L’enquête de la CNIL sur Criteo n’est pas terminée, mais dans une décision préliminaire elle évoque diverses violations du RGPD et propose une amende de 60 millions d’euros. L’entreprise française affirme être en désaccord avec ces conclusions. La décision finale est attendue dans un an environ.
En 2018, l'organisation britannique Privacy International attaquait plusieurs sociétés, dont le Français Criteo, spécialiste du reciblage publicitaire. Début 2020, la CNIL ouvrait officiellement une enquête, qui faisait alors « suite aux enquêtes des autorités irlandaises et britanniques de protection des données ».
La CNIL « propose une amende de 60 millions d’euros »
La Commission nationale de l'informatique et des libertés n’a pas encore rendu son verdict définitif dans cette affaire, mais elle a donné des éléments aux deux protagonistes. Sur Twitter, Privacy International explique que, « près de quatre ans après notre plainte et deux après le début de leur enquête, la CNIL constate des manquements dans les activités de Criteo, et propose une amende de 60 millions d’euros ».
La société française a de son côté publié un communiqué : « Le 3 août 2022, le rapporteur a publié un rapport faisant état de diverses violations du RGPD et incluant une proposition de sanction financière contre Criteo de 60,0 millions d’euros (65,4 millions de dollars) ».
Criteo « fortement en désaccord »
La société ajoute que, dans le cadre de cette procédure de la CNIL, elle peut répondre par écrit aussi bien sur la partie violations du RGPD que sur le montant de la sanction. Sans aucune surprise, Criteo ne s’en privera pas et annonce être « fortement en désaccord avec les conclusions du rapport ». De plus, « les sanctions proposées sont incompatibles avec les actions présumées non conformes », affirme Ryan Damon (directeur juridique de l’entreprise).
La décision finale attendue pour… mi-2023
Il y aura ensuite une audition devant la formation restreinte de la CNIL, qui proposera alors un projet de décision qui sera soumis à consultation. La décision finale est attendue pour mi-2023.
Sur Twitter, Benjamin Bayart (LQDN, Fédération FDN) se réjouit et précise qu’il « était temps ! ». « Ce qui me surprend, c'est le délai délirant, la faiblesse du montant, et que la CNIL ne se soit pas saisie toute seule comme une grande. Criteo est parfaitement identifié depuis des lustres », ajoute-t-il.
Commentaires (53)
#1
Criteo, une entreprise française ?
Dès lors que c’est coté au Nasdaq avec des capitaux US, c’est devenu une entreprise américaine, même si le siège social semble être en France.
https://fr.wikipedia.org/wiki/Criteo
#2
Le siège social donne la nationalité de l’entreprise. Criteo est donc francaise.
#3
Une belle daube française donc.
#4
#5
Marrant, le bloqueur de pubs Crystal sur mon iPad me bloque l’accès à la page.
La citation de « Criteo » semble le géner.
#6
C’est oublier l’extraterritorialité du droit US. Du coup Criteo, comme AXA sont des entreprises plus américaines que françaises. D’ailleurs j’aimerais bien avoir l’avis de l’ancien PDG de Danone quand il s’est fait “virer” par les 4% détenus par les fonds de pensions américains. Du coup danone ? Entreprise française ou US ? Perso, c’est devenu une entreprise US. C’est comme le blanchiment d’argent: tu prends 100€ d’argent propre, tu injectes 1€ d’argent sale et tu as 101 € d’argent sale.
IBM france a son siège social en France. Boite US ou boite française ? Bref le siège social n’est qu’un indicateur parmi d’autres.
#7
C’est aussi oublier l’extraterritorialité du droit français lorsque cela nous arrange. Lors d’une perquisition par exemple, toute donnée accessible depuis le réseau de l’entreprise est “syphonable” pour analyse ultérieure (cf. Uber et son kill switch), y compris si les données sont situées à l’étranger.
Et bizarement, dans le cas d’Uber, ça pose problème (de ne pas pouvoir accéder aux données), mais quand c’était Microsoft qui protégeait l’accès à des e-mails stockées en Irlande face au FBI, le discours était tout autre…
Les deux positions se défendent. J’ai un avis et honnêtement, il n’importe pas ici (cela n’apporterait rien au débat). Mais par contre, il faut être cohérent :
#8
C’est aussi oublier l’extraterritorialité du droit français ….
