https://eur-lex.europa.eu/eli/reg/2016/679#art_2 > 2. This Regulation does not apply to the processing of personal data: > […] > (c) by a natural person in the course of a purely personal or household activity;
@bortzmeyer@lanodan Je me permet d'intervenir pour insister sur la seconde partie, « purely personal or household activity » ou « activité strictement personnelle ou domestique » en français. Cette précision est importante car très limitative. En particulier, toute publication ou transmission à un tiers sort de cette définition et rend donc le RGPD applicable. Après, dans le cas précis des nudes sont publiées ou transmissent sans le consentement de la personne concernée, les poursuites pénales (article 226-2-1 du code pénal) me semblent bien plus adaptées que celles liées au RGPD.
Mais bon, ce n'est parce que quelque chose est légal qu'il est éthique de le faire. Respecter le choix des autres, même après la rupture d'une relation, reste à mon sens le choix le plus moral.
Dans un contexte moins intime, le RGPD ne s'applique donc pas non plus pour les particuliers qui entretiennent un carnet d'adresses (numérique ou non) de leurs contacts. En revanche, il s'applique en cas de publication ou transmission, ce qui restreint la possibilité de le faire. Le consentement est une des 6 bases légales possible pour le faire, mais ce n'est pas la seule (cf. article 6 du RGPD). Par exemple, si un de vos contacts vous fait part de son intention d'attenter à sa vie, le RGPD permet de transférer ses coordonnées aux secours sur le fondement de deux bases légales : - l'obligation légale (article 6, 1. c du RGPD) sur base de l'obligation de porter secours (article 223-6 du code pénal) ; - la sauvegarde des intérêts vitaux de la personne concernée (article 6, 1. d du RGPD). Je me devais de préciser ça pour les éventuelles personnes qui seraient susceptibles de lire ce post et d'invoquer le RGPD à tort ou bien qui ne reconnaissent que le consentement comme base légale. D'une manière générale le RGPD est logique et bien rédigé, donc si une situation paraît absurde c'est généralement (mais pas toujours j'en conviens) que l'on a fait une mauvaise interprétation.
PS : pour le texte du RGPD en français sur eur-lex, pensez à ajouter « ?locale=fr » à la fin de l'URL (avant un éventuel # bien entendu, mais normalement les gens lisant ça le savent déjà) : https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr
Et y'a sans doute des lois bien plus adaptés que le RGPD pour ce genre de choses, par example l'Article 9 du Code civil auquel Wikipédia pointe pour les questions de droits à l'image: > Chacun a droit au respect de sa vie privée. > Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé.
Une personne physique est tout à fait attaquable quand elle diffuse des données, ou filme autrui sans consentement, ce genre de chose. Je pense qu'ici on est dans le strictement personnel, mais ça semble compliqué à juger.
@bortzmeyer@lanodan Oui, je sais que c'était pas la question, je précisais juste que c'était inexact de dire que ça ne concerne pas les particuliers, vu que c'est une erreur encore commune…
Pour le cas précis qui nous concerne, comme je l'ai dit, difficle à dire. Pour moi les garder serait de l'usage strictement personnel, donc si c'est illégal ce ne serait pas via le RGPD.
Mais je vois aussi comme on pourrait le considérer différemment, donc faudrait l'avis d'un (voire plusieurs, si c'est ambigu…) juriste pour trancher, je suppose.
@breizh@lanodan Ici, il ne s'agissait pas de diffuser. Et les photos avaient été consenties. La question était plutôt « est-ce que la fin de la relation signifie retrait du consentement ? »
@bortzmeyer@jeeynet@lanodan Et c'est seulement après avoir posté que je repense au fait que dans cette histoire il faut aussi penser à étudier le caractère intentionnel ou non de la synchronisation. 😅
De la caractérisation du rôle de chacun va découler la responsabilité associée. Et ça c'est la partie la plus facile car il n'y a pas trop à réfléchir : le RGPD a déjà préparé le travail. En effet, dans chaque article susceptible d'engendrer des manquements, le RGPD prend le soin de dire si la responsabilité incombe au responsable de traitement, au sous-traitant ou aux deux.
Ainsi, l'article 5 dispose que c'est le responsable de traitement qui est responsable de la licéité du traitement. Si l'on ne retient que le caractère illicite du traitement, ce qui est ici, je pense, le seul véritable manquement, il n'y a que les acteurs reconnus comme responsables du traitement qui seront sanctionnées.
Si l'hébergeur avait été reconnu sous-traitant, il ne sera donc normalement pas inquiété. S'il est également responsable de traitement s'agissant de la réutilisation des données et qu'il ne s'agit pas d'un service spécifiquement dédié aux nudes, je pense qu'il est préférable d'analyser ça au titre du RGPD dans une procédure dédiée.
