RGPD, je te prends, je te retourne, …

Ces dernières semaines, j’ai fait la même chose qu’à peu près toutes les entreprises de France et de Navarre et même un peu partout en Europe. J’ai laissé tomber à peu près tout travail intelligent et productif pour mon entreprise. Au lieu de cela, je me farcis les menus détails du nouveau Règlement Européen de la Protection des Données.

Les Shadoks

Concrètement, je suis en train de pondre une déclaration de confidentialité pour mon blog. Le genre de bousin qui ressemble vaguement aux mises en garde sur l’utilisation des cookies, sauf que c’est à peu près cinquante fois plus long. Le genre de texte qu’on voit fleurir partout, tout le monde clique dessus, et l’utilisateur de base, ça lui en secoue une sans faire bouger l’autre.

Évidemment, l’idée de base derrière le RGPD est bonne. On a tous droit à la confidentialité des données, à une vie privée et toussa, même sur Internet. Le RGPD nous permettra donc de reprendre la main sur nos données. Enfin, ça c’est la théorie.

Malheureusement, les gens qui ont écrit cette loi sont des têtes d’oeuf qui vivent sur une autre planète. Et comme pour la loi du Data Dock, on retrouve toujours le même écart criant entre la théorie et la pratique.

Tous pareils sauf les multinationales

FacebookLe RGPD vaut de la même manière pour Facebook, Google & Amazon que pour une petite entreprise comme la mienne (dont je suis le gérant, le principal développeur, le support technique, le commercial et le service comptable tout-en-un). Or, Facebook, Google & Amazon ont les moyens d’embaucher le personnel nécessaire pour lire, comprendre et appliquer le RGPD dans toutes ses nuances. Les estimations diverses et variées vont à quelque chose comme 500 (cinq cents) heures de travail pour cette tâche.

Le RGPD s’en contrefiche royalement que vous soyez une micro-entreprise ou une multinationale. Certes, il aurait pu faire dépendre certains prérequis légaux d’une série de paramètres comme le chiffre d’affaires de l’entreprise, le volume des données gérées ou autre chose. Au lieu de cela, c’est tout le monde au même régime, les petits comme les grands. Allez hop, marche ou crève.

Qui en profite ?

  • les grands groupes ;
  • les avocats.

On connaît la chanson.

Implosion de l’usine à gaz RGPD

Rien qu’à voir la longueur du bousin, on comprend que c’est un texte écrit par des juristes pour des juristes. Pour une fois que je vois des gens aussi dingues que nous les informaticiens, je tire une révérence.

Alcool

En revanche, certains points sont techniquement impossibles à mettre en pratique. À titre d’exemple, parlons du droit à la suppression des données personnelles. Selon le contexte, c’est tout à fait envisageable, bien sûr.

Or, la loi stipule que ce droit comprend également les sauvegardes. Et là, l’administrateur système vous regarde comme s’il vous manquait quelques cases. Admettons que vous fassiez des instantanés quotidiens, hebdomadaires et mensuels de vos bases de données, comme on le fait à peu près tous. Dans ce cas, comment faire pour extraire un ou plusieurs jeux de données de ces sauvegardes ? Réponse courte : oubliez. C’est impossible. Revoyez votre copie, les gars.

Arrêtez le délire !

Je dois préciser quelque chose ici. En tant qu’immigré autrichien et fils d’immigré hongrois, je suis avant tout citoyen européen dans l’âme. J’ai assisté à la chute du mur de Berlin et du rideau de fer (en direct), et je suis convaincu de l’idée d’une Europe unie.

Ceci étant dit, les dix commandements de la Bible comptent quelque chose comme deux cent cinquante mots, alors que la Réglementation Européenne pour l’Importation des Caramels Mous en compte 22.568. Sans blague.

Bureaucratie

Soyons clairs, les gars. Je veux bien que les gens qui utilisent Internet bénéficient de la protection de leurs données personnelles. Mais de grâce, vous n’auriez pas pu faire ça de manière intelligente, en formulant une série de lois compréhensibles, compactes et utilisables au quotidien ? À lire vos logorrhées bureaucratiques rédigées en hexagonal, j’ai envie de vous taper dessus avec un Grévisse.

Je jette un oeil dans ma boule de cristal, et je vais vous dire ce qui va se passer dans les jours à venir. Des millions de sites web arboreront des déclarations à la mords-moi-le-noeud sur leur page d’accueil. Tout le monde va royalement s’en battre les couilles, personne ne les lira, et même si l’utilisateur qui n’a rien de mieux à faire s’amusait à les lire, il les comprendrait aussi peu que les gens qui les ont rédigées.

Et maintenant, de grâce, arrêtez de nous mettre des bâtons dans les roues et laissez-nous bosser.

 

Ce contenu a été publié dans Divers, avec comme mot(s)-clé(s) , . Vous pouvez le mettre en favoris avec ce permalien.