Je voulais dire du droit US ;-)
#8.1
Af flute !!
Pas encore très habitué au forum Nextinpact ;-)
L’extraterritorialité du droit français faut le dire vite !!! Hormis le RGPD (réglementation européenne) quelle est la règle du droit français qui s’applique aux USA ?
#8.2
Je l’ai pourtant précisé ;) En cas de perquisition d’un local en France, les données stockées aux USA et accessible depuis les locaux perquisitionnés font parties des informations qui peuvent être récupérées lors de le perquisition.
#8.3
Sauf si tu as un kill switch !
#8.4
Je sais, je l’ai même mentionné dans un autre commentaire
#9
Ce qui est tout à fait normal dans un Etat de droits.
#10
La lutte contre la corruption et le trafic d’influence. Cf. Article 435-6-2.
#11
Eh bien nous allons mettre à jour notre site, avec une joie peu feinte
#12
Attention, il ne s’agit ici que de l’avis du rapporteur. Il faut attendre la décision finale de la CNIL.
Mais je comprends la joie.
#13
Dommage que la loi limite à 4% du chiffre d’affaires…
#13.1
4% du CA, c’est pas 4% du bénéfice. Une entreprise peut être condamnée à une amende malgré des pertes.
Et pour information, c’est 4% du CA mondial, pas du CA en France. Donc ça peut faire très mal…
#13.2
Oui, j’ai bien parlé du CA, pas du bénéfice.
#13.3
Alors 4% du CA c’est déjà énorme, et tu voudrais plus ? En gros, ton objectif, c’est couler la boite quoi…
#13.4
Oui, je ne viendrai pas pleurer pas les boîtes qui ont ce genre de business, surtout quand elles ne respectent pas les règles.
#14
Comme dit Benjamin Bayart, et compte tenu de l’activité de la boite, le montant est étonnant. J’image qu’il doit manquer 1 ou 2 zéros.
#15
“Jusqu’à 4% du CA”
Il ne faut pas oublier que la Justice réfléchit à la peine, ce n’est pas un simple algo. Comme dit, la CNIL a pris en compte les efforts de Critéo.
Et vu les délais Critéo devait faire parti du premier lot. Pour mémoire je crois que la CNIL a/avait recruté +1 agent pour faire face à la nouvelle charge de travail de la GDPR…
#16
On verra si Critéo se met en conformité, ce qui me semble difficile vu son activité incompatible avec le RGPD, ou change de business. Si elle continue à peu près comme d’habitude, ce à quoi je m’attends, c’est que ces sanctions ne sont pas dissuasives et sont perçues par ce genre d’entreprise simplement comme un coût de fonctionnement dans un business qui reste malgré tout rentable.
#16.1
perçues par ce genre d’entreprise simplement comme un coût
de fonctionnement dans un business
il est là..le problème !!!
≠ très grosses amendes
#17
a priori 2,2Milliards de CA en 2021, ca va les 60millions je pense qu’ils s’en foutent un peu
Se mettre en conformité tuerait leur business, c’est le genre d’entreprise qui continuera forcément
#17.1
Non, ils ne s’en foutent pas un peu, car ce qui compte, c’est de comparer le montant de l’amende par rapport aux bénéfices, pas par rapport au CA. Les bénéfices en 2021 sont de 134 millions de dollars. L’amende est de 60 millions d’euros. Presque la moitié du bénef, c’est loin d’être rien.
Quant à la faiblesse du montant reproché par certains, on n’est pourtant pas très loin du maximum autorisé (qui serait dans les 80 millions d’€).
#17.2
Ca reste donc rentable. C’est sûr que ça l’est moins que s’il n’y avait pas l’amende, mais ça reste bien plus rentable que mettre la clé sous la porte en se mettant en conformité.
Le RGPD a juridiquement tué la pub ciblée, point. Ces boîtes ne peuvent que le violer ou cesser d’exister, car en se mettant en conformité notamment côté recueil de consentement VALIDE (donc sans dark pattern, véritablement éclairé, etc) 95% des utilisateurs ne donneront pas leur accord et elles n’auront donc quasi plus aucunes données à vendre.
