![[MàJ] DPI : la CNIL explique pourquoi les moteurs ne doivent pas tout indexer](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/0.jpg "[MàJ] DPI : la CNIL explique pourquoi les moteurs ne doivent pas tout indexer")
La Commission nationale pour l'informatique et les libertés (CNIL) a finalement bien voulu libérer un précieux document resté secret depuis mai 2012. Il s’agit de son avis visant un projet de décret en Conseil d’État relatif aux règles déontologiques et à la déclaration publique d’intérêts (DPI) de certains hauts fonctionnaires travaillant dans le secteur de la santé. Jamais publié malgré une première demande CADA, cet avis demande aux moteurs d’aller indexer ailleurs ces informations de première nécessité.
Les DPI sont des déclarations qui permettent de jauger les liens d’une personne avec un tissu social afin de repérer d’éventuels conflits d’intérêts. Le décret dont il est ici question est celui du 9 mai 2012 qui uniformise ces informations. Il vise spécialement les membres des commissions et conseils siégeant auprès des ministres chargés de la santé et de la sécurité sociale, ou ceux des cabinets des mêmes ministres. Bref, toute une série de personnalités de haute tenue dont il serait pour le moins vulgaire de les voir liés aux riches labos.
La CNIL s’était penchée sur ce projet de décret organisant la collecte et la diffusion de ces informations pour demander à ce qu’un rideau soit vite installé entre les moteurs de recherches et des DPI. « La Commission demande que le décret soit modifié afin que les organismes qui procèderont à la mise en ligne soient tenus de mettre en place des mesures visant à empêcher les moteurs de recherche de procéder à une indexation » explique-t-elle dans l’avis qu’elle a fini par nous transmettre (l'avis au format .odt). Le gouvernement a suivi à la lettre cette recommandation : les DPI sont publiées, mais, à la demande de la CNIL, il a interdit leur repérage par les moteurs.
Un an plus tard, la CNIL a suivi cette même « doctrine » avec le Sunshine Act. Ce récent décret oblige cette fois les labos à publier les cadeaux faits aux médecins et autres blouses blanches, d’abord sur leur site puis sur un hypothétique site unique. Dans tous les cas, ces données ne sont pas indexables.
Moteurs externes, moteurs internes
Hervé Machi, directeur des affaires juridiques, internationales et de l’expertise de la CNIL nous a décrit la démarche de la Commission : « Cette interdiction d’indexation ne concerne que les données directement identifiantes et ne s’applique qu’aux moteurs de recherche externes, et non aux moteurs internes propres aux sites des laboratoires, des conseils de l’ordre, etc., ou à celui du site que le ministère mettrait en place et qui permettrait d’avoir l’ensemble des informations compilées pour une personne donnée. »
Ainsi, les moteurs « externes » ne doivent pas pouvoir indexer, mais les moteurs « internes » le peuvent. Avec ces données parcellaires, la CNIL rend plus difficile la possibilité d’avoir des « informations compilées pour une personne donnée ». Le service juridique en vient même à nous présenter quelques astuces pour boucher les narines de Google et autres Bing ou Yahoo :
« - placer un fichier dénommé « robots.txt » à la racine du site d’informations afin d’informer les moteurs de recherche de l’internet que les pages concernées ne doivent pas être indexées
- rendre nécessaire une intervention humaine pour accéder à l’information afin d’éviter la captation des données par un programme informatique d’un moteur de recherche. En l’espèce, des Captchas visuels ou auditifs peuvent être employés. Il s’agit d’une suite de chiffres ou lettres ou opérations à reproduire ou effectuer manuellement
- générer des images pour les données directement identifiantes (nom et prénom de la personne) au lieu de les conserver sous forme de texte, l’image ne pouvant être indexée par un moteur de recherche externe. »
Un avis secret car suivi par le gouvernement ?
Fait notable, voilà déjà quelques années que les outils savent exploiter une image pour en lire le contenu… Mais peu importe. Cette réponse de la CNIL intervient après quelques résistances et questionnements. Lors d’une première demande effectuée par l'association Formidep, la Commission avait exposé à la CADA dans ce courrier inédit pourquoi elle rechignait à ce que son avis soit connu :
Jaugez la contorsion : Isabelle Falque Pierrotin rappelle que les versions de travail d’un décret ne sont pas communicables. Or, explique la présidente de l'institution, dans la mesure où le gouvernement a tenu compte de l’avis de la CNIL en rendant ces DPI non indexables, « la simple comparaison de l’avis de la CNIL avec le texte publié du décret permet de déduire la version antérieure du projet de décret, non communicable. » En fait, la CNIL jugeait son avis non publiable parce que le gouvernement a suivi ses recommandations. Une vraie crise existentielle, fort heureusement aujourd’hui révolue grâce à quelques demandes insistantes via la CADA...
Commentaires (28)
#1
Je comprend pas. Pourquoi empêcher l’indexation de ces documents s’ils sont consultables publiquement?
