Lancement du «Diagnostic RGPD» Wolters Kluwer / Lexing ®

Wolters Kluwer lance en partenariat avec le réseau d’avocats Lexing le « Diagnostic RGPD », un outil logiciel disponible en mode SaaS pour accompagner les entreprises privées et organismes publics dans leur mise en conformité au RGPD.

Le Règlement Général sur la Protection des Données (RGPD) vient d’entrer en application le 25 mai dernier.

Un tournant majeur dans la régulation des données personnelles

Ce texte complexe et technique opère un bouleversement complet des règles applicables à l’environnement digital des entreprises privées et organismes publics. Il impose aux acteurs de se plier à de nouvelles obligations, telles que la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement de données concerné et l’obligation d’être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD.

Les organisations doivent dorénavant assumer leur pleine et entière responsabilité sur les données qu’elles traitent, et être en mesure de démontrer que les opérations de traitement qu’elles effectuent ou leurs sous-traitants respectent le règlement.

Les questions sont nombreuses et les enjeux cruciaux : en termes principalement financiers en cas d’infraction, mais également, de façon plus positive, en termes d’image, le respect des obligations découlant du RGPD pouvant s’avérer un élément marketing précieux susceptible de renforcer sa position concurrentielle.

C’est la raison pour laquelle Wolters Kluwer et le réseau Lexing, réseau à la pointe du droit de la protection des données personnelles, ont élaboré de concert le « Diagnostic RGPD », progiciel en mode SaaS dédié à la conformité au RGPD.

Cet outil consiste en un rapport de diagnostic de conformité basé sur plus de 100 questions avec l’analyse d’écart, un tableau de synthèse de conformité, la « feuille de route Lexing » en 20 étapes, les priorités et le macro-calendrier.

Selon Alain Bensoussan, Président du réseau Lexing, « à l’heure où le RGPD marque un tournant majeur dans la régulation des données personnelles, nous sommes heureux et fiers d’avoir élaboré en partenariat avec Wolters Kluwer, un des leaders mondiaux de son secteur, un outil intégrant les exigences du RGPD. Et ce faisant de permettre aux entreprises d’être accompagnées dans leur mutation digitale en favorisant la confiance dans le big data. »

Selon Hubert Chemla, PDG de Wolters Kluwer France, « nous sommes en permanence à l’écoute des besoins des professionnels. Il nous est ainsi apparu qu’un certain nombre de dirigeants n’avaient pas encore totalement pris la mesure du nouveau RGPD, entré en application le 25 mai 2018. C’est pourquoi nous proposons aujourd’hui, avec le Cabinet Lexing Alain Bensoussan Avocats, une solution Diagnostic RGPD qui va faciliter la mise en conformité des entreprises en toute sécurité juridique, conformément à notre mission. »

Le nouveau partenariat se poursuivra dans les prochains mois avec d’autres solutions d’accompagnement pour les professionnels.

Voici la réponse à toutes vos questions en matière de RGPD (GDPR) !

La deuxième édition revue et augmentée de l’ouvrage:

“General data protection regulation : texts, commentaries & practical guidelines”

vient de paraître  chez Wolters Kluwer.

Ce livre a été rédigé par Alain Bensoussan (Lexing-France), Jean-François Henrotte (Lexing Belgique), Marc Gallardo (Lexing Espagne) et Sébastien Fanti (Lexing Suisse).

Le règlement européen sur la protection des données du 27 avril 2016, entré en vigueur le 25 mai 2018, marque un tournant dans la régulation des données personnelles.

Les entreprises vont très vite devoir prendre la mesure de ce texte fondamental qui consacre de nouveaux concepts, et repenser leur politique de conformité Informatique et libertés.

A défaut, elles risquent de se voir exposées à des risques d’atteinte à leur réputation et de condamnations civiles et même pénales.

L’enjeu est primordial : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial !

Une chose est certaine : dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises.

C’est la raison pour laquelle il a semblé utile aux membres du réseau international Lexing, fondé par Alain Bensoussan, de brosser un tableau des nouvelles contraintes pesant dans ce domaine sur les entreprises, en publiant en langue anglaise ce commentaire, article par article, du règlement 2016/679.

Cette publication s’adresse principalement à tous ceux qui sont concernés par l’application du règlement et la mise en conformité au regard de ses dispositions, en vue de son application : juristes d’entreprises, avocats, correspondants informatique et libertés (CIL), délégués à la protection des données (DPO), mais aussi responsables de la sécurité des systèmes d’information (RSSI) et responsables de la conformité.

