Afin d’adresser un chaleureux message de rentrée scolaire, Laurent Wauquiez a exploité les numéros de téléphone des jeunes inscrits sur le Pass'Région. Ce faisant, au-delà de la politesse, la démarche pose de nombreuses questions au regard du RGPD. Analyse.
« Je vous souhaite à tous une excellente rentrée, et que cette année vous réserve à tous de belles réussites ! » Passée son apparente sympathie, ce SMS signé Laurent Wauquiez va-t-il entraîner quelques heures de colle au président de la région Auvergne-Rhônes-Alpes ?
C’est notamment Jean-François Debat, maire de Bourg-en-Bresse et secrétaire national PS à la transition écologique, qui a allumé la mèche lorsqu’il s’est ouvertement étonné sur Twitter que sa fille lycéenne ait reçu un tel message : « Comment Laurent Wauquiez peut-il avoir LÉGALEMENT accès au portable de tous les lycéens sauf via le PassRegion ? Ce fichier n’est pas destiné à cela ».
Même réaction au sein du Rassemblement Citoyens Écologistes Solidaires, qui réunit des élus de la région : « Après avoir récupéré les fichiers des chasseurs et des agriculteurs et leur avoir adressé bon nombre de courriers pendant la campagne électorale de 2015, Laurent Wauquiez cible les lycéen-nes. Peut-être est-ce la CNIL qui va avoir une rentrée chargée ? »
Dans Libération, le cabinet réduit l’affaire à « un non-sujet ». Pour lui, « ce serait un message politique, récurrent... Là, c’est un message totalement apolitique, républicain et bon enfant. Ça arrive dans d’autres collectivités de souhaiter à ses jeunes une bonne rentrée. À l’époque, les maires offraient des dictionnaires aux écoliers, le média a évolué, c’est par texto, mais il n’y a aucune ambiguïté juridique sur l’utilisation des numéros des lycéens. »
Un « non-sujet » que d’exploiter les données de mineurs, bientôt majeurs et donc électeurs, pour faire sa comm’ de rentrée ? Revenons un instant aux fondamentaux.
268 785 Pass'Région
D’abord, qu’est-ce que le Pass'Région ? Il s'agit d'un dispositif offrant aux jeunes une ribambelle d’avantages : places de cinéma à un euro, musique, tarifs préférentiels sur les licences sportives ou le permis de conduire, etc. Cette carte a également pour vocation « de devenir le support unique d’identification au sein [des] établissement[s] : contrôle d’accès, restauration scolaire », explique le site officiel .
Une sorte de super carte jeune au profit de ceux qui fréquentent un lycée, un centre de formation d’apprentis, une maison familiale rurale ou une école de production, tous installés en région Auvergne-Rhône-Alpes.
Les 268 785 pass déjà commandés ont été obtenus en remplissant un formulaire en ligne. Avant cette phase, la région Auvergne-Rhône-Alpes assure garantir « la confidentialité et la sécurité des données personnelles » saisies à cette occasion. Mieux : « elle s'engage par ailleurs à respecter les dispositions de la loi sur l'informatique et les libertés ».
Trois cases à cocher, des finalités
Ce formulaire commence par une étape très simple : trois cases sont par défaut décochées. La première exige la lecture et l'acceptation d’une maigre charte d’engagement, les deux autres, optionnelles, autorisent la région à envoyer « les bons plans du Pass'Région (places gratuites, tarifs préférentiels,...) » et des « informations liées aux dispositifs régionaux (événements, actualités, questionnaires...) ». Par l’usage de ces trois points, la liste des finalités des trois traitements n’est pas limitative.
Une fois la première étape franchie, vient la page de commande proprement dite. Diverses données personnelles sont récoltées : les informations nominatives, les coordonnées, l’adresse email, le sexe, mais aussi le numéro de portable.
« Il est fortement recommandé de renseigner le n° de téléphone mobile du jeune bénéficiaire ainsi que son email afin de recevoir les offres et bons plans liés au Pass'Région », insiste la région. Pour le numéro, une donnée personnelle, la finalité du recueil se limite donc aux « offres » et « bons plans », sans concerner les informations liées aux dispositifs régionaux, et donc les faits d’actualités.