#17.3
une amende c’est une provision, déductible de ton bénef et non imposable
ils ne perdent pas 60m de benefice
que ce soit proche du maximum possible est une chose, c’est ce maximum qui est faible
#17.4
Non. Une amende n’est pas une provision et est imposable.
Résultat des courses : 60 millions d’amende = 60 millions de perte de bénéfice. Que le montant de l’amende ait été prévisionné ou non ne change rien, cela ne fait qu’étaler cette perte de bénéfice.
4% du CA mondial, c’est loin d’être négligeable, pour une amende à portée européenne. Si on rapporte cela aux bénéfices, le montant de l’amende est supérieur aux bénéfices réalisés en Europe. Mais vous avez raison, ce “n’est rien et pas suffisant”.
Je ne porte pas spécialement les entreprises comme Criteo dans mon coeur, mais il faut arrêter de dire que ce n’est pas suffisant. Tant qu’une amende ne permettra pas de couler une boite pour certains, cela ne sera pas suffisant…
#17.5
exact j’étais persuadé, donc ils payent des impots dessus, soit, on va dire tant mieux…S’ils payaient a fond leurs impots. Peut etre que oui mais c’est pas rare de profiter de la portée internationale pour étaler les bénéfices ou ca arrange la boite
je ne parle pas de couler l’entreprise, mais j’ai travaillé dans suffisamment de grandes entreprises pour savoir que oui, 60m pour criteo c’est rien. Après, on peut pas faire plus, c’est la législation qui compte, donc mieux vaut 60m que rien du tout
Pour les marchés, c’est plus une question de confiance, de publicité, de perspective future sur ce qu’ils auront le droit ou non de faire qui importera. Les amendes c’est secondaire, l’important c’est la condamnation
Je n’argumente pas contre Criteo en particulier, même si je ne suis pas fan de ce type d’entreprise. C’est juste logique de ne pas trouver l’amende dissuasive. Ce qui doit être dissuasif c’est la suite : la possibilité d’autres amendes, la limitation de leur travail, avoir des inspections sur le dos régulièrement
#18
Non, rien n’indique que la mise en conformité provoquerait la mise sous la porte et couterait plus cher que l’amende.
Absolument pas. Le RGPD a mis un terme à la jungle où chacun faisait ce qu’il voulait. Le RGPD n’a pas pour but de tuer le business des entreprises, mais de cadrer les choses, notamment :
Il est dommage que nous n’ayons pas le rapport préliminaire de la CNIL, cela permettrait d’y voir beaucoup plus clair. On ne peut que se baser sur les éléments fournis par Privacy Internal sur tweeter. Si on les reprends :
Etonnamment, Privacy International ne semble pas, dans ses griefs, mentionner l’absence du droit à l’opposition.
En bref, le RGPD n’a pas tué la publicité ciblée. Elle a tué le tracking en douce sans information à l’utilisateur.
Et du point de vue des dégâts sur la publicité ciblée, plus que le RGPD, je pense que les navigateurs et les adblockers ont fait plus de mal encore à ce secteur en ajoutant jour après jours des mécanismes de protection de la vie privée.
#18.1
PS : L’intérêt légitime est une hérésie fourre-tout invoquée n’importe comment par les entreprises, le parlement européen lui-même s’en inquiète. Cette base légale ne peut pas être invoquée par un annonceur pour faire de la pub ciblée, elle ne sert pas ça.
Elle pourrait éventuellement l’être si le service “consommé” par l’utilisateur était directement le fait de recevoir de la pub ciblée, ce qui n’est jamais le cas : la pub ciblée et les annonceurs s’immiscent en arrière plan lors de la fourniture d’autres services (réseau social, site d’actualités, site de cuisine, boutique en ligne…), ce n’est jamais le service principal fourni à un utilisateur (normal, le client de l’annonceur n’est pas l’utilisateur mais l’entreprise qui cherche à cibler l’utilisateur pour lui montrer des pubs).
