DRAGONIUM

Blog

Se connecter au jeu

Beaucoup de flou autour du RGPD

25/05/2018 à 13h20
Yywyn

Aujourd'hui, 25 mai 2018, un règlement européen concernant la protection des données personnelles (RGPD) entre en vigueur. L'association Zyzomis ne peut que se réjouir du renforcement du contrôle des données personnelles par les utilisateurs.

Acteurs du web depuis 20 ans, nous avons pu observer de nombreuses pratiques douteuses dans notre vie professionnelle et nous avons toujours refusé de considérer les gens et leurs informations comme une marchandise. Ainsi, nous avons toujours appliqué une éthique au moins égale, ou sinon supérieure au RGPD dans notre vie associative, bien avant l'existence de celui-ci. Les clients qui ont sollicité Zyzomis pour la réalisation de leur site internet ont toujours été accompagnés pour agir en conformité avec la loi lorsqu'ils devaient utiliser des données personnelles, comme un fichier de prospection par exemple.

Le but du RGPD est de renouer une relation de confiance entre utilisateurs et entreprises du web. En ce qui nous concerne, nous avons toujours appliqué l'adage : "ne fais pas aux autres ce que tu ne veux pas qu'on te fasse". Et cela commence par le respect de la vie privée de chacun : on interdit aux joueurs d'utiliser leur nom réel ou d'indiquer publiquement leur lieu de vie, on interdit les photos réelles en guise d'avatar, on ne tient pas de "liste de fratrie" comme dans certains jeux où il faut déclarer les personnes partageant la connexion, même temporairement si on reçoit un invité, pour avoir la permission des administrateurs... ce qui est selon nous une atteinte à la vie privée.

Sur Dragonium, la collecte de données est minimale, on se contente de votre adresse e-mail. Le principe de "minimisation" est d'ailleurs recommandé par la Commission Nationale Informatique et Libertés (CNIL). Cette adresse permet d'authentifier votre compte. Depuis toujours, les utilisateurs peuvent exercer leur droit d'accès aux données les concernant sur simple demande par e-mail depuis l'adresse liée au compte concerné et nous leur communiquons ces informations de manière claire et lisible. C'est ce que préconise le RGPD et on ne l'a pas attendu pour le faire. On utilise également les adresses IP pour éviter la triche entre personnages ou le vol de compte. En cas de piratage, l'impact sera donc modéré puisque nous n'avons pas de données sensibles (nom, adresse postale, numéro de carte bancaire, données de santé ou politiques par exemple).

Le RGPD insiste sur une clarification des conditions d'utilisation à destination des enfants. Nous avons déjà introduit une petite synthèse de chaque article des CGU du jeu et nous avons ajouté une mention supplémentaire près de la case à cocher, ou une fenêtre de confirmation pour s'assurer que même si l'utilisateur n'a pas tout lu (car qui a vraiment tout lu, à part celui qui les a écrites ?), il est averti de ses droits et obligations.

Mais jusqu'où faut-il aller pour respecter la loi ?

Avec le RGPD, les mineurs doivent avoir le consentement de leurs parents pour créer un compte quelque part. On ne sait pas si la simple case à cocher est suffisante, ou sinon, quelles mesures sont recommandées par le législateur. Ce qui donne l'occasion de faire du zèle plus ou moins honnêtement, au nom de la nouvelle loi ! Microsoft, par exemple, a exigé que tous les comptes de mineurs soient validés par un compte de majeur et nous avons été bien embêtés car le compte Skype dragonium_rpg a pour date de naissance la date d'ouverture de Dragonium, soit un âge de 5 ans. Il y a peu, ce compte a été bloqué subitement sans préavis et nous avons dû créer un compte "adulte" bidon et payer 50 centimes par carte bancaire pour le valider immédiatement, car seul un adulte peut avoir une carte bancaire, et d'après le fonctionnement de Microsoft, un compte enfant ne peut pas avoir comme e-mail celui de ses parents. Il faut que les parents aient un deuxième compte séparé. Nous avons pourtant souvent rencontré des enfants qui se sont inscrits à Dragonium avec l'e-mail de leurs parents car ils n'en possédaient pas eux-mêmes.

Microsoft disait bien qu'on pouvait également valider le compte "adulte" en envoyant une copie de sa pièce d'identité mais laissait sous-entendre que cela prenait beaucoup de temps, face à l'afflux de demandes. Alors ? Payer tout de suite ou être bloqué pendant plusieurs jours ? On a payé, mais ce procédé est malhonnête car Microsoft (qui va curieusement dégager un joli bénéfice à ce trimestre, parions-le) ne permet pas d'affecter la somme payée à du crédit Skype (c'est pourtant le seul usage que nous avons sur ce compte) et précise bien que ces 50 centimes ne seront pas remboursés.