17 réponses à RGPD, je te prends, je te retourne, …

  1. Bruno Forestier dit :

    Bonjour Nicolas,
    J’approuve totalement ce billet. La RGPD est une prise de tête, même dans la grosse compagnie d’assurance dans laquelle je travaille, pourtant remplie de juristes.
    Sans parler du Cloud Act américain qui vient en totale confrontation de la RGPD. Le monde devient réglementaire et cinglé !
    Bon courage à vous.
    Sincèrement,
    Bruno

  2. Ping : RGPD, je te prends, je te retourne, … - My Tiny Tools

  3. Anonyme dit :

    C’est quand même dommage d’attendre l’arrivée d’une loi pour respecter ses visiteurs.

    Ne pas envoyer nos données personnelles n’importe où, nous dire précisément ce qui en est fait, appliquer des mesures évidentes de sécurité sur son serveur, ça n’aurait pas dû attendre le RGPD.

    Bien sûr, nous étions en France bien en avance avec la loi Information & Libertés de 78, mais forcément quand les sanctions ne sont pas à la hauteur, à quoi bon respecter l’internaute 🙂

    • kikinovak dit :

      Si vous lisez régulièrement ce blog, vous devez savoir qu’une entreprise comme la mienne respecte ses {clients,visiteurs,utilisateurs}, justement. À titre d’exemple, j’installe la solution OwnCloud à des entreprises, pour leur permettre justement de rester maîtres de leurs données, en les gardant sur une machine dont ils ont physiquement le contrôle. Pour la sécurisation des données, je vous renvoie à des articles comme celui-ci ou celui-là, par exemple. Ce n’est certainement pas la motivation du RGPD que je remets en question, puisque c’est une bonne idée au départ, et je le dis explicitement dans l’article (relisez-le… ou lisez-le). Ce que je pointe du doigt ici, c’est sa mise en pratique tout bonnement calamiteuse. Je me sens – encore une fois, comme avec le Data Dock – comme un pizzaïolo qui fait des très bonnes pizzas, et à qui on demande tout d’un coup d’arborer une étoile Michelin pour continuer à exercer son métier.

  4. Thomas dit :

    Bonjour Nicolas,

    malgré la satisfaction de voir que je ne suis pas le seul à parcourir les directives de la RGPD, sans pour autant réussir à en extraire quelque chose de concret, je suis également résigné face à un texte qui n’aura sûrement que très peu d’effet, si celui de nous faire perdre beaucoup de temps.
    Pour avoir essayé le logiciel PIA proposé par la CNIL, j’ai rapidement laissé tomber car il est totalement ridicule de rédiger ce document lorsque l’on est indépendant.
    Alors que le texte devrait être appliqué dans moins d’une semaine, je ne vais clairement pas prendre plus de temps à essayer de m’y conformer, alors que je n’utilise pas les données personnelles de mes clients pour autre chose qu’établir des factures.

    Je suis d’accord avec les grands principes de la RGPD, mais au lieu de limiter (voir d’interdire) l’usage abusif des données personnelles, ce texte n’a effectivement aucun effet sur les grandes entreprises (combien d’emails avez vous reçu concernant la RGPD, alors que ces derniers sont la preuve que certains sites ont précieusement conservé vos données personnelles, en obtenant pour la plupart, votre accord à grands coups de CGU de 50 pages) et est financièrement, humainement ou totalement impossible à appliquer pour des indépendants ou des petites entreprises.

    Cela m’exaspère, mais je ne suis pas inquiet pour mon entreprise, car je n’ai rien à me reprocher sur l’application des bonnes pratiques permettant de protéger les données personnelles de mes clients. Et il y a de grandes chances que ce texte soit aussi bien appliqué, que celui qui rend obligatoire les bannières d’avertissement à propos des cookies …

  5. Mirabellette dit :

    Le RGPD existe car de nombreuses entreprises ont fait des abus immenses concernant les données personnelles. Si rien n’était fait pour les limiter, on courait à la catastrophe avec tout ce qui est big data et intelligence artificiel.

    Même si cela est à l’heure actuelle pénible à mettre en place, ce réglement reste est une excellente chose en soi que de nombreux pays dans le monde nous envierons dans quelques années.

    Les outils et processus ne sont pas encore adaptés à ces nouvelles exigences réglémentaires mais quand cela viendra, on aura tous gagné un peu plus de liberté et de sécurité. Chose aujourd’hui rare part les temps qui court.

    • kikinovak dit :

      Eh oui, et ce sont précisément les grandes entreprises qui abusent largement qui ont encore une fois les moyens de se payer les avocats pour tirer leur épingle du jeu. Alors qu’une petite entreprise comme la mienne – 100 % Open Source et respectueuse des données de ses clients – en bave pour se mettre en conformité, parce que je n’ai tout simplement pas le temps d’éplucher cette usine à gaz de RGPD.

      • Mirabellette dit :

        Je ne suis pas si sûre de cela. Tu as beau avoir les meilleures avocats du monde, si tu es hors la loi, tu es condamné et tu en payes le prix. CF Apple qui commence à payer en Irlande l’amende.