L’ouvrage a été préfacé par Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil) et ancienne présidente du Groupe de l’article 29 (G29).

 

General data protection regulation
Texts, commentaries and practical guidelines
Alain Bensoussan, Jean-François Henrotte, Marc Gallardo, Sébastien Fanti
Prefaced by Isabelle Falque-Pierrotin, Chair of the Article 29 Data Protection Working Party (WP29),
Editions Wolters Kluwer; cet ouvrage de 576 pages sera également disponible en version e-book le 21 août 2018.

DESCRIPTION

The General Data Protection Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data is a landmark that disrupts the rules in the world of data and the digital environment of businesses from May 25th 2018.

This practical guide provides:

  • An easy to use handbook to guide you through European data protection law,
  • Up to date text, including the corrigendum, until April 2018,
  • With every GDPR article : all relevant guidelines, opinions and case law,
  • A comprehensive resource to help you apprehend the GDPR and achieve compliance,

This edition takes into account the numerous opinions and guidelines issued by the Article 29 Working Party and the jurisprudence decisions taken since the adoption of the GDPR in 2016. This guide is indispensable for every law professional who does not want to miss something out.

Faut-il aussi conformer les fan pages Facebook au RGPD ?

Pour répondre à cette question, il faut déterminer si une entreprise qui ouvre une page Facebook (une « fan page ») est ou non responsable du traitement des données à caractère personnel collectées via cette page.

Or, la Cour de Justice de l’Union européenne a tranché ce point par l’affirmative ce 5 juin 2018. La Cour, réunie en grande chambre, a suivi en cela les conclusions de l’Avocat général.

Cas soumis à la Cour

En l’espèce, l’autorité de protection des données d’un länder allemand avait enjoint une société dispensant des formations de désactiver sa fan page, au motif qu’elle permettait de collecter et de traiter illégalement certaines données liées aux visiteurs de cette page, au moyen de cookies. En effet, ces cookies sont d’une part utilisés par Facebook pour ’améliorer son système de publicité et  d’autre part, par l’administrateur de la fan page fan d’obtenir des statistiques établies par Facebook à partir des visites de cette page. Or, ni l’entreprise, ni Facebook n’informaient les visiteurs de la page que le réseau social collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’il traitait ensuite ces informations.

Pour sa défense, la société administratrice de la fan page contestait être responsable du traitement des données opéré par Facebook.

Qu’est-ce qu’un responsable du traitement ?

Selon la directive 95/46 ou le RGPD qui la remplace, le responsable du traitement est celui qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Donc concrètement : est-ce que l’administrateur d’une fan page hébergée sur Facebook détermine, conjointement avec Facebook, les finalités et les moyens du traitement des données personnelles des visiteurs de cette fan page ? Ou encore : est-ce qu’il exerce une influence de droit ou de fait sur ces finalités et ces moyens ?

Raisonnement de la Cour

La Cour de justice et l’Avocat général estiment que, même si l’entreprise qui ouvre une fan page ne négocie pas les conditions du contrat conclu avec Facebook, elle est responsable conjointe du traitement (au côté du réseau social), car :

  • en ayant recours à Facebook pour diffuser ses informations, l’administrateur d’une fan pageexerce ainsi une influence déterminante sur le déclenchement du traitement de données à caractère personnel des personnes qui consultent cette page. Il dispose également du pouvoir de faire cesser ce traitement en fermant sa page.
  • en acceptant les moyens et les finalités du traitement tels que prédéfinis par Facebook, le gestionnaire de la page participe à leur détermination,
  • l’administrateur a la possibilité d’influer sur la mise en œuvre concrète de l’outil de statistiques d’audience en le paramétrant (audience cible, tendances en matière d’âge, de sexe, de situation géographique, de situation amoureuse et de profession, style de vie, centres d’intérêt, achats et comportement d’achat en ligne …).

Il est vrai que le cas d’une fan page ne doit pas être traitée différemment d’un site web personnel, qui utiliserait les mêmes outils statistiques. Sinon il suffirait pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel.

Que peut-on tirer de cet arrêt ?