#19
Sans consentement valide de l’utilisateur, grosse nuance, l’information n’est pas du tout suffisante, on est plus en pré 2018 avec les bandeaux “ce site utilise des cookies, en poursuivant votre navigation vous l’acceptez”. Le RGPD exige que le consentement de l’utilisateur soit recueilli, et que ce consentement soit :
Or, surprise, quand tu demandes à l’utilisateur si tu peux le tracer, et que cette demande est claire, simple et n’essaie pas de forcer sa main, l’énorme majorité des gens refuse. C’est bien pour ça que les gens se plaignent des pop-ups cookies actuelles, car elles sont envahissantes, font du chantage, tentent de forcer la main à coup de dark pattern.
Les annonceurs ne veulent pas te demander ton consentement, ils veulent que tu le donnes : ici encore, grosse nuance. Ils savent très bien que s’ils demandent simplement et honnêtement la plupart des gens va refuser et ils vont donc mourrir. C’est pour ça que la plupart des pop-ups cookies violent tout ou partie des 4 critères de validité que j’ai listé plus haut.
Navigateurs qui répondent au besoin des utilisateurs de ne pas être pistés. Et j’ai comme un doute, la plupart des gens étant sur Chrome, qui est à la traîne côté vie privée (normal, c’est Google derrière).
Les bloqueurs, ici encore ça répond au besoin des utilisateurs, qui passent par un bloqueur car ils ne peuvent pas faire confiance aux annonceurs qui s’asseoient sur le RGPD avec leurs pop-ups violant les 4 critères (voire en traçant même si l’utilisateur n’a pas accepté, ça se fait également beaucoup). Si les annonceurs respectaient le RGPD, au lieu d’utiliser un bloqueur ces gens refuseraient la collecte de leurs données via une pop-up conforme au RGPD. Le résultat serait au final le même => les annonceurs ne pourraient pas exploiter les données de ces gens.
D’ailleurs les bloqueurs sont un excellent exemple du fait que les annonceurs veulent te forcer la main : le fait que l’utilisateur ait un tel bloqueur s’apparente à mon sens à un refus de donner son consentement pour être pisté. Mais alors pourquoi existe-t-il un jeu du chat et de la souris permanent entre les annonceurs qui tentent de contourner les blocages (par ex via alias CNAME) et les bloqueurs qui s’adaptent aux contournements ? Parce que les annonceurs veulent pister quand même ces utilisateurs qui manifestent pourtant très clairement le souhait de ne pas l’être :)
#20
Si vous voulez comprendre ce que fait critéo :
https://www.pixeldetracking.com/fr/criteo-geant-marketing-surveillance-francais
https://www.pixeldetracking.com/fr/la-fnac-solde-vos-donnees-personnelles
Donc effectivement ils ont juste à revoir l’intégralité de leur Buisness Model pour se mettre en conformité avec le RGPD dans un marché ultraconcurrentiel dominé par deux des boites les plus riches du monde.
Ou sinon ils ont juste à payer l’amende qui représente la moitié de leur bénéfice sur une année et attendre la prochaine amende dans 4⁄5 ans.
#20.1
Merci pour les liens. Je ne connaissais pas ce site et je trouve qu’il est d’utilité publique.
#21
Enorme amalgame entre un site affichant de la publicité (et recourant à un annonceur) et l’annonceur lui-même. Et le fait que la demande de consentement sur le site X ou Y soit bancal n’est pas la faute de l’annonceur.
Pas besoin. Le droit, ou l’envie, si tu veux, mais ce n’est pas un besoin. Idem pour les bloqueurs
C’est ton interprétation. L’apparition des bloqueurs, ce n’était pas tant pour éviter le pistage, mais plutôt pour accélérer le chargement des pages, notamment celles qui abusaient de la publicité, à une époque où les connexions haut-débits n’étaient pas encore aussi répandu, et sur mobile pour diminuer la consommation de data.
L’origine ne trouve absolument pas son origine contre le tracking, mais contre le confort d’utilisation (chargement plus rapide) et gain (moins de data = facture moins grosse).
Parce qu’ils veulent surtout afficher de la publicité. Une publicité non affiché, c’est une publicité qui aura 0 chance d’être cliquée. Une publicité non traquée sera seulement moins ciblée.