        Maintenant, je comprends que cela doit pénible pour les entreprises de connaître et d’appliquer toutes les lois. Mais c’est ainsi que va le monde. Je ne suis pas vraiment d’accord sur le côté usine à Gaz du GDPR. A partir du moment où l’on considère véritablement (droit de consultation, modification, suppression) que les données des utilisateurs sont les leurs. Il n’y a pas tant de choses à faire.

        Par contre, si ce n’était pas le cas avant, oui il y a du travail. Le GDPR a été adopté en 14 avril 2016. Vous avez eu deux ans pour vous mettre en conformité, c’est pas rien non plus.

        Survivre en tant qu’indépendant est de plus en plus difficile car cela demande de plus en plus de connaissances et compétences que l’on peut difficilement avoir seul. C’est tout à votre honneur de continuer.

        • kikinovak dit :

          Et là encore, il me suffit de jeter un oeil dans ma boule de cristal, pour me rendre compte que des boîtes comme Google, Dropbox, Facebook ou Microsoft n’auront certainement pas le moindre problème pour se rendre “GDPR-compliant”. Alors même que par leur fonctionnement, elles cajolent les données personnelles des utilisateurs à la manière d’un vieux curé pédophile qui cajole les enfants de choeur de son village. Je ne veux même pas savoir ce que Google fait avec le contenu des mails @gmail.com, et pour ce qui est de Dropbox, c’est la réalisation d’un rêve humide de la stasi. Voir à ce sujet les révélations d’Edward Snowden pour les détails.

          En revanche, les entreprises comme les miennes – dont la raison d’être est justement le respect de la confidentialité, la transparence, etc. – on les étouffe sous un tas de paperasse immonde. Comme si j’avais que ça à foutre.

          • La Jane Do dit :

            Il faut peut-être juste se demander si l’une des cibles principales du RGPD n’est pas justement ces acteurs, et si, contre la liberté totale de faire n’importe quoi, certes très plaisante mais possiblement dangereuse pour autrui, le RGPD a été créé, comme le Code de la route ou d’autres choses qui embêtent le monde mais sont au bénéfice de tous, non ?

            Je trouve l’analyse beaucoup trop partiale et pleine d’aigreur au lieu de voir, plus simplement, un instrument pour protéger nos libertés.

            Oulala oui, ça demande de faire quelques trucs contraignants (informer les personnes, faire un registre, comme mettre sa ceinture de sécurité), mais l’objectif est de redonner la maîtrise de leurs données aux internautes, ne l’oublions pas.

            Moi je vois surtout une belle avancée légale, dans le sens de nos valeurs en France et UE, et pour une fois, dans un sens d’actualité.

            Bref, si vous estimez déjà tout faire pour protéger les gens, pourquoi troller ? Qu’est-ce qui est si lourd ? Je ne comprends pas-du-tout.

          • kikinovak dit :

            En résumé de mon texte (car tout y est dit en fait), mon grief avec le RGPD n’est pas la motivation de la loi en elle-même, puisqu’au fond c’est une bonne chose. Mais en pratique, il va se passer exactement ceci. Les GAFAM qui n’en ont rien à branler des données personnelles ont largement les moyens de payer du personnel et des avocats pour assurer leur conformité (de mes deux). Et une boîte comme la mienne – qui respecte les données personnelles des utilisateurs – n’a tout simplement pas les moyens de remplir des paperasses jusqu’au plafond. Vous me les payez, les deux ou trois mois de boulot ou je ne fais rien d’autre que me mettre en parfaite conformité RGPD ? Déjà que cette connerie de Data Dock m’a coûté près de la moitié de mon chiffre d’affaires (puisque je ne peux plus travailler en tant que formateur depuis 2015, merci cette réforme de merde). Et là, c’est une nouvelle montagne de paperasse qui m’attend. Pffff.

  6. NumOpen dit :

    Finalement, le plus simple pour contacter et fidéliser ses clients est de leur mettre à disposition des bonnes vieilles listes de discussion, des forums ou un réseau social libre pour qu’ils gèrent eux-mêmes leurs propres données personnelles et leurs informations.

  7. Buzut dit :

    100% d’accord. Sur certains points, ça me les casse et je laisse tomber.
    Cependant, il y a cet article écrit pour les devs qui est assez digeste
    https://bohzo.developpez.com/rgpd-guide-pratique-developpeurs/

  8. Fuckx dit :

    Moi c’est simple, j’ai rien fait…s’ils veulent que je m’en occupe, ils embauchent du personnel et augmentent ma paye…sinon rien à foutre…c’est le patron qui prendra ça dans la gueule…comme ils ont la paie qui vont avec !

  9. gdpquoi dit :

    Et les compagnies aériennes, transporteurs ferroviaires sont-ils “GDPR-compliant” ? Est-ce que je peux demander la suppression de mes données personnelles de l’historique de tracking du pass NAVIGO de la RATP, de mes voyages à la SNCF, ou encore du fichier PNR européen où sont enregistrés tous les voyages des passagers aériens ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.