• # Organisations plutĂ´t qu'entreprises

    Posté par  . Évalué à 4 (+3/-0).

    Ça s'applique aussi aux organismes publiques.

    D'ailleurs dans la nature, je n'ai eu vent de l'utilisation de ce genre d'outil que pour un des services du premier ministre il y a 15 ans.

  • # On est pas sorti de l'auberge

    Posté par  (site web personnel) . Évalué à 5 (+2/-0).

    Franchement, la CNIL a oublié un truc assez important sur ce coup la.

    Le RGPD a été promulgué pour harmoniser la législation sur la vie privée en Europe, et donc, dans le chapitre VII, ça parle de la cohérence entre les différents DPAs (Data Protection Autority, Autorité de protection des données en français). En gros, ce qu'une DPA décide s'applique aux autres, et si il y a différence, il faut se mettre d'accord avec le reste, voir passer devant la Cour de Justice (CJUE).

    La CNIL dit au paragraphe 4 qu'on peut décider de mettre un proxy sous la base de l'article 6, mais omets de préciser que ça tombe aussi très probablement sous le coup de l'article 9, et c'est un assez gros souci, car il faut une condition sous l'article 6 et 9 pour autoriser le traitement.

    Et on va me dire "mais pourquoi l'article 9, une url avec une date (et une IP) ne rentre pas dans les cas listés" ?

    Alors primo, une IP, si on peut relier ça à quelqu'un (et j'ose croire qu'on peut dans une entreprise), c'est une information personnelle, c'est pour ça que la CNIL en parle.

    Mais pourquoi l'article 9 ?

    Pour ça, il faut justement que je pointe un jugement de la CJUE, et une décision en Norvège. Pour la CJUE, il faut comprendre l'étendu de l'article 9 de façon large depuis l'affaire C-184/20. Ce que dit le jugement, c'est que dire "Elton John est gay" tombe sous l'article 9, mais "Elton John est marié à David Furnish" aussi.

    Ce qui est protégé par l'article 9 n'est pas que l'information précise (exemple, l'orientation sexuelle), mais aussi ce qu'on peut utiliser pour la déduire (exemple, "Jeanne et Marie sont mariées"), même si on peut pas déduire précisément l'orientation sexuelle (parce que les discriminations ne s'arrêtent pas devant l'exquise subtilité des labels contemporains sur l'orientation sexuelle), et même si on ne parle pas d'une orientation sexuelle minoritaire (parce que ça serait de la discrimination de donner des droits en moins pour les hétéros, en plus d'être contre productif vis à vis de la protection).

    Et d'ailleurs la CNIL est au courant du jugement en question vu qu'elle en parle dans un arrĂŞt de 2024.

    Mais ça s'applique aussi au domaine de la santé (également une donnée sensible), comme la même CJUE l'a décidé dans l'affaire C-21/23 en 2023. Savoir qu'une personne achète des médicaments sur le diabète, c'est une donnée de santé, même si c'est pour quelqu'un d'autre de temps en temps.

    La DPA de Norvége, suite à une plainte de NOYB, a mis Grindr à l'amende entre autre pour la vente de pub, car vu qu'il s'agit d'une application visant principalement les mecs gays/bis (comme tant d'autres), et donc savoir que quelqu'un a un compte dessus tombe sous le coup de l'article 9. L'amende est tombé en 2021, et a été confirmée en 2024 par la justice norvégienne. Je ne crois pas que Grindr a fait appel, donc c'est assez définitif.

    Ou est ce que je veux en venir ?

    La CNIL parle des logs, mais suivant ce qui est logué, on peut se retrouver avec des données couvertes par l'article 9.

    Par exemple, si un-e salarié-e va sur Grindr, par le mécanisme de cohérence que j'ai pointé et en appliquant les jugements que j'ai pointé, savoir quel machine qu'on peut relier à l’existence d'un compte utilisateur qui a été sur Grindr (vu que le proxy logue l'info, et quand on a 250 lignes, c'est assez clair que c'était pas une erreur), ça serait un traitement qui tombe sous l'article 9. Alors on peut dire qu'on ne devrait pas se connecter au travail sur Grindr ou un site de rencontre et qu'il y a les séminaires d'entreprises pour choper. Mais d'une part, ça n'est pas spécialement interdit (voir ce cas en 2013 d'une salarié qui s'est fait viré pour connexion excessive en 2009, mais dont le licenciement a été retoqué par la Cour de cassation en 2013, insistant sur le coté excessif nuisant au travail non démontré, car je rappelle qu'on a droit à des pauses), et il y a sans doute des gens qui se font chier royalement et qui le font quand même (genre, le support de niveau 1 qui attends une alerte la nuit).

    Mais pas besoin d'aller sur Grindr, ça marche aussi avec les données de santé. Poser un rdv à l’hôpital sur sa pause de travail, c'est légal pour les salariés, mais si le proxy enregistre l'info, c'est un problème pour l'employeur. Ça marche aussi avec le fait de faire parti d'un syndicat. Par exemple, aller sur le Nextcloud de son syndicat pour sauvegarder la capture d'écran d'une dinguerie de ta hiérarchie pour porter plainte, c'est légal, mais loguer l'information revient à traiter que quelqu'un est probablement membre du dit syndicat, ça serait un souci pour l'employeur. Et ça marche aussi avec les églises mais j'ai pas d'exemple.

    Donc pour traiter des infos couvertes par l'article 9, il faut une raison qui tombe dans les exceptions de l'article 9.2.

    Spoiler, sans doute aucune ne s'applique. De "c" à "j", ça va pas s'appliquer à la plupart des employeurs dans le cadre d'un proxy.

    L'exception "b", c'est pour le traitement des données par les RHs et c'est dur à relier ce cas aux logs d'un proxy. Et l'exception "a", ça va quand même être difficile de mettre un proxy obligatoire et de venir parler de consentement libre et éclairé quand on peut pas dire "non".

    Et du coup, c'est assez vite super chaud quand tu enregistres les flux des salariés. Pas parce que le réchauffement climatique est la, pas parce le RGPD peut coûter cher en Europe, mais parce ça peut envoyer en tôle en France par la magie de l'article 226-19 qui reprends presque à l'identique les critères de l'article 9 du RGPD en rajoutant l'identité de genre.

    Et bien sûr, comme y a de la prison possible, il y a l'article 40: "aller direct à la case procureur de la république, ne passez pas par la case de la CNIL".

    Mais tout ça, la CNIL a complètement oublié de le noter dans son document et le mot "sensible" est écrit une seule fois. Pourtant, c'est quand même pas trop dur de penser à des risques d'abus, c'est un peu leur boulot.

    Et si j’étais taquin, je dirais que même sans proxy, on peut avoir des soucis avec des logs DNS. Par exemple, une entreprise mets un wifi invité, les invités connectent leur tél perso, et "oups, j'ai un log qui dit qu'il y a une résolution de api.grindr.com par le tel d'un invité dans nos locaux qui a donné son email pour avoir l'accès au wifi". Ça serait dommage d'avoir ça dans le casier quand même.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.