#21.1
Dans le cas de Critéo et autres entreprises du genre le consentement est la seule base légale possible. D’ailleurs c’est la pire des bases légales existantes, tu passes par elle justement quand tu n’as pas de bonne raison légitime d’exploiter les données, ce qui est le cas de ce genre d’entreprise qui ne fournit aucun service aux utilisateurs.
Si si, besoin. Sinon la plupart des concepteurs de navigateurs ne miserait pas autant de marketing sur la vie privée : Ils ont identifié un besoin et y répondent pour que leur produit (le navigateur) se “vende”.
Je te suggère d’aller discuter avec des propriétaires de sites web, le consensus semble être que seule la pub ciblée est suffisamment lucrative pour que le site puisse en vivre. Donc le business de la pub peu ou pas ciblée…
Et non, ces annonceurs ne veulent pas simplement afficher une pub quitte à ce qu’elle soit non-ciblée, ils contournent activement les techniques mises en place pour empêcher le traçage, car c’est sur la data que leur business est fondé, sur le profilage le plus précis possible des gens, pas sur des pubs random non-ciblées qui génèrent quasi aucun clic justement car non-ciblées et donc pas ou peu pertinentes.
Ces entreprises tentent de contourner les bloqueurs non pas pour leur composante anti-pub, mais avant tout pour leur composante anti-traçage.
#22
Au contraire, le consentement, c’est la voie royale, car tu as un accord explicite non sujet à interprétation. L’intérêt légitime, à défaut d’avoir une jurisprudence dessus, est aussi utilisable. C’est une question d’interprétation et c’est d’ailleurs pour cela que les premières décisions de la CNIL à ce sujet vont être très intéressantes (et sans doute qu’elles prennent également autant de temps).
Identifier un besoin (=une demande) et avoir besoin de (=nécessité) c’est très différent. On est bien dans une demande, et non une nécessite. Ta phrase initiale était donc incorrecte. Ce n’est pas pour le plaisir de jouer sur les mots, mais tu jouais sur les nuances tout à l’heure, donc autant être précis jusqu’au bout ;)
Je me souviens d’une époque où pourtant cela marchait très bien. Avec l’apparition des bloqueurs de pub (et donc la diminution des revenus), ils (=les sites) ont cherché à augmenter autrement les revenus… via des publicités ciblées plutôt que de réfléchir à changer leur mode de financement basé exclusivement sur la publicité et d’une manière complètement disproportionnés pour certains d’entre eux.
Résultats des courses : parce que des sites ont eu de mauvaises pratiques, on s’attaque aux régis publicitaires. Le problème n’est pas la régis publicitaire en tant que tel, le problème est ceux (=les sites) qui les utilisent.
Le fonctionnement d’une régie publicitaire peut tout à fait être compatible avec le RGPD. Dire que le RGPD a tué le business de la publicité ciblée est un contre-sens. S’attaquer aux régis en leur reprochant des pratiques qui ne relèvent pas de leur ressort, c’est être à côté de la plaque (j’ai bien dit “des” pratiques et pas “les pratiques”, nuances importantes car il y a bien des griefs tout à fait justifiés à leur encontre)
Sauf que tu oublies un détail (que j’ai pourtant déjà mentionné) : pas de pub affiché = pas de revenus. Tu pourras avoir derrière toutes les données que tu veux sur les utilisateurs, si tu ne peux pas le monétiser derrière, cela ne sert à rien. L’objectif premier, c’est donc bien l’affichage de la publicité.
De très nombreux sites peuvent afficher une publicité ciblée sans traçage car s’adressant à un lectorat particulier.
Le jeu du chat et de la souris sur les mesures techniques de traçage/antitraçage/affichage de pub, etc… c’est parce qu’on a aujourd’hui
Non. cf ci-dessus.
#23
Perso cet extrémisme me désole, alors que je suis très attaché au principe de protection de la vie privée et des données personnelles. La vengeance et la vindicte arbitraire, c’est bien 5 minutes, mais le “et après” il donne quoi ensuite ? Le principe de proportionnalité est là pour une bonne raison, mais j’ai peur que cette notion ne soit de plus en plus attaquée et remise en cause…
#23.1
C’est exactement ça. Et si on y réfléchit 2s, s’attaquer aux régis et non aux sites est contreproductif. Si une régis coule, il y aura toujours les autres (et elles, elles ne seront pas forcément française ou européenne pour leur coller une amende).
