Notices by Rodolphe (rodolphe@pwet.what.tf)

Embed this notice
Rodolphe (rodolphe@pwet.what.tf)'s status on Saturday, 30-Dec-2023 04:38:17 JST Rodolphe
in reply to
@jeeynet @bortzmeyer @lanodan C'est une bonne question et je n'ai pas de réponse simple. Avant toute chose, je précise qu'il ne s'agit que de mon avis personnel, qu'il n'engage que moi, que malgré mon expérience dans le domaine je n'ai pas de véritable formation juridique et que je suis susceptible de me tromper. Ce qu'il faudrait c'est de la jurisprudence dans le domaine. Peut-être que ça existe, mais je n'en connais pas (et je n'ai pas beaucoup cherché). Bref, je vais axer mon raisonnement autours de ce que je connais le mieux, c'est à dire le RGPD, en supposant que dans un cadre pénal un raisonnement similaire sera tenu.

Je pense donc que la réponse va beaucoup dépendre de la situation et nécessite d'apprécier plusieurs éléments. Tout d'abord : est-ce que le RGPD est applicable ou non ? Autrement formulé : est-ce que confier à un hébergeur des données personnelles que l'on détient pour un usage strictement personnel ou domestique est ou non à un usage autre qui, si c'était le cas, constituerait un traitement soumis au RGPD.

Sur le plan purement technique, il y a bien transmission à un tiers (l'hébergeur), donc l'argument du traitement soumis au RGPD peut se défendre. Cependant, sur le plan juridique j'en suis beaucoup moins certain et je pense donc que la réponse peut varier en fonction de la nature exacte de la prestation d'hébergement. Je propose de se poser trois questions afin d'y répondre :
1. Est-ce que l'hébergeur a mis en place des mesures techniques et organisationnelles de protection de la vie privée et ces dernières sont-elles suffisantes ?
2. Est-ce que l'offre d'hébergement est générique ou bien est-elle spécifiquement dédiée aux nudes ou similaire ?
3. Est-ce que l'hébergeur se contente de l'hébergement technique de manière neutre ? Ceci appel deux sous-questions :
a. Est-ce que l'hébergeur scan les données hébergées ?
b. Est-ce que l'hébergeur réutilise les données à ses propres fins ?

Ainsi, dans le cas d'un hébergeur générique ayant mis en oeuvre des mesures techniques et organisationnelles de protection de la vie privée efficace, qui ne réutilise pas les données à ses propres fins et ne scan pas les données ou bien les scan exclusivement pour la recherches de virus/malwares, je pense qu'on pourrait retenir un usage strictement personnel ou domestique non soumis au RGPD. À l'inverse, dans le cas d'un hébergeur n'ayant pris aucune mesure de protection des données personnelles et réutilisant les données pour ses propres fins, je pense que l'on peut considérer qu'il y a un traitement soumis au RGPD, surtout si le service est dédié aux nudes.

Ceci mis au point, que dire du statut de l'hébergeur ? Dans le cas où le traitement n'est pas soumis au RGPD, je trouve que ça n'a pas de sens de lui attribuer un statut défini par le RGPD. Je propose donc de le voir comme un simple intermédiaire technique qui n'a pas de responsabilité spéciale dans l'affaire.
En revanche, dans le cas où il y aurait un traitement soumis au RGPD, il faut se poser la question de s'il est sous-traitant ou bien coresponsable de traitement voir, dans certains cas, responsable à part entière. Et c'est là que tout se complexifie encore plus.

Parce que oui, s'agissant des services cloud, la détermination des roles de chaque partie dépends de beaucoup de choses. L'analyse peut être longue et complexe mais, en règle générale, on tend à considérer qu'un prestataire SaaS est un sous-traitant. Cependant, ceci n'est pas automatique. En particulier, un hébergeur peut être considéré comme sous-traitant certaines parties propres à l'hébergement des données, mais aussi comme responsable de traitement à part entière pour les traitement découlant de la réutilisation des données de ses clients à ses propres fins (spoiler alert : chers hébergeurs, ne faites pas ça sans en parler à un avocat spécialisé avant).
Bref, c'est très complexe et il y a beaucoup d'éléments à prendre en compte. Afin d'avoir plus d'informations, je te propose de lire la section 3.2 du rapport (en anglais) de l'EDPB traitant de l'utilisation des services cloud par le secteur public.
https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en
https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
(nota : pour bien lire ce rapport, je recommande d'ouvrir les versions françaises et anglaises de l'article 4 du RGPD afin de bien identifier la signification des termes employés)

[…]
(suite dans le pouet suivant)
In conversation about a year ago from pwet.what.tf permalink
Attachments
1. Domain not in remote thumbnail source whitelist: edpb.europa.eu
  
  EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force | European Data Protection Board
2. Untitled attachment
Embed this notice
Rodolphe (rodolphe@pwet.what.tf)'s status on Saturday, 30-Dec-2023 04:38:16 JST Rodolphe
in reply to
@jeeynet @bortzmeyer @lanodan (suite et fin)

De la caractérisation du rôle de chacun va découler la responsabilité associée. Et ça c'est la partie la plus facile car il n'y a pas trop à réfléchir : le RGPD a déjà préparé le travail. En effet, dans chaque article susceptible d'engendrer des manquements, le RGPD prend le soin de dire si la responsabilité incombe au responsable de traitement, au sous-traitant ou aux deux.