D'ailleurs, quand on doit justifier de son identité en envoyant une copie de sa pièce d'identité comme le demande Microsoft (et comme l'imposait la loi Informatique et Libertés pour se voir communiquer ses données personnelles avant le RGPD), est-ce que ce n'est pas considéré comme une communication volontaire de données personnelles ? La carte d'identité, outre le nom, le sexe et la date de naissance, contient la taille et l'adresse postale de son titulaire. Le passeport contient également la couleur des yeux. Alors puisqu'on envoie de façon volontaire ces données, rien n'interdit Microsoft ou d'autres d'utiliser l'adresse postale pour du marketing ou de la revendre, alors qu'on ne l'a enregistrée soi-même nulle part sur le site en question.

Quand on sait que Facebook a développé un algorithme de reconnaissance faciale, la photo du document d'identité va-t-elle permettre, à notre insu, d'établir une "valeur étalon" morphologique pour chaque utilisateur ? Va-t-on enregistrer la couleur de peau en se basant sur la photographie ou en déduire une ethnie en se basant sur les critères physiques du visage ? Ou plus insidieux encore, va-t-on le déduire sans l'enregistrer, en recalculant à chaque fois donc sans laisser de trace, simplement en appliquant un algorithme sur la photo d'identité qui sera enregistrée dans le dossier de l'utilisateur ?
La taille va-t-elle permettre de déterminer le profil d'une personne ? Exemple : les femmes "hors norme" de moins d'un mètre cinquante ou de plus d'un mètre quatre-vingts peuvent avoir des difficultés sociales, ce sont des proies parfaites pour des publicités ciblées : le nouveau site communautaire ou de rencontre pour grands ou pour petits. Les yeux bleus ou marron peuvent permettre d'affiner le critère de reconnaissance faciale, ou encore, par statistiques, affiner le ciblage : yeux clairs = souvent peau claire = sensibilité = pub pour des produits de beauté à l'index de protection élevé. En somme, l'entité a-t-elle le droit d'exploiter (et revendre) les données contenues sur notre pièce d'identité, requise uniquement pour justifier de son identité ?

D'autre part, en voulant trop bien faire, le législateur a créé de nombreuses zones de flou. Le RGPD stipule que tout utilisateur peut obtenir la communication de ses données personnelles. Les questions qui se posent sont : qu'est-ce qu'une donnée personnelle ? et où s'arrête la limite entre droit des uns et droit des autres ?
• Concrètement, sur Dragonium, est-ce que les propos que l'utilisateur a tenus sur le chat sont des données personnelles ? Publiquement ? Et en chuchotement ? Y compris les chuchotements qu'il a reçus ?
• Est-ce que les messages privés envoyés entre deux utilisateurs sont des données personnelles ? Du moins, les messages qu'un utilisateur a envoyés. Mais quid des messages qu'il a reçus et qui n'émanent donc pas de lui ?
• Est-ce que les propos d'autres personnes qui parlent de cet utilisateur sont des données personnelles de celui-ci et doivent lui être communiquées, ou bien cela relève-t-il de la sphère privée ? (secret de la correspondance)
• Si les messages privés entre deux utilisateurs relèvent du secret de la correspondance, qu'en est-il des messages sur une partie privée du forum ? (réservée à l'administration, par exemple)
• De ce fait, qu'en est-il si ces autres personnes font partie de l'équipe du jeu et parlent de l'utilisateur au sujet d'un comportement litigieux ou du choix d'une sanction par message privé ou sur le forum ? Notez que l'on peut facilement faire une recherche sur le pseudo du personnage pour isoler ces messages, l'informatique permettant de rechercher une chaîne (un nom, par exemple) dans un texte.
• Et si la discussion fait état d'une enquête interne en cours sur l'utilisateur parce qu'il a commis des actes supposément litigieux mais que l'on est encore en train de chercher les preuves ? Faut-il le mettre au courant en lui communiquant ces données avant la fin de l'enquête s'il les demande, au risque de tout compromettre ? Nous avons eu le cas il y a quelques semaines, ce qui a conduit au bannissement d'une petite dizaine de comptes pour avoir, entre autres, approché une joueuse mineure.
• Si cette discussion traite d'un groupe de personnes, faut-il transmettre les messages contenant le pseudo de cet utilisateur en caviardant celui des autres ? Cela devient plus compliqué, techniquement, car ça nécessite une vérification humaine pour savoir ce que l'on doit masquer.
• Et si, dans cette conversation, il est fait référence à cet utilisateur mais sans le citer nommément, cela constitue-t-il une donnée personnelle ? Là, seul un traitement humain permet de savoir, dans le fil de la discussion, si un message parle de quelqu'un ou pas, ce qui représente un travail colossal puisqu'il faudrait relire tous les messages du forum pour, dans le contexte, vérifier si l'on parle de l'utilisateur de façon indirecte.
• Et si l'on parle d'un utilisateur en faisant une faute à son nom ? ("Zizomis" au lieu de Zyzomis) Ou si l'on parle d'un utilisateur en utilisant un surnom ? ("Le drow" ou "Wywyn" au lieu de Yywyn)... L'informatique ne permettra pas de trouver le message incriminé puisqu'il ne contiendra pas exactement le texte recherché. Faut-il encore un relecteur humain ?
• Et que faire face à ceux qui vont, exprès, solliciter un envoi de leurs données plusieurs fois par semaine, dans le cas où la génération de celles-ci est déclenchée par un humain ? La loi n'impose pas de délai entre deux demandes, ce qui peut vite tourner au cauchemar.