Auprès de Lyon Capitale, le cabinet de Laurent Wauquiez a donc eu beau prévenir que « le fichier de numéros a été obtenu via le Pass'Région » ou que lors de l'activation en ligne, « les lycéens pouvaient cocher une case pour savoir si oui ou non ils voulaient recevoir des informations de la région et le contenu du Pass ». Ce n’est pas ce que la même région indique dans le formulaire.
Les mineurs, un public à risque selon le RGPD
Au regard du règlement général sur la protection des données personnelles, des problèmes se posent, en particulier parce qu’il ne s’agit pas de n’importe quel public.
Le considérant 38 du RGPD prévient en effet que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement ».
En ce sens, le considérant 58 prévient que toute information et communication « devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre ».
Et pour cause, en France, les mineurs de quinze ans ou plus peuvent consentir seuls à ce que leurs données fassent l’objet d’un tel traitement. En partant du principe que la culture du risque n’est pas aussi aiguisée que chez l’adulte, cette obligation d’information spécifique veut combler ce déséquilibre.
Ici, l’information transmise aux personnes concernées par ces traitements n’évoque pas l’exploitation des numéros aux fins d’aiguiser la communication de Laurent Wauquiez par SMS interposés. Il y a donc clairement une défaillance. Et ces garanties ne sont sûrement pas limitées aux messages apolitiques...
La question du consentement et de l'intérêt légitime
L’information spécifique n’est pas la seule obligation. Le consentement de la personne concernée doit également être recueilli pour autoriser le traitement dans des finalités spécifiques. Comme expliqué préalablement, un problème de finalité se pose ici.
Certes, l’intéressé pourra plaider une autre justification à ce traitement, celle de l’intérêt légitime, laquelle vient en concurrence pour autoriser un tel traitement.
« L'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée » retient le RGPD dans ses lignes introductrices.
Les personnes qui ont coché les cases et renseigné leur numéro pour la finalité indiquée s’attendaient-elles à ce que les services de Laurent Wauquiez exploitent la base de données ? Pas si sûr.
Une dernière justficiation peut être avancée : celle d’un traitement « nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ». Cependant, on voit mal en quoi un tel traitement répond au principe de nécessité…
La question de la sécurité
Enfin, un autre souci est intimement lié à cette question : celui de la sécurité.
Comment se fait-il qu’un personnage politique de premier plan puisse avoir accès aux informations personnelles d’un public à risque, les mineurs ? Il ne s’agit que d’un SMS, certes, mais qu’en sera-t-il aux portes des futures élections locales ? Qu’est-ce qui garantit la parfaite étanchéité d’un système qui semble fuiter dans des mains non autorisées ?
La réaction de la Cnil
L’article 57 demande aux autorités de contrôle de porter une « attention particulière » aux activités destinées spécifiquement à ce public. À l’AFP, la Cnil a indiqué n’avoir reçu aucune plainte particulière. Néanmoins, elle compte « se rapprocher de la région Auvergne-Rhône-Alpes pour demander des précisions », non sans ajouter que « de manière générale les données ne doivent pas être réutilisées pour des finalités non prévues ».
Avec cette précision non-neutre, une nouvelle fois l’autorité aura l’opportunité de montrer que le RGPD n’est pas un dispositif théorique, surtout au regard de la protection des mineurs. Réponse dans quelques mois.
Commentaires (57)
#1
à noter que le président de LR est coutumier du fait.
#2
il aurait rajouté un coupon de reduc pour macdo a la fin du sms et la polemique aurait ete close…
#3
Le SMS aurait été émis et signé Pass’Region et ca aurait suffit.
Pas besoin de tenter une récupération politique ou quoi que ce soit…
#4
Parfaitement en phase avec la dernière phrase de l’article.