De manière générale :
  • une confirmation que la notion de responsable du traitement doit être interprétée largement, tendance lancée par l’arrêt Google Spain,
  • il n’est pas nécessaire que chacun des responsable conjoints aient accès aux données. En l’espèce, les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée,
  • la détermination des rôles ne découle pas uniquement des clauses et des conditions du contrat conclu, mais du rôle réel des parties.
Concernant les fan pages des réseaux sociaux :

L’administrateur d’une page sur un réseau social est responsable conjoint du traitement, si ce réseau social traite les données des visiteurs de la page, et ce même si l’administrateur laisse les paramètres par défaut et n’utilise pas les outils de statistiques pour recourir à la promotion de sa page.

L’administrateur doit donc respecter toutes les obligations applicables à un responsable du traitement et notamment :

  • l’information des personnes concernées,
  • la détermination du fondement juridique du traitement (et donc peut-être obtenir un consentement),
  • mentionner ce traitement dans son registre des traitements,
  • s’agissant de profilage, l’obligation de réaliser une analyse d’impact et de désigner un délégué à la protection des données doit être analysée,
  • en tant que responsable conjoint, convenir avec le réseau social de leurs obligations respectives quant au RGPD.

Dans le cas contraire, il commettra une violation du RGPD et pourrait se voir infliger une amende administrative et/ou condamné à fermer sa page, comme dans le cas soumis à la Cour de justice.

Même si responsabilité conjointe ne signifie pas automatiquement responsabilité équivalente des différents opérateurs, l’administrateur de la page pourra aussi être tenu responsable des violations du RGPD commises par le réseau social. Chacun pourra se voir infliger une amende et les victimes des infractions pourront se tourner tant vers l’un que vers l’autre (avec une préférence naturelle pour l’entité située dans leur pays).

Cette analyse pourra être appliquée à d’autres réseaux sociaux que Facebook (Linkedin, Instagram, Twitter…) en fonction du traitement de données réalisé par chaque réseau social.

Concernant Facebook en particulier :

Le réseau social a déjà été condamné en Belgique le 16 février 208 pour l’utilisation illégale des cookies. Facebook a été condamné sous astreinte à cesser de les utiliser mais ne s’y est pas encore conformé, car le réseau social a interjeté appel.

L’Avocat général laisse entendre que l’exploitant d’un site web qui intègre un bouton « like » (qui peut utiliser le service “Facebook Insights” pour obtenir des statistiques sur les utilisateurs de son site et permet la transmission de données, l’installation de cookies et la collecte de données au profit de Facebook) doit aussi être considéré comme un responsable du traitement.

La conférence mondiale Lexing consacrée à l’intelligence artificielle (IA) aura lieu à Paris le 14 juin 2018!

La Conférence internationale Lexing 2018 qui se tiendra à Paris le 14 juin 2018 à l’invitation du cabinet Lexing Alain Bensoussan Avocats, sera consacrée à la question de l’encadrement juridique de l’IA, intelligence artificielle.

Il s’agit de la 7ème conférence annuelle des membres du réseau Lexing®.

Ces derniers venus des 5 continents et tous spécialisés et reconnus pour leurs compétences et leur expertise dans les domaines du droit des technologies avancées, se retrouveront pour leurs journées annuelles à l’occasion desquelles ils organisent une conférence qui se tiendra le 14 juin 2018 au Collège des Bernardins (75005 Paris) de 8h15 à 17h30.

Les membres du réseau, ainsi que des personnalités extérieures, interviendront sur le thème : “Intelligence artificielle et droit” .

Voitures autonomes, villes intelligentes, contrats intelligents, etc. notre vie quotidienne, personnelle ou professionnelle est de plus en plus gouvernée par les algorithmes. Comment cette évolution est-elle encadrée juridiquement ?

Alain Bensoussan, président fondateur du réseau, ouvrira cette conférence en présentant les grandes tendances 2018-2028 du droit de l’intelligence artificielle.

Les avocats du réseau Lexing® feront, pour leur part, un tour d’horizon international sur les grandes problématiques de l’intelligence artificielle.

Sébastien Fanti s’exprimera sur la thématique suivante: “L’intelligence artificielle comme substrat du législateur dans l’analyse des CGU et la vérification de leur conformité”.

 

Médecins, avocats, dentistes, journalistes, artisans, entrepreneurs… tous fichés, tous classés !

Insatisfait de l’activité déployée par mon cheministe (qui a omis de respecter les règles de sécurité lors du raccordement de mon nouveau poêle), je songe sérieusement à partager mon mécontentement et à informer tous les clients potentiels de son manque de sérieux.