Vous voyez que l'on peut aller loin pour chercher la petite bête, mais si l'on veut respecter la loi, ce sont des situations qui ne peuvent rester sans réponse. Zyzomis va donc officiellement contacter la CNIL dans les prochaines semaines pour poser ces questions et obtenir des réponses claires, car nous estimons que ces imprécisions vont nuire non pas aux GAFAM (le RGPD a été créé essentiellement pour leur constituer un garde-fou, à la base), puisqu'ils ont des bardées d'avocats qui auront tôt fait de trouver une parade à cette loi, mais plutôt aux petites structures comme notre association, qui veulent bien faire mais qui n'ont pas les moyens humains pour avoir, dans notre cas, un bénévole relecteur occupé à lire les quelque 23000 messages du forum.

Si vous souhaitez en savoir plus sur le RGPD, vous pouvez consulter la page dédiée sur le site de l'Union Européenne.

2 commentaires :

Weaver   le 26/05/2018 à 01:06
Ce qui suit est mon interprétation personnelle de ce que j'ai compris de ce sac de noeuds qu'est la RGPD....


http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

article 4 1

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

Donc toutes données qui peut être rapprochés d'un utilisateur serait une donnée personnelle du moment que le le fournisseur peut y avoir accès légalement ou sans que cela ne soit disproportionné...

Concernant les MP, mails, ils entrent dans le cadre du Code des postes et des communications électroniques. Sauf si un consentement a été donné par l'utilisateur a titre exceptionnel ou pour un an maximum. Un organisme et tout ceux qui travail pour lui ne doivent pas avoir accès à la correspondance qui doit être protégé (chiffrement) bref Zyzomis n'a pas a donnée le contenu d'une correspondance entre A et B même si elle concerne C, puisque seul A et B sont sensé avoir accès a cette information et que les administrateurs ne sont pas sensé y accéder. Sauf si A ou B a transmis ou donné un accord explicite d'accès a ces informations en précisant( bref comme un manda ) Si ce manda est donnée dans un but précis, on ne peut pas en profiter pour faire autre chose.

Donc pour la correspondance, il suffit de chiffrer et ne pas permettre a une personne non destinataire d'accéder a ces informations.
Yywyn   le 26/05/2018 à 01:40
Weaver, cela concerne donc un échange entre deux individus. Mais cela ne résout pas le problème dans le cadre d'un échange entre plusieurs individus (l'équipe du jeu, par exemple, avec deux grands maîtres et deux modérateurs).

Or, tu sais certainement que les remarques faites sur quelqu'un (commentaire d'un employeur sur ses salariés, commentaire d'un banquier sur son client...) sont des données rattachées à l'utilisateur puisqu'elles font références à son identifiant (son nom réel, en l'occurrence, mais ça pourrait être son numéro de compte ou un pseudo sur Dragonium). C'est ce que tu inclus dans "toutes données qui peut être rapprochés d'un utilisateur serait une donnée personnelle". En conséquence, un commentaire fait par l'équipe dans le cadre de son action normale de modération est lié à un personnage.

Comme ça sort du cadre privé entre deux individus, mais que c'est toujours un cadre privé restreint à plusieurs individus, est-ce que ce personnage peut obtenir la communication des messages internes le concernant ? Seulement ceux où il est nommé ? Ou aussi ceux qui font référence à lui sans le nommer ?
Et s'il n'est pas seul dans ce message (les bêtises se font souvent à plusieurs), faut-il caviarder le nom du complice présumé ?
Tu vois, il y a encore du flou...

Pour en revenir aux MP (et donc aux chuchotements), on considère alors qu'un message reçu est également une donnée personnelle, bien qu'elle n'émane pas du destinataire, car elle peut être rapprochée de celui-ci ? Ce serait assez logique, si on compare avec Gmail : je serais le premier à trouver qu'ils exagèrent si Google disait sans gêne "on analyse tous vos mails entrants car ce ne sont pas des données que vous avez fournies ; on ne regardera pas vos mails sortants, par contre, promis juré".

À ce titre, on devrait pouvoir retirer notre consentement à ce traitement car Gmail, pour fournir son service de messagerie, n'a pas besoin d'analyser le contenu des mails pour déterminer notre profil d'utilisateur. Qu'il les analyse pour lutter contre le spam, c'est utile et ça entre dans sa fonction de service de messagerie. C'est peut-être possible depuis aujourd'hui, mais comment avoir confiance, à présent ?