Il est nécessaire de faire un exemple pour sensibiliser toutes les personnes qui manipulent des données personnelles qu’elles ne peuvent pas s’en servir en dehors de l’usage prévu.
#5
C’est franchement pas très grave dans le cas présent.
Par contre dans un mouvement général où on veut virer les fonctionnaires de l’encadrement de la fonction publique (à l’américaine) on voit clairement que l’avenir est à se torcher avec la loi dès qu’il y aura une commande du cabinet du chef… et sur des sujets plus graves et/ou ouvrant possibilité de clientélisme c’est vraiment pas une bonne idée. Les administrations sont tellement fragiles sur leur capacité à défendre la légalité face aux barons en tous genre.
#6
Dans Libération, le cabinet réduit l’affaire à « un non-sujet ». Pour lui, « ce serait un message politique, récurrent… Là, c’est un message totalement apolitique, républicain et bon enfant. Ça arrive dans d’autres collectivités de souhaiter à ses jeunes une bonne rentrée. À l’époque, les maires offraient des dictionnaires aux écoliers, le média a évolué, c’est par texto, mais il n’y a aucune ambiguïté juridique sur l’utilisation des numéros des lycéens. »
“Ça vaaaa, c’est graaaaave” <- réaction d’ado qui se fait chopper en train de faire une connerie et que t’as envie de baffer à coup de poêle à frire…
#7
Au delà de la politesse, au delà de la légalité, au delà de la sécurité, il prétend que c’est apolitique, mais il souhaite une bonne rentrée à “tous”, ce n’est absolument plus neutre aujourd’hui (ça rentrait pas “toutes et tous” ?) et il se sert juste du mailing pour rappeler qu’il existe de façon non sollicitée.
Il a son site et un compte touitteur, qu’il s’en serve.
#8
je trouve ca un peu impersonnel “pass region”
a la limite s’il y avait une mascotte “salut c’est passy je te souhaite une bonne rentree”
ou alors il fallait signer “not laurent wauquiez”
#9
#10
Dans Libération, le cabinet réduit l’affaire à « un non-sujet »….
" />
.. Là, c’est un message totalement apolitique,
allons-allons…un peu de BON SENS, Mrs !
“diantre” !
il aurait QUOI à y gagner “…à draguer les écoliers” (vote ? )
#11
Ah oui j’ai vu ça dans le flux d’actu..
" /> n’importe quoi encore.
Puis les gens qui s’offusquent du sms non désiré, mais qui fournissent tout le reste à Snapchat, FB Twitter et compagnie, c’est mignon.
#12
“Avec cette précision non-neutre, une nouvelle fois l’autorité aura l’opportunité de montrer que le RGPD n’est pas un dispositif théorique, surtout au regard de la protection des mineurs. Réponse dans quelques mois. ”
Oui de dire que c’est bon, c’est juste une erreur humaine de bonne foi …
Je vois pas mal d’ailleurs comment elle pourrait aller beaucoup plus loin que l’affaire schiappa ou alors en tentant de se rattraper aux branches en disant que le public cible étant sensible, il faut sévir.
Attention au retour de bâton néanmoins, en se désarmant totalement sur l’affaire schiappa, une sanction de wauquiez par la CNIL serait immédiatement instrumentalisée politiquement.
#13
Un connard reste toujours un connard
" />
#14
#15
Tout ça stocké dans un petit fichier Excel passé sur clé usb :)
#16
#17
Ca ne m’étonne plus de sa part …
" />
Pourquoi ce qui me sert de président de région a t’il choisi de rester au lieu d’aller a l’assemblée nationale ????
(Question idiote : j’ai déjà la réponse a cette question …)
#18
C’est envoyé en numéro masqué, ou tous les lycéens ont désormais le numéro de portable de Wauquiez ?
#19
#20
Moralement je voulais dire
" />
" />
Je ne suis pas juriste moi
#21
“Coucou, bonne rentrée, et t’oubliera pas de laisser ton portable aux pions a l’entrée hein
" /> bisous”
+1 pour mon voisin du dessous !
