions-le) ne permet pas d'affecter la somme payée à du crédit Skype (c'est pourtant le seul usage que nous avons sur ce compte) et précise bien que ces 50 centimes ne seront pas remboursés.

D'ailleurs, quand on doit justifier de son identité en envoyant une copie de sa pièce d'identité comme le demande Microsoft (et comme l'imposait la loi Informatique et Libertés pour se voir communiquer ses données personnelles avant le RGPD), est-ce que ce n'est pas considéré comme une communication volontaire de données personnelles ? La carte d'identité, outre le nom, le sexe et la date de naissance, contient la taille et l'adresse postale de son titulaire. Le passeport contient également la couleur des yeux. Alors puisqu'on envoie de façon volontaire ces données, rien n'interdit Microsoft ou d'autres d'utiliser l'adresse postale pour du marketing ou de la revendre, alors qu'on ne l'a enregistrée soi-même nulle part sur le site en question.

Quand on sait que Facebook a développé un algorithme de reconnaissance faciale, la photo du document d'identité va-t-elle permettre, à notre insu, d'établir une "valeur étalon" morphologique pour chaque utilisateur ? Va-t-on enregistrer la couleur de peau en se basant sur la photographie ou en déduire une ethnie en se basant sur les critères physiques du visage ? Ou plus insidieux encore, va-t-on le déduire sans l'enregistrer, en recalculant à chaque fois donc sans laisser de trace, simplement en appliquant un algorithme sur la photo d'identité qui sera enregistrée dans le dossier de l'utilisateur ?
La taille va-t-elle permettre de déterminer le profil d'une personne ? Exemple : les femmes "hors norme" de moins d'un mètre cinquante ou de plus d'un mètre quatre-vingts peuvent avoir des difficultés sociales, ce sont des proies parfaites pour des publicités ciblées : le nouveau site communautaire ou de rencontre pour grands ou pour petits. Les yeux bleus ou marron peuvent permettre d'affiner le critère de reconnaissance faciale, ou encore, par statistiques, affiner le ciblage : yeux clairs = souvent peau claire = sensibilité = pub pour des produits de beauté à l'index de protection élevé. En somme, l'entité a-t-elle le droit d'exploiter (et revendre) les données contenues sur notre pièce d'identité, requise uniquement pour justifier de son identité ?

D'autre part, en voulant trop bien faire, le législateur a créé de nombreuses zones de flou. Le RGPD stipule que tout utilisateur peut obtenir la communication de ses données personnelles. Les questions qui se posent sont : qu'est-ce qu'une donnée personnelle ? et où s'arrête la limite entre droit des uns et droit des autres ?
• Concrètement, sur Dragonium, est-ce que les propos que l'utilisateur a tenus sur le chat sont des données personnelles ? Publiquement ? Et en chuchotement ? Y compris les chuchotements qu'il a reçus ?
• Est-ce que les messages privés envoyés entre deux utilisateurs sont des données personnelles ? Du moins, les messages qu'un utilisateur a envoyés. Mais quid des messages qu'il a reçus et qui n'émanent donc pas de lui ?
• Est-ce que les propos d'autres personnes qui parlent de cet utilisateur sont des données personnelles de celui-ci et doivent lui être communiquées, ou bien cela relève-t-il de la sphère privée ? (secret de la correspondance)
• Si les messages privés entre deux utilisateurs relèvent du secret de la correspondance, qu'en est-il des messages sur une partie privée du forum ? (réservée à l'administration, par exemple)
• De ce fait, qu'en est-il si ces autres personnes font partie de l'équipe du jeu et parlent de l'utilisateur au sujet d'un comportement litigieux ou du choix d'une sanction par message privé ou sur le forum ? Notez que l'on peut facilement faire une recherche sur le pseudo du personnage pour isoler ces messages, l'informatique permettant de rechercher une chaîne (un nom, par exemple) dans un texte.
• Et si la discussion fait état d'une enquête interne en cours sur l'utilisateur parce qu'il a commis des actes supposément litigieux mais que l'on est encore en train de chercher les preuves ? Faut-il le mettre au courant en lui communiquant ces données avant la fin de l'enquête s'il les demande, au risque de tout compromettre ? Nous avons eu le cas il y a quelques semaines, ce qui a conduit au bannissement d'une petite dizaine de comptes pour avoir, entre autres, approché une joueuse mineure.
• Si cette discussion traite d'un groupe de personnes, faut-il transmettre les messages contenant le pseudo de cet utilisateur en caviardant celui des autres ? Cela devient plus compliqué, techniquement, car ça nécessite une vérification humaine pour savoir ce que l'on doit masquer.
• Et si, dans cette conversation, il est fait référence à cet utilisateur mais sans le citer nommément, cela constitue-t-il une donnée personnelle ? Là, seul un traitement humain permet de savoir, dans le fil de la discussion, si un message parle de quelqu'un ou pas, ce qui représente un travail colossal puisqu'il faudrait relire tous les messages du forum pour, dans le contexte, vérifier si l'on parle de l'utilisateur de façon indirecte.
• Et si l'on parle d'un utilisateur en faisant une faute à son nom ? ("Zizomis" au lieu de Zyzomis) Ou si l'on parle d'un utilisateur en utilisant un surnom ? ("Le drow" ou "Wywyn" au lieu de Yywyn)... L'informatique ne permettra pas de trouver le message incriminé puisqu'il ne contiendra pas exactement le texte recherché. Faut-il encore un relecteur humain ?
• Et que faire face à ceux qui vont, exprès, solliciter un envoi de leurs données plusieurs fois par semaine, dans le cas où la génération de celles-ci est déclenchée par un humain ? La loi n'impose pas de délai entre deux demandes, ce qui peut vite tourner au cauchemar.

Vous voyez que l'on peut aller loin pour chercher la petite bête, mais si l'on veut respecter la loi, ce sont des situations qui ne peuvent rester sans réponse. Zyzomis va donc officiellement contacter la CNIL dans les prochaines semaines pour poser ces questions et obtenir des réponses claires, car nous estimons que ces imprécisions vont nuire non pas aux GAFAM (le RGPD a été créé essentiellement pour leur constituer un garde-fou, à la base), puisqu'ils ont des bardées d'avocats qui auront tôt fait de trouver une parade à cette loi, mais plutôt aux petites structures comme notre association, qui veulent bien faire mais qui n'ont pas les moyens humains pour avoir, dans notre cas, un bénévole relecteur occupé à lire les quelque 23000 messages du forum.

Si vous souhaitez en savoir plus sur le RGPD, vous pouvez consulter la page dédiée sur le site de l'Union Européenne.

2 commentaires :