@jeeynet@bortzmeyer@lanodan C'est une bonne question et je n'ai pas de réponse simple. Avant toute chose, je précise qu'il ne s'agit que de mon avis personnel, qu'il n'engage que moi, que malgré mon expérience dans le domaine je n'ai pas de véritable formation juridique et que je suis susceptible de me tromper. Ce qu'il faudrait c'est de la jurisprudence dans le domaine. Peut-être que ça existe, mais je n'en connais pas (et je n'ai pas beaucoup cherché). Bref, je vais axer mon raisonnement autours de ce que je connais le mieux, c'est à dire le RGPD, en supposant que dans un cadre pénal un raisonnement similaire sera tenu.
Je pense donc que la réponse va beaucoup dépendre de la situation et nécessite d'apprécier plusieurs éléments. Tout d'abord : est-ce que le RGPD est applicable ou non ? Autrement formulé : est-ce que confier à un hébergeur des données personnelles que l'on détient pour un usage strictement personnel ou domestique est ou non à un usage autre qui, si c'était le cas, constituerait un traitement soumis au RGPD.
Sur le plan purement technique, il y a bien transmission à un tiers (l'hébergeur), donc l'argument du traitement soumis au RGPD peut se défendre. Cependant, sur le plan juridique j'en suis beaucoup moins certain et je pense donc que la réponse peut varier en fonction de la nature exacte de la prestation d'hébergement. Je propose de se poser trois questions afin d'y répondre : 1. Est-ce que l'hébergeur a mis en place des mesures techniques et organisationnelles de protection de la vie privée et ces dernières sont-elles suffisantes ? 2. Est-ce que l'offre d'hébergement est générique ou bien est-elle spécifiquement dédiée aux nudes ou similaire ? 3. Est-ce que l'hébergeur se contente de l'hébergement technique de manière neutre ? Ceci appel deux sous-questions : a. Est-ce que l'hébergeur scan les données hébergées ? b. Est-ce que l'hébergeur réutilise les données à ses propres fins ?
Ainsi, dans le cas d'un hébergeur générique ayant mis en oeuvre des mesures techniques et organisationnelles de protection de la vie privée efficace, qui ne réutilise pas les données à ses propres fins et ne scan pas les données ou bien les scan exclusivement pour la recherches de virus/malwares, je pense qu'on pourrait retenir un usage strictement personnel ou domestique non soumis au RGPD. À l'inverse, dans le cas d'un hébergeur n'ayant pris aucune mesure de protection des données personnelles et réutilisant les données pour ses propres fins, je pense que l'on peut considérer qu'il y a un traitement soumis au RGPD, surtout si le service est dédié aux nudes.
Ceci mis au point, que dire du statut de l'hébergeur ? Dans le cas où le traitement n'est pas soumis au RGPD, je trouve que ça n'a pas de sens de lui attribuer un statut défini par le RGPD. Je propose donc de le voir comme un simple intermédiaire technique qui n'a pas de responsabilité spéciale dans l'affaire. En revanche, dans le cas où il y aurait un traitement soumis au RGPD, il faut se poser la question de s'il est sous-traitant ou bien coresponsable de traitement voir, dans certains cas, responsable à part entière. Et c'est là que tout se complexifie encore plus.
Parce que oui, s'agissant des services cloud, la détermination des roles de chaque partie dépends de beaucoup de choses. L'analyse peut être longue et complexe mais, en règle générale, on tend à considérer qu'un prestataire SaaS est un sous-traitant. Cependant, ceci n'est pas automatique. En particulier, un hébergeur peut être considéré comme sous-traitant certaines parties propres à l'hébergement des données, mais aussi comme responsable de traitement à part entière pour les traitement découlant de la réutilisation des données de ses clients à ses propres fins (spoiler alert : chers hébergeurs, ne faites pas ça sans en parler à un avocat spécialisé avant). Bref, c'est très complexe et il y a beaucoup d'éléments à prendre en compte. Afin d'avoir plus d'informations, je te propose de lire la section 3.2 du rapport (en anglais) de l'EDPB traitant de l'utilisation des services cloud par le secteur public. https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf (nota : pour bien lire ce rapport, je recommande d'ouvrir les versions françaises et anglaises de l'article 4 du RGPD afin de bien identifier la signification des termes employés)
@bortzmeyer@rodolphe@lanodan Et je me pose la question de la co-responsabilité d'une personne morale qui se serait vue à gérer des DCP de la part d'une personne physique n'ayant pas reçu l'autorisation de faire. Par exemple, le #RGPD s'applique à Google quand une personne physique synchronise ses contacts sous Android. Quid de la personne sauvegardant des nudes d'une ex sur un cloud externe ?
@rodolphe@lanodan Ici, la question était « faut-il les effacer ? » Les transmettre serait clairement dégueulasse et illégal. Mais les garder sans les transmettre ?
@lanodan C'est plus traitement de DCP à titre privé que personnes physiques
Le RGPD PEUT s'appliquer contre une personne physique dans certains cas. Je crois que c'est l'ADP espagnole qui avais mis une amende assez salée à un particulier qui avait utilisé le champ « À » d'une message pour y mettre plusieurs adresses emails de gens qui se connaissent pas.
Il y eu aussi le cas d'un politicien belge qui détourné des adresses emails pour de la comm' politique