#22
Bah c’est bien, c’est pédagogique : les jeunes apprendront ainsi que si tu laisses traîner tes infos partout, tu risques de recevoir des sms du 1er trou de balle venu…
#23
Contrairement à ce que tout le monde à l’air de croire c’est avec ce genre de casserole égocentrique que Laurent Wauquiez pourrait être trainer devant la justice française.
#24
Laurent Wauquiez …
" />
Comprend-il lui-même les conséquences de ses actes, au-delà de cette tentative d’appropriation des votes des jeunes électeurs (ne soyons pas naïfs, il s’en fiche comme de sa première chemise de leur rentrée hein) ? (Woaw, tavu Laurent y ma souhaité bonne rentrée, il é tro kewl !)
Il ferait mieux de voir le désastre de son administration régionale. Sans même parler de son status de président LR (là aussi, beaucoup de choses à dire, mais ce n’est pas le sujet).
#25
Personnellement, je porterais plainte si un politique ou tout autre personne d’ailleurs avait envoyé un SMS (si “gentil” soit-il) à mes enfants avec un numéro qu’il n’est pas censés avoir.
En outre, dans ce cas précis, ce SMS est pour moi clairement politique et non “gentil” avec le but d’attirer de jeunes gens vers LR.
#26
Pour avoir bossé un temps en mairie, les demandes d’abus de la part d’élus indélicats ou du cabinet sont régulières (avec 90% des élus réglos sur ces questions quand même, il faut le préciser) et le fait que les conneries soient faites ou pas tient au statut et à la compétence légale de l’exécutant.
" />
Typiquement secrétaire contractuelle fera en mode privé où on ne dit pas non à la hiérarchie, fonctionnaire avec culture légale aura la possibilité (légale et économique) de dire non sans ruiner sa situation.
Pour le reste quand je bossais en prestataire de collectivités locales il y a clairement une culture dans le sud est de recrutement “familiaux” et de constitution de baronnies. C’est encore pire en Provence Alpes Cote d’Azur (et spécialement dans les mairies RN et apparentées).
#27
Comme dans tous les logiciels de CRM c’est envoyé via des prestataires d’envoi de SMS en masse très probablement. Donc non ils ne peuvent pas répondre “nik te mor Lolo lol, jbez le prof”
" />
#28
#29
#30
Mais putain… mais putain… “faites ce que je dis, pas ce que je fais hein !”
#31
#32
#33
#34
Wauquier hack le système et dérange les gens pour son intérêt personnel?
" />
" />
Qu’un hacker hack la vie privée de ce Wauquier est rende public son numéro de téléphone, pour que les centaines de milliers de lycéens puissent l’appeler jour et nuit pour le remercier
#35
Il y a quelqu’un dans son entourage pour lui dire que le paternalisme ça fait vieux con, ou il est complètement en roue libre (ou il est très fort et recrute en fait les arrières grand-mères des lycéens) ?
(Je passe sur le côté immoral et probablement illégal de la chose…)
#36
#37
En fait il est assez problable qu’une enquete ai été menée dans la mesure où l’envoie de voeux n’est pas prévu par l’usage (bon plans, informations etc..)
#38
ça mord
" />
#39
Merci pour cette analyse détaillée.
Difficile d’être complet aussi rapidement mais ça serait intéressant de porter un regard complémentaire sur les pratiques de “vœux” …
#40
Quand ca part d’une bonne intention, ce n’est pas bien
Par contre quand c’est pour faire du benef/vendre des trucs la ca n’intéresse personne, comme par hasard
Bref, les “gens” trouvent que c’est bien d’envoyer ce genre de message, GPRD ou pas, d’autre qui ont un agenda bien précis trouverons que c’est répréhensible par la loi
Ca résume bien l’époque dans laquelle nous vivons
Le mal rapporte plus que le bien, et surtout, le mal est bien vue par la “société” et par l’opinion publique manipulable a souhait
Bref, NI tombe dans le piege encore une fois, c’est pas de ce genre de fait qu’ils faut faire la lumiere, y’a aucun interet..