Mais tant que les sites ne changeront pas leurs manières, si une régis coule, ils vont simplement… passer à une autre !
#24
Honnêtement, même avec la meilleure volonté du monde, je ne sais pas comment on peut dire cela. 60 millions, dans le cas de Criteo, c’est presque la moitié du bénéfice au niveau mondial, et c’est plus que le bénéfice réalisé au niveau européen. C’est tout ce que l’on veut, sauf rien. 60 millions pour une boite qui faite 60 milliards de bénéfices, oui, c’est rien, je suis d’accord. C’est loin très d’être le cas ici.
Deux choix s’offrent à Critéo :
Comment peut-on trouver que l’amende n’est pas dissuasive ? Car une amende CNIL, c’est pas un laisser passer pour l’avenir. Tant que l’entreprise ne se sera pas mise en conformité, la CNIL pourra revenir et infliger d’autres amendes, et si la société ne fait rien, il n’est pas absurde d’imaginer que le contrôle serait plus rapide et le montant de l’amende atteindre rapidement le maximum en cas de récidive.
Une sanction de la CNIL, c’est au minimum une mise en conformité dans un délai imparti. Il peut y avoir une sanction financière (mais ce n’est pas une obligation) ainsi qu’un devoir d’affichage de la sanction (pour la rendre publique).
#24.1
Tu as surement raison d’un point de vue pécunier mais ca n’est pas ce qui importe a ces entreprises
si tu leur dis “ok vous payez 100% de votre bénéfice sur 3 ans mais après vous faites ce que vous voulez”, elles signent.
Donc en effet c’est la perspective qui est intéressante et les limitations liées à cette amende, pas la somme en elle même. L’argent est secondaire - important, certes, mais secondaire - c’est tout ce que voulais souligner. Mais je pense qu’on se rejoins sur ce point, simplement après c’est une question de perspective sur le poids qu’on accorde a cette amende
#25
Je ne partage absolument pas ton point de vue. Déjà, parce qu’on ne peut pas généraliser sur ce que veulent les entreprises. Et à moins d’être au conseil d’administration d’une de ces entreprises, tu ne peux rien dire. Et si c’est le cas, tu pourras juste le faire pour cette entreprise en particulier.
Ensuite, comme je l’ai dis plus haut, l’amende n’est pas un passe droit. Si l’entreprise ne fait rien, elle peut s’en prendre d’autres après le délai qui lui aura été accordé. Et les délais de la CNIL sont relativement court (quelques mois).
Sans oublier que la CNIL peut mettre une astreinte en cas de non respect, pour un montant maximum de 100 000 € / j de retard (36 millions / an, ce n’est pas rien dans le cas qui nous occupe). Sans oublier non plus qu’en cas de non respect de l’astreinte, tu peux être sûr que la CNIL va réexaminer le dossier (on ne peut pas vraiment dire le rouvrir puisqu’il serait clos uniquement une fois l’injonction respectée). Le non respect d’une injection relève ensuite du pénal (si je ne dis pas de bêtise, si un professionnel du droit pouvait confirmer/infirmer) et peut donc mener à des poursuites judiciaires.
Enfin, et surtout pour une entreprise côté en bourse, avec des actionnaires à qui rendre des comptes, l’argent est tout, sauf secondaire.
#26
@fdorin:
Et que penser de Doctolib ? Perso je suis très remonté, non pas contre Doctolib mais contre les professionnels de santé qui sans le dire explicitement inscrivent les rendez vous sur Doctolib, alors que je n’ai pas de compte chez eux et que je ne souhaite pas en avoir. Avec en plus une circulation en clair de données que je considère comme étant des données de santé. Prendre rendez vous chez son cardiologue est déjà en soit une donnée de santé, surtout quand les rdv vont se répéter.
#26.1
Je viens de voir que Doctolib permet de signer des ordonnances.
Je partage tes craintes
#27
y-a quelque.chose qui tourne pas rond dans tout leur système
d’organisation de la Société !
