RGPD : le GrandDebat.fr, le grand n’importe quoi

Mention létale 80
Accès libre
image dediée
Crédits : Service d’Information du Gouvernement
Web MàJ
Marc Rees

Mise à jour : La plateforme a ouvert officiellement ses portes. Désormais, les conditions générales d’utilisation et la politique de gestion des données personnelles semblent nettement plus robustes que la première version du site. Il utilise plusieurs cookies expliqués dans cette page. On retrouve Google Analytics via deux cookies (_gat et _git) qui servent à « analyser le trafic sur la plateforme ». « À compter du 21 janvier, les contributions des Françaises et des Français pourront être directement déposées sur cette plateforme » prévient l'éditeur, qui affirme que « la responsabilité de l'organisateur [d’un débat] ne saurait être engagée du fait d’informations, opinions et recommandations formulées par des tiers ».

Le site lancé à l’occasion du Grand Débat se mélange quelque peu les pinceaux dès lors qu’est abordée la question des données personnelles. Plongée dans l’océan de ses mentions légales, qui s’apparentent davantage à une petite flaque d’eau. 

Le « Grand Débat » promis par Emmanuel Macron est lancé aujourd’hui dans l’Eure. Il vient en réponse au mouvement des gilets jaunes et se concrétise sur Internet par une plateforme spécialement conçue pour l'opération. On y trouvera les débats ouverts dans chaque région et chacun pourra y déposer ses contributions

Une initiative qui « doit se faire dans la  transparence, l’indépendance et l’impartialité » dixit le premier ministre.

Dans sa première version, la page d’accueil était réduite à peau de chagrin. Chacun est invité à déposer son email pour être informé du lancement. Le site peut s’attendre à un rush. « Selon une enquête Opinion Way, réalisée pour Public Sénat, Le Point et État d'Esprit-Stratis, 47% des Français souhaitent participer au débat », soit près d’un Français sur deux, expliquent nos confrères.

grand débatgrand débat

Un tel engouement exige nécessairement des mentions légales assez solides, notamment parce que les contributions pourraient révéler les opinions politiques des contributeurs. Soit autant de données sensibles, selon l'article 9 du RGPD. En se plongeant dans cet espace, on ne découvre pourtant que quelques lignes, où on apprend surtout qu’ « en déposant votre email vous nous autorisez à vous informer du lancement. Votre email ne sera pas conservé ».

En somme, le site conçu par Cap Collectif, hébergé chez OVH, ne conserve pas le mail, mais se sert curieusement de cette adresse pour adresser un courrier électronique.

MailChimp, une solution made in US

Cette information est semble-t-il gérée via Mailchimp, un service édité par The Rocket Science Group, LLC, entreprise installée à Atlanta, aux États-Unis. On peut supposer que c’est elle qui enregistrera ces données personnelles non conservées. Mais aucune certitude.

Le nom de Mailchimp, possible sous-traitant de la plateforme, est en effet invisible au commun des mortels. On le retrouve non dans les mentions légales, mais en scrutant le code source de la page d’accueil.

grand débat

Impossible donc de savoir combien de temps le courrier non stocké sera stocké. Impossible d’exercer ses droits RGPD, dont celui d’accéder à ses données personnelles, ni par exemple de connaître le nom du délégué à la protection des données. Des obligations pourtant posées par le règlement sur la protection des données personnelles (RGPD), sous peine de lourdes sanctions.

La V2 du site, apparition du responsable du traitement et du DPO

Depuis quelques instants, de nouvelles informations sont finalement fournies aux internautes. Dès la page de garde, on sait maintenant qu’ « en cliquant sur le bouton s’inscrire, vous acceptez que votre adresse email soit collectée dans le but de vous informer du lancement du Grand Débat ». Ceci fait, « vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désinscription prévu à cet effet dans les mails qui seront adressés ».

Les adresses emails collectées « seront supprimées à l’issue du Grand Débat », mais sans que cette durée soit indiquée. Pour tenter de le deviner, il faut croire les propos du premier ministre, Édouard Philippe selon qui cette campagne doit durer deux mois.

Il reste que contrairement à ce que disait la V1 du site, les emails stockés non stockés sont donc bien stockés. On découvre désormais que c'est bien le SIG, ou Service d’Information du Gouvernement, qui est qualifié de « Responsable de traitement ».

grand débat

Promis, lui et « ses sous-traitants » seront les seuls destinataires de ces informations. Belle affaire ! Ni le nom ni le nombre des sous-traitants ne sont communiqués. On ne sait par exemple s’ils sont installés en France, ou européens ou localisés aux États-Unis, s’ils sont publics ou privés, etc.  

Une partie des droits RGPD est heureusement rappelée : « Conformément à la règlementation applicable, vous disposez d’un droit d’accès, de rectification, d’effacement, d’opposition, de limitation aux traitements qui vous concernent, que vous pouvez exercer en contactant notre Délégué à la Protection des données via la page Contacter le DPD ».

C’est un effort notable. Seul hic, les mentions légales n’ont pas été corrigées. Ainsi, la page d’accueil nous explique que « les adresses emails collectées seront supprimées à l’issue du Grand Débat » mais ces mentions préviennent toujours que « Votre email ne sera pas conservé ».

On pourra visiter ce site à l’adresse granddebat.fr, à ne pas confondre avec grandebat.fr, un site bourré au pastiche ou grandébat.fr, un site pornographique. 

Dernière mise à jour le 16/01/2019 11:22:00

chargement
Chargement des commentaires...