Et si je créais le site avispro.ch avec pour but de permettre à tout un chacun d’exprimer son opinion en toute liberté ? Un classement serait ensuite opéré avec désignation de la star du mois et du margoulin en chef. Je pourrai également négocier la vente de publicités sur le site de manière à financer son référencement et à m’offrir quelques vacances pour la peine.

C’est alors que Jacques-Alain mon vieux camarade de collège à qui j’exposais mon idée que je considérais comme relevant du pur génie m’a parlé de protection des données. Kesako la protection des données ? Et que vient-elle faire dans une affaire telle que celle-ci ?

En fait la collecte et l’exploitation de données dans le but de procéder à un classement des professionnels constitue un traitement de données soumis à la loi fédérale en cette matière. Celui-ci est susceptible de porter atteinte à la personnalité de nombreuses personnes, compte tenu du fait que chacun peut voter sur Internet. Les outils de classement doivent donc être conçus de manière à garantir le respect des principes de protection des données, en particulier la légalité du traitement, le devoir d’information et la qualité de données.

Concrètement, cela signifie qu’accepter des commentaires de personnes qui ne sont ni identifiées ni identifiables n’est pas possible. Tout le monde pourrait, à défaut, évaluer sans même avoir été client ou patient de la personne. Il n’y aurait donc aucune garantie que cette évaluation ne soit pas le fait de concurrents, de farceurs, voire même de tiers mal intentionnés. Cela pourrait donc générer une situation où les données d’évaluation n’ont aucune base réelle et où les personnes concernées n’ont pas moyen de se défendre.

Le Préposé fédéral a émis une recommandation dans un cas de plate-forme d’évaluation de médecins. Il préconise d’obtenir le consentement préalable des personnes concernées, à savoir de chaque professionnel évalué ou susceptible de l’être. Pour que le consentement soit valable le consentement doit être exprimé après une information en bonne et due forme. Et si le professionnel s’oppose à son classement, aucune indication ne peut être publiée à son sujet. En bref donc évaluer n’est possible qu’avec l’accord formel préalable du futur évalué !

Obliger vos clients à vous communiquer leur numéro de téléphone et leur adresse email est illégal !

Décidément le printemps du Préposé fédéral à la protection des données aura été prolifique. Les dossiers où son intervention a été requis en vue du prononcé de recommandations font florès, ce qui démontre que les citoyens et consommateurs sont de plus en plus exigeants en termes de respect de la loi, en cette matière.

Et parmi les dossiers traités, il en est un qui suscite stupéfaction, soit celui de la société Décathlon qui souhaitait exiger la création d’un compte client (soit la communication d’une adresse email ou d’un numéro de téléphone) avant tout achat. Motifs invoqués : renforcer les liens avec la clientèle et valoriser l’expertise de la marque ! Un modèle de vente relationnel unique en Suisse… rien de moins que cela. En termes de marketing, l’opération se comprend aisément, puisqu’il s’agit simplement d’affiner les profils de clients et de les rendre captifs. Une chasse aux données simple et efficace.

Mais voilà que ceux-ci s’interrogent et que la FRC s’en mêle. Après quelques achats effectués pour tester le système, il s’est avéré que d’autres données que celles initialement annoncées étaient collectées : nom, prénom et date de naissance. Le hic c’est que le client se voit présenter cette collecte comme nécessaire pour pouvoir continuer à effectuer des achats. Autre souci, le fait que ces données soient transférées en France alors que le futur règlement européen qui entrera en vigueur le 25 mai proscrit une telle pratique. La FRC sollicite donc logiquement que les consommateurs aient le choix de créer ou un compte pour effectuer leurs achats et en appellent au Préposé fédéral qui ouvre une procédure d’établissement des faits le 7 mai.

Concrètement, cela signifie que des doutes subsistent après avoir interrogé l’entreprise sur la légalité du procédé.

En attendant que l’enquête se termine, le conseil qui peut légitimement être donné consiste à ne pas lier la possibilité d’acquérir des biens et/ou des services à l’obligation de céder des données personnelles.

Même si cette question n’a pas encore été formellement tranchée en Suisse, les principaux généraux qui trouvent application postulent pour le caractère illégal d’une telle pratique qui restreint la liberté, la faculté d’autodétermination.

Mieux vaut donc jouer la transparence avec ses clients et ne collecter que les données absolument essentielles à votre activité.