≠ faut pas couler une boîte
https://linsoumission.fr/2022/07/20/total-renault-zero-impots/
#28
Dans un sens, vous avez raison. Le praticien devrait vous informer des traitements de données, surtout qu’il s’agit de données sensibles (données de santé).
En théorie, Doctolib a mis en place le chiffrement de bout en bout, et donc l’accès aux données ne devrait pas être possible. En pratique, j’ai ouïe dire que certaines données n’étaient pas chiffrées, comme les données de rdv ou de spécialiste consulté.
Et sur ce point, vous avez entièrement raison : une consultation chez un médecin EST une donnée de santé, et devrait donc être protégée.
Maintenant, je n’ai pas creusé les détails de ce dossier. Mais le chiffrement de bout en bout n’est pas une obligation, et n’est pas sans impact sur ce qu’il est possible de faire. Si les données de rdv du médecin étaient chiffrées de bout en bout de même que vos informations personnelles liées à votre compte, il serait très difficile de faire le rapprochement entre les deux…
Et pour que les choses soient claires, je parle bien du chiffrement de bout en bout qui n’est pas obligatoire. Le chiffrement, notamment lors du stockage et de la communication (échange sur le réseau) lui l’est.
#29
Est-on sûr de cela ? Question absolument pas ironique ni sarcastique hein
#29.1
Si le RGPD ne mentionne pas directement le chiffrement en tant que tel (cf. Article 32), il impose la sécurisation des données.
La sécurisation des données se fait en fonction de l’état de l’art. Et aujourd’hui, il en ressort que :
On peut également se référer aux sanctions de la CNIL, où le défaut de chiffrement est plus ou moins régulièrement sanctionné. Et surtout, l’état de l’art évolue. Donc ce qui est sécurisé un jour peut ne plus l’être le lendemain. L’usage de protocoles devenus obsolètes (comme SSL) est donc à proscrire.
Au passage, concernant le chiffrement des données de santé, la CNIL a déjà prononcé des sanctions à l’encontre de 2 médecins pour défaut de chiffrement. Il s’agissait de données de santé avec imagerie (compte rendu, scanner, etc…) donc avec un gros risque pour les patients en cas de fuite.
#29.2
Le soucis est qu’on n’a pas la garantie que les données de la BDD ne sont pas en clair :/ et qu’un accès piraté à cette BDD via n’importe quelle possibilité ne permettrait pas de récupérer la totalité des données en clair. C’est plutôt là où je voulais en venir…
Doctolib n’est pas un exemple d’exemplarité
#30
Ce n’est pas une obligation de chiffrer les données en base de données. Et si un pirate arrive à récupérer les données, ce qui sera très certainement sanctionné c’est la faille aillant permis d’accéder aux données :
Il n’y a qu’une donnée à ma connaissance qui a l’obligation de ne pas être stockée en clair en BD : les mots de passe. Et pour un stockage chiffré (et non hashé), il faudrait avoir de très sérieuses justifications devant la CNIL pour que cela ait une chance de passer…
Maintenant, il y a un élément à prendre en compte dans l’article 32 du RGPD, c’est le “coûts de mise en oeuvre” de la sécurisation. Un truc qui ne coute rien (comme un certificat let’s encrypt pour sécuriser les communications), ça risque de faire en cas de contrôle. Un dispositif de sécurité qui nécessiterait une refonte complète du système d’information et donc des coûts prohibitifs n’est pas nécessaire si d’autres viennent compenser ce dispositif.
Pour le cas de la base de données, il n’est pas nécessaire de procéder à un chiffrement par colonne par exemple, si on chiffre toute la base d’un coup, ou si la partition sur laquelle est stockée la base de donnée est elle-même chiffrée.
Une mesure, seule et isolée peut sembler inutile. Mais un ensemble de mesures non. Par exemple, base de données non disponible sur internet, IPs filtrées, stockage chiffré, log des activités et monitoring des activités suspects, gestion de droits, etc…
En tant que simple utilisateur, il est quasiment impossible de connaître les mesures qui sont effectivement mises en place. Il y a seulement des éléments qui peuvent alerter sur quelques manquements (connexion HTTP et non HTTPS, renvoi du mot de passe en clair par mail au lieu d’une réinitialisation, …)
#30.1