#41
Et la question, qui a payé cet envoi de SMS ?
Car envoyer des SMS par milliers, c’est pas gratuit !
#42
ça serait tellement drôle
#43
m’en parle pas
" />
#44
Je ne comprends pas ce qui disent “c’est pas très grave”. On peut donc faire n’importe quoi avec les données personnelles des gens, tant que “ce n’est pas très grave” ? Où place-t-on le curseur de la gravité ? Certes Wauquiez ne les a pas invité à une sextape, mais il se sert de donnée qui n’ont pas été prévues pour souhaiter une bonne rentrée.
" />
Ca serait pour leur souhaiter une bonne année, ou leur rappeler de se lever le matin, ça serait pareil, la seule finalité du dispositif c’est d’avoir des bons plans pour les lycéens. Et je ne pense pas qu’il y ait eu une case “J’autorise Laurent Wauquiez à m’envoyer des SMS” ait été présente sur le formulaire.
Par contre les lycéens doivent s’en foutre du message, c’est juste
Wauquiez qui se fait mousser. S’il avait au moins taper manuellement les
SMS, on aurait pu noter l’effort et l’implication envers ses
corégionaux (je trouve pas le mot), mais là il n’a fait que donner un
ordre à un sous fifre, il a du voir la polémique sans même se rappeler d’avoir fait cette demande.
Comment se fait-il qu’un personnage politique de premier plan
Merci pour le fou rire
#45
ah ben dans la catégorie personnage politique qui spamme par SMS, si c’est bien de premier plan
" /> Il est selu ou presque, mais voilà 
" />
#46
#47
Si ça avait été dans une région PS ou LREM, ce <censuré> aurait été le premier à râler… c’est bô la politique…
#48
#49
Il a gagné 13 ans de retraites avec 2 mois de siège, mais ce sont les autres les feignasses, on est plus a ça prêt
#50
Et puis il n’en est pas à son coup d’essai !
https://www.20minutes.fr/politique/983263-20120808-cnil-autorise-acces-fichiers-…
#51
Les boules pour ceux qui se sont faits confisquer leur GSM parce qu’ils ont voulu lire son SMS en classe !
" />
#52
#53
“L’article 57 demande aux autorités de contrôle de porter une « attention particulière » aux activités destinées spécifiquement à ce public. À l’AFP, la Cnil a indiqué n’avoir reçu aucune plainte particulière.”
J’aime beaucoup, en résumé il faut porter une attention particulière à un public spécifique, mais si ce public ne fait rien on peut oublier.
#54
depuis quand on peux utiliser les données des mineurs pour faire n’importe quoi avec ? pour moi si je donne mon numéro pour avoir des bons plans c’est surement pas pour recevoir ce genre de message
mais autre petite anecdote de ce type, Mr W à envoyé à tout les créateurs d’entreprise cette année une jolie enveloppe avec deux stickers region rhone alpes pour nous dire oui on est ensemble blabla toussa,
j’aurais préféré qu’il utilise le fric de façon plus utile que nous indiqué qu’il fallait mettre ces deux stickers pourris sur sa vitrine pour je ne sais quoi.
le mec c’est macron bis il se croit tout permis version 2.0
#55
Il faut un rappel à l’ordre ferme de la CNIL sur ce sujet c’est très important. Maintenant que la RGPD est en place il est important que tout un chacun sache qu’on ne peut pas utiliser les banques de données pour sa convenance personnelle. Sinon demain ce sera quoi, EDF ou ERDF qui utilisent les données de nos Linky pour connaître nos habitudes de consommation électriques et les revendre à des prestataires? Il faut que ces possibles dérives soient étouffées dans l’oeuf le plus rapidement possible.
#56
Je ne sais pas quelle est la sanction qui sera aplliquée à L. Wauquiez, si tant est qu’il y en ait une,
" />
en revanche il y a de fortes chances qu’un DIR COM’ pointe à pôle emploi sous peu …
#57
Mon cauchemars, du coup je bloque la lecture/écriture sur les périphériques externes partout où je passe.