À défaut, il existe un risque important de procédure, mais également de devoir s’expliquer devant des autorités étrangères voire de faire face à une action collective si vous offrez vos prestations à des ressortissants dans l’UE.

Un employeur peut-il surveiller des collaborateurs soupçonnés d’être en couple ?

Cela fait trois fois. Trois fois que vos employés nouent des relations intimes sur leur lieu de travail et que vous en subissez les conséquences économiques. De mamours en messages, la productivité diminue inlassablement, tant et si bien que vous envisagez des mesures radicales. Fini les romances à l’eau de rose ! Terminé les interactions moléculaires ! Vous allez réagir et frapper fort. Le Règlement du personnel va désormais mentionner expressément que les relations doivent se limiter au strict cadre professionnel. Et Marcel votre fidèle Géo Trouvetou va vous concocter un outil de surveillance des romances naissantes digne de la NSA !

C’est alors que vous croisez Jacques-Henry qui a consacré une partie de sa carrière professionnelle à siéger au sein du Tribunal du travail. Celui-ci, horrifié par vos méthodes totalitaires vous met en garde : attention mon ami, tout cela va mal finir, très mal finir. Et il vous conseille de consulter un juriste au plus vite.

Interdire à vos collaborateurs de nouer des relations extra-professionnelles en intégrant une clause formelle dans votre règlement du personnel est illicite.

Il est en revanche possible dans le but notamment d’éviter les conflits d’intérêts d’exiger qu’une telle relation soit annoncée. Cela est particulièrement le cas dans des domaines sensibles où le secret joue un rôle central (banques, assurances, etc.), respectivement dans des entreprises ou des administrations où les collaborateurs traites des données confidentielles à haut risque. Il s’agit toutefois de l’exception, la règle étant que l’examen des conséquences doit être opéré au cas par cas, ce qui signifie concrètement qu’une réglementation est inutile.

En outre, surveiller de tels comportements à l’insu des collaborateurs concernés violerait le principe de la transparence et il n’y a pas de justification à collecter ce genre d’information.

Il n’en demeure pas moins que pour l’employé cette situation pourrait s’avérer complexe. Mieux vaut donc privilégier le dialogue et proposer des mesures permettant de préserver les intérêts de chaque partie. En effet…

Le vaudeville est un luxe que la vie professionnelle se refusera toujours à payer,

Loïck Roche.

 

Externalisation de la facturation dans le domaine médical : prudence !

 Vous êtes médecin et exécrez tout ce qui vous éloigne de vos patients, dont les tâches administratives. Sur les conseils et à l’instar de vos collègues, vous avez confié la facturation de vos prestations à une société spécialisée, indépendante de votre cabinet. C’est alors que l’un de vos patients vous demande de lui expliquer comment vous garantissez le respect de sa sphère privée et la protection de ses données médicales. Vous êtes bien emprunté pour lui répondre autre chose que le sempiternel : faites-moi confiance ! Voici quelques conseils pour ménager votre phobie administrative et assurer à vos patients le respect absolu des normes en matière de protection des données.

Pour garantir la protection de la sphère privée, il est fondamental que ces sociétés ne traitent les données des patients que dans le but prévu, après que vous ayez obtenu le consentement exprès écrit de vos patients. Un consentement écrit est essentiel pour des motifs de preuve notamment.

Ces sociétés doivent également vous expliquer clairement et exhaustivement ce qu’il advient des données que vous leur transmettez. Jusqu’à récemment, la situation n’était pas satisfaisante en termes de transparence notamment, ce qui a généré une intervention du Préposé fédéral. Il a sollicité des sociétés de facturation qu’elles publient conjointement avec les conditions générales et les règlements de traitement, les clauses types concernant le traitement des données. Avant son intervention, ces clauses ne faisaient pas l’objet d’une publication systématique. A l’avenir des contrôles seront opérés par le Préposé qui se réserve de prendre des mesures en cas de violation.

Le Préposé a également constaté que certains prestataires utilisent une partie des données de facturation et d’encaissement pour alimenter leur propre base de données portant sur la solvabilité des patients par exemple ou pour établir une notation de ceux-ci, et entendent vendre également ces données à des tiers. Or pour une telle utilisation des données, un consentement exprès préalable et écrit des patients doit également être recueilli.

Ce sujet est relativement technique. C’est la raison pour laquelle il est conseillé aux professionnels de la santé de se mobiliser et de créer un groupe de travail susceptible de vérifier que les sociétés auxquelles ils confient ces précieuses données sont dignes de leur confiance et de celle de leurs patients.

