GDPR rime avec Chasse aux sorcières

GDPR rime avec Chasse aux sorcières

La loi RGPD ou GDPR en anglais est en place depuis le 25 mai 2018. Nous sommes le 01 aout 2018 (oui sans l’accent circonflexe supprimé depuis 1990, choqué·e ?) et il faut que je vous en parle …

Si vous êtes une personne qui a été choquée par le mot « aout » au lieu de « août » ou que le mot « ognon » vous rebute, alors vous serez surement concernée par cet article de chasse aux sorcières RGPD.

Dès le 26 mai, donc le lendemain de la mise en place de la règlementation, un groupe de personnes qui ne se connaissent pas ont commencé à relever tous les sites et services qui n’étaient pas compatible RGPD au jour J+1.

Avouez que c’est tout de même un peu hardcore de faire remarquer ça le lendemain. Sans même vérifier, je pense qu’il y a un temps de transition, un délai acceptable de mise en place. On peut comprendre que les sociétés n’aient pas dépensé le temps ni l’argent que ça coûte en amont, si la loi ne passe finalement pas, tout ça pour rien.

Au 1er aout, il est déjà un peu plus correct de pointer du doigt ceux qui ne le sont pas à condition qu’on soit gêné de ça ET de l’être soit même, sinon ça le fait pas, si ? Je me vois mal aller dire en public « hey t’es pas RGPD toi ! » alors que mon propre site ou service ne l’est pas, pas encore, ou ne le sera jamais pourquoi pas.

Puis ces personnes ont commencé à migrer en mode « et ça, c’est RGPD compatible ou pas ? » pour tout, tout le temps, même là où on ne s’y attends pas.

Alors on pourrait se dire « Mais oui c’est bien ! Au moins ça montre leur implication et ça peut faire avancer les compatibilités« , oui, si c’est bien fait, au bon endroit, au bon moment.

Prenons l’exemple du Slack WordPress FR. Ce Slack est libre de participation, on peut demander une invitation qui sera automatiquement validée sans intervention humaine (merci mon ptit plugin).

L’inscription au service de Slack.com requiert l’acceptation de LEURS règles RGPD, vous donnez votre mail après tout ! Puis une fois connectée au Slack WPFR, la personne prend connaissance de la charte. Oui, c’est après la connexion qu’on a la charte. Ca pourrait être avant, on va voir pour améliorer ça, bref écoutez la suite.

La charte indique dès le début :

  1. Ici on parle à des humains, donc « Bonjour/Merci ».
  2. Utiliser votre prénom (obligatoire) + soit votre nom de famille complet ou au moins la première lettre de celui-ci (un des 2 est obligatoire merci). Vous pouvez aussi un utiliser un prénom d’usage […]

Oui on parle à des humains donc pas de « xXxDarkSasukexXx » ou « ploplo123 » ou autre pseudo venu de nulle part pour avoir une sorte d’anonymat, ce n’est pas le lieu à être anonyme, nul besoin de l’être à cet endroit.

DarkSasuke, peut-être.

Vous venez pour chercher de l’aide, ou vous venez pour aider, dans les 2 cas, avoir au moins un véritable prénom et une lettre du nom de famille afin de se différencier des autres personnes du même prénom ne me semble pas insurmontable.

Vous me direz « oui mais on peut fake un prénom/nom aussi !« , oui on peut, on peut toujours jouer au con. « À force de jouer au con, on le devient. » m’a dit un jour un prof, voilà pourquoi c’est un jeu dangereux, j’estime. Bref, oui ça fonctionnerait.

Donc, ce Slack demande un prénom + nom ou première lettre, et ? Et voilà, on en fait rien. Pourquoi ? Car :

  • on a pas de base de données accessible avec ces couples de nom/prénom,
  • on a pas de base de données des emails non plus,
  • on envoie pas de mail de toutes façons,
  • on a pas de newsletter ni aucune autre inscription,
  • on a pas la possibilité de lire vos messages privés, non non,
  • on a même pas l’historique des conversations dans les canaux publics au delà de 2 à 3 semaines grand max,
  • on ne sait rien de tout ça !

Alors quand un chasseur de sorcières vient sur le Slack pour dire :

  • « Une question : la charte est-elle conforme RGPD ? »
  • « Nom et prénom = données personnelles qui ne peuvent être collectées qu’avec un consentement explicite. »
  • « Si le consentement n’est pas donné, cela ne doit pas empêcher l’utilisation normale du site. »
  • « Si tu veux rester anonyme, libre à toi. Merci RGPD. »
  • « on […] oblige à dévoiler des données personnelles »

Ok ok molo Rick, on est pas un site, on est pas un service, le service c’est Slack, pas nous, on a rien à vendre, on a pas accès aux données, oui, on demande un prénom + nom car on veut parler à des humains. Bande de voleurs de données que nous sommes !!

« Ça marche pour moi ! »

Venir faire la chasse RGPD dans un slack où se rencontrent des bénévoles qui passent du temps juste pour aider d’autres personnes qui ont besoin d’un coup de pouce m’attriste au plus haut point et me mets instantanément la tête à l’envers. Vous êtes libres, libres de venir sur ce Slack et de respecter la charte qui reste simple, et tout aussi libres de ne pas y rester, c’est votre liberté de ne pas accepter et donc de partir. Ce n’est pas « je refuse les règles mais je reste quand même » en invoquant la GRPD comme on brandit un bâton de magicien ou une matraque de CRS.

Cette chasse est pesante, elle est aussi inutile dans certains cas et ne construit rien de bien. On pointe du doigt tout ce qui peut l’être, ça donne un côté m’as-tu-vu-je-parle-gdpr-je-suis-a-la-page et à la fois un côté énervant genre mets-pas-ton-nez-partout-tu-vas-te-prendre-une-porte.

Pour information, mais j’espère que vous êtes au courant, la GDPR est une évolution de la loi informatique et libertés du 6 janvier 1978 et de la directive 95/46/CE sur la protection des données personnelles du 24 octobre 1995 et enfin du décret n°2005-1309 relative à l’informatique, aux fichiers et aux libertés du 20 octobre 2005.

Vous le saviez rassurez-moi, que ça date de 1978 cette loi ? Améliorée en 1995 et 2005, mais, je ne vous ai pas vu chasser à ce moment là ? Et hop d’un coup on se réveille ? L’ envie de chasser le web-gibier vous a pris comme si la GDPR était une nouveauté dans votre vie ? Hey, nous étions déjà protégés par ces lois, GDPR n’est qu’un nouvelle update …

Stoppez cette chasse aux sorcières, comme vous l’avez stoppée pour Hadopi,  comme vous l’avez stoppée pour la double-optin, comme vous l’avez stoppée pour le spam, comme vous l’avez stoppée pour les bannières à cookies, tiens au fait on en parle ?

Rares, très rares sont les bannières d’acceptation des cookies correctes, la plupart indiquent que « puisque vous êtes sur notre site, c’est que nous pouvons vous coller nos mouchards, sinon quittez le site (mais on les a quand même déjà posés et on ne va rien supprimé hein) », pas vrai ? Pourtant votre chasse a stoppé … voire même, n’a jamais commencée.

Merci à tout le monde qui prendra en compte ce message de ral-le-bol de ces chasses à tout et à rien, non constructives mal placées. Et à la fois, continuez à faire remarquer quand véritablement ça pose un soucis de données personnelles, là où sont utilisées à de mauvaises fins vos data, et pas un gentil slack où se retrouvent des bénévoles humains ou juste pour montrer qu’on connait le mot GDPR.

Lire la suite

Vous aimez ? Partagez !


Réagir à cet article

120 caractères maximum