Ainsi, l'article 5 dispose que c'est le responsable de traitement qui est responsable de la licéité du traitement. Si l'on ne retient que le caractère illicite du traitement, ce qui est ici, je pense, le seul véritable manquement, il n'y a que les acteurs reconnus comme responsables du traitement qui seront sanctionnées.

Si l'hébergeur avait été reconnu sous-traitant, il ne sera donc normalement pas inquiété. S'il est également responsable de traitement s'agissant de la réutilisation des données et qu'il ne s'agit pas d'un service spécifiquement dédié aux nudes, je pense qu'il est préférable d'analyser ça au titre du RGPD dans une procédure dédiée.

In conversation about a year ago from pwet.what.tf permalink
Embed this notice
Rodolphe (rodolphe@pwet.what.tf)'s status on Saturday, 30-Dec-2023 04:38:14 JST Rodolphe
in reply to
@bortzmeyer @jeeynet @lanodan Et c'est seulement après avoir posté que je repense au fait que dans cette histoire il faut aussi penser à étudier le caractère intentionnel ou non de la synchronisation. 😅

https://www.commitstrip.com/fr/2017/10/18/true-story-syncing-the-wrong-folder/
In conversation about a year ago from pwet.what.tf permalink
Attachments
1. Domain not in remote thumbnail source whitelist: www.commitstrip.com
  
  True Story – Syncing the wrong folder
  
  from CommitStrip
  
  Le blog qui raconte la vie des codeurs
Embed this notice
Rodolphe (rodolphe@pwet.what.tf)'s status on Friday, 29-Dec-2023 19:49:45 JST Rodolphe
in reply to
- Haelwenn /элвэн/ :triskell:
- Stéphane Bortzmeyer
@bortzmeyer @lanodan Je me permet d'intervenir pour insister sur la seconde partie, « purely personal or household activity » ou « activité strictement personnelle ou domestique » en français.
Cette précision est importante car très limitative. En particulier, toute publication ou transmission à un tiers sort de cette définition et rend donc le RGPD applicable. Après, dans le cas précis des nudes sont publiées ou transmissent sans le consentement de la personne concernée, les poursuites pénales (article 226-2-1 du code pénal) me semblent bien plus adaptées que celles liées au RGPD.

Mais bon, ce n'est parce que quelque chose est légal qu'il est éthique de le faire. Respecter le choix des autres, même après la rupture d'une relation, reste à mon sens le choix le plus moral.

Dans un contexte moins intime, le RGPD ne s'applique donc pas non plus pour les particuliers qui entretiennent un carnet d'adresses (numérique ou non) de leurs contacts. En revanche, il s'applique en cas de publication ou transmission, ce qui restreint la possibilité de le faire. Le consentement est une des 6 bases légales possible pour le faire, mais ce n'est pas la seule (cf. article 6 du RGPD). Par exemple, si un de vos contacts vous fait part de son intention d'attenter à sa vie, le RGPD permet de transférer ses coordonnées aux secours sur le fondement de deux bases légales :
- l'obligation légale (article 6, 1. c du RGPD) sur base de l'obligation de porter secours (article 223-6 du code pénal) ;
- la sauvegarde des intérêts vitaux de la personne concernée (article 6, 1. d du RGPD).
Je me devais de préciser ça pour les éventuelles personnes qui seraient susceptibles de lire ce post et d'invoquer le RGPD à tort ou bien qui ne reconnaissent que le consentement comme base légale. D'une manière générale le RGPD est logique et bien rédigé, donc si une situation paraît absurde c'est généralement (mais pas toujours j'en conviens) que l'on a fait une mauvaise interprétation.

PS : pour le texte du RGPD en français sur eur-lex, pensez à ajouter « ?locale=fr » à la fin de l'URL (avant un éventuel # bien entendu, mais normalement les gens lisant ça le savent déjà) : https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr
In conversation about a year ago from pwet.what.tf permalink
Attachments
1. Domain not in remote thumbnail source whitelist: eur-lex.europa.eu
  
  EUR-Lex - 32016R0679 - FR - EUR-Lex

Public

Notices by Rodolphe (rodolphe@pwet.what.tf)

User actions

Following 0

Followers 0

Groups 0

Statistics

Feeds