#2
je comprend pas non plus cette logique
" />
" />
#3
Si une personne ( qui touche en info ) veut indexer pour son propre usage.
Ne peut t’il pas ignorer les robot.txt et passer outre les éventuels captcha ?
#4
C’est consultable, mais vous n’avez pas le droit de savoir comment les trouver. Fascinant.
Ne peut t’il pas ignorer les robot.txt et passer outre les éventuels captcha ?
Le robot.txt est purement informatif et ne protège de rien du tout. Le moteur sait juste que l’hébergeur voudrait que le robot n’indexe pas. Mais le robot fait comme il veux.
Quant aux captchas, ben, les bots peuvent les passer, notamment en les faisant remplir par des humains. Quand tu downloades sur les sites de téléchargement, les captchas que tu remplis peuvent servir aux bots. En fait, le site te demande de répondre à un captcha auquel un bot est confronté ailleurs.
#5
#6
#7
#8
générer des images pour les données directement identifiantes (nom et prénom de la personne) au lieu de les conserver sous forme de texte, l’image ne pouvant être indexée par un moteur de recherche externe.
Il me semble que google y arrive sans souci ?
Peut être fallait il lire qu’il faut faire en sorte d’empêcher les moteurs externes d’indexer l’image ?
En fait, la CNIL jugeait son avis non publiable parce que le gouvernement a suivi ses recommandations.
C’est d’une logique implacable.
#9
#10
Histoire de compliquer la tache à ceux qui bossent dans l’intelligence économique
" />
#11
Dans la plupart des jeux tu as le droit de jouer, pourtant tu n’as pas le droit de faire jouer un bot à ta place.
" />
Il n’est pas choquant de différencier un accès humain d’un accès machine à des fins de compilation et traitement de masse des données. C’est comme une limite de vitesse sur la route si veux (en terme de puissance de calcul).
Après quand à la faisabilité technique c’est autre chose
#12
Donc l’information est public mais doit être introuvable.
" /> 
" />
Ils sont trop fort !
#13
Mon dieu! Enfin, ils ont entendu parler de ce fameux fichier!!!!
Mouai, si un moteur de recherche ignore déjà le robot.txt, je le pense suffisamment scrupuleux pour avoir de quoi décoder un captcha (qui se souvient de ce script greasmonkey qui faisait ça pour MU ?) et de quoi convertir une image en texte.
#14
#15
#16
#17
La logique c’est simple, c’est pour empêcher de faire des recherches qui permettraient de découvrir une structure globale, de faire des stats pour savoir quel labo arrose le plus, quel médecin du quartier reçoit le plus de cadeaux des labos, etc. Là il faut tout faire à la main, captcha par captcha (pas forcément si évidents que ça à décoder par une machine) et passer des mois pour obtenir un résultat.
C’est un peu comme la loi sur la “transparence” pour les élus, on va mettre leurs déclarations de revenus publiques, mais surtout interdit de les transmettre à qui que ce soit.
Les libertés individuelles c’est super important quand on est un député, un médecin ou un labo pharmaceutique. Par contre pour le reste de la population, ça ne pose aucun problème de mettre en place un fliquage de masse avec HADOPI.
En tant que citoyen français j’en ai MARRE.
#18
#19
le teste de la MAJ est en noir
" /> je voie rien avec mon skin… obliger de sélectionner le texte quoi Où VA LE MONDE
#20
#21
Le quotidien de la corruption politique, en fin de compte…
" />
http://www.psycheduweb.fr/wp-content/uploads/2012/08/trois-singes.jpg
#22
et PCI laisse passer la gentille instrumentation des déficients visuels, alors que rien ne dit que les sites ne seront pas justement accessibles (ils en ont pas l’obligation, pour le public, d’ailleurs ?)
Tout ce que ça empêche, c’est que des robots l’indexent, un journaliste peut bosser sans le cache google ou script (illégal du coup, vu ce qu’il mouline) de récupération de données perso, non ?
#23
#24
Ils n’ont qu’à créer un Momo (petit fichier script) avec mot de passe, si tu n’as pas accès au mot de passe, tu ne peux pas lire robot.txt (je dis ça, je ne dis rien)
" />
#25
#26
Bon ok, on veut bien donner des infos mais il ne faut pas qu’elles soient exploitables : toute l’hypocrisie de la chose
" />
Ben oui si tout à chacun est capable de voir qu’on est des vendus, ça ne le fait pas. Donc on donne un nonos à ronger (on déclare) mais ça reste du cosmétique (difficile -pas impossible car un groupement de personnes déterminées peut récolter l’ensemble des infos, ils sous-estiment la puissance du communautaire- d’exploiter les infos parcellaires)
#27
#28
Franchement je ne comprend pas comment des documents de déclarations publiques d’intérêts serais en même temps confidentiel, ont marche sur la tete.