Les cahiers des charges sont-ils des documents officiels accessibles au public ?

Vous êtes à la recherche d’emploi et vous consultez régulièrement les sites des institutions publiques. Avant de formuler une offre, vous souhaitez en savoir davantage sur les différents postes de travail qui pourraient correspondre à vos attentes. Conséquemment vous vous adressez à différents responsables du personnel du secteur public et sollicitez de pouvoir consulter les cahiers des charges des postes correspondant à vos compétences, soit également ceux qui déjà pourvus.

C’est alors que le responsable vous objecte que les cahiers des charges ne sont pas à la disposition de chacun et que seules les personnes qui s’apprêtent à formuler une offre de service sont à même d’obtenir de tels documents. Vous vous interrogez et rétorquez que ce n’est pas par simple curiosité, mais bien dans le but de vous concentrer sur le poste le plus adéquat que ces informations vous sont nécessaires. Nouveau refus. Qu’en est-il sur le plan légal ?

Le cahier des charges formalise la mission à accomplir, la classe de traitement salarial, les responsabilités et les activités attendues. Il comporte également des indications quant aux compétences et qualités personnelles que le candidat doit présenter et détermine les exigences de formation et d’expérience professionnelle notamment.

Il s’agit donc, à l’évidence, d’un document officiel accessible au public tant à l’aune des normes tant fédérales que cantonales en matière de transparence.

Le seul motif permettant de s’opposer à leur consultation serait lié à une intention dolosive explicite : ainsi, si une personne qui ne veut nullement postuler s’enquiert des conditions d’exercice de l’activité d’un fonctionnaire (avec lequel elle est en profond désaccord) pour le critiquer de manière acerbe.

Hormis ces rares exceptions, il faut considérer que les institutions publiques doivent être transparentes en ce qui concerne leurs missions, leur organisation et leurs activités. Les fonctions exercées au sein de telles institutions doivent faire l’objet de cahiers des charges génériques qui figurent sur le site internet à la rubrique consacrée (information active) soit sont remis à première réquisition (information passive). Il en va évidemment différemment dans le secteur privé notamment en raison de l’aspect concurrentiel.

La CNIL vous offre une carte pour (presque) tout savoir de la protection de votre vie privée!

Eh oui, c’est possible!

Et cette petite prouesse a été réalisée par le Laboratoire d’Innovation Numérique de la CNIL (abrégé ci-après LINC – la CNIL étant l’autorité en charge de la protection des données pour la France).

LINC publie sa cartographie d’exploration des outils et pratiques de protection de la vie privée, classés selon les usages et actions que chacun peut effectuer en ligne.

Un outil pour donner à voir différentes caractéristiques ou technologies mises en œuvre par des porteurs de services, pour la protection des données.

Mode d’emploi

Sur le modèle de la cartographie du design de la privacy, il a été choisi de symboliser des usages par des verbes, découpés en actions et des sous-actions. Pour chacune des sous-actions, certaines caractéristiques et fonctionnalités spécifiques ont été repérées, protectrice de la vie privée (décrites dans les bulles infos). À titre exemplatif, sont recensés des services qui annoncent mettre en œuvre une ou plusieurs des caractéristiques présentées. Chacun de ces services est présenté par un court texte de description, tiré selon les cas du site du service ou de sa fiche Wikipedia.

Chacun a ainsi le loisir d’explorer ces différents types de services, et effectuer des choix quant à leur utilisation.

Cette cartographie n’a pas vocation à être exhaustive, les différents services cités ne font l’objet d’aucune labellisation par la CNIL. Ils reflètent au mieux un état des lieux transitoire des propositions repérées par le LINC.

 

Ce mindmap des outils et pratiques de la protection de la vie privée est remarquable par son contenu, sa facilité d’utilisation et son efficience.

Nonobstant le fait qu’il émane d’une autorité de protection des données étrangère, il mérite d’être consommé sans modération.

Un seul bémol avec la présence parmi les applications et/ou services préconisés de mauvais élèves faisant l’objet d’une investigation de la CNIL elle-même (WhatsApp). Gageons que les internautes qui sont invités à manifester leur point de vue administreront la piqure de rappel nécessaire à une adéquation totale une liste de bons élèves et les procédures instruites par la CNIL! Finalement, cette carte est appelée à évoluer pour éviter de n’être qu’un instantané certes instructif, mais à durée limitée.