Podcast: Play in new window | Download (Duration: 15:40 — 21.9MB)
Subscribe: Apple Podcasts | Spotify | Android | Blubrry | Email | RSS | More
Ce matin, j’ai reçu un email de la part de l’organisation des Jeux Olympiques relatif au respect de mes données personnelles. Ce mail, destiné à me rassurer sur la bonne utilisation de mes données, a eu en fait l’effet inverse de celui qui était recherché. Je me suis mis à fouiller dans les petits caractères et j’ai immédiatement découvert quelques points assez opaques, c’est un euphémisme. J’ai ensuite soumis ce texte à Perplexity.ai dont j’ai déjà remarqué par le passé, l’habileté pour le déchiffrement du galimatias juridique destiné à embrouiller le citoyen en déficit d’attention. Heureusement, j’utilise « Hidemyemail », le système de protection d’adresse email d’Apple qui est bien plus efficace que toutes les lois qui pourront jamais être votées : l’adresse a été soigneusement supprimée. Ceci étant dit, revenons en détail sur ce texte et voyons les points qui m’ont gêné.
Cas concret de respect des données personnelles et de la peur de son irrespect
Avertissement : ceci n’est pas un réquisitoire, mais juste une réflexion sur la protection des données et sur la réception par l’utilisateur de certains messages censés le protéger.
L’équipe Paris 2024 de protection des données personnelles (signataire de ce mail) m’a envoyé — et sans doute à vous aussi — le curieux message reproduit ci-dessous.
Un bien curieux message sur le respect des données personnelles
Curieux dans la forme (il s’agit d’une longue liste d’articles contractuels sans véritable notice introductive, un peu comme si vous receviez un nouveau contrat de travail sans lettre d’introduction dans votre boîte mail le matin).
Et curieux sur le fond, car on y mentionne que vos données ont été collectées et probablement utilisées, et que l’on a probablement transmis « […] certaines de vos données […] au Comité International Olympique (« CIO »), qui traite ces données en qualité de responsable de traitement indépendant afin de mieux connaître ses fans, évaluer les performances de ses propriétés numériques ou de ses activités liées aux Jeux, et se repose pour ce faire sur son intérêt légitime. »
À supposer que cette utilisation de mes données fût connue de moi, je l’avais donc oubliée totalement et le fait de savoir que j’avais un droit de rétractation ne m’a pas vraiment rassuré.
J’ai même été pris d’une certaine panique à l’idée que mes données aient pu être satellisées et livrées à diverses activités marketing reposant sur un « intérêt légitime ». Heureusement, en visant le mail en question, je me rendis compte que j’avais eu — au moment de l’inscription — la présence d’esprit d’utiliser une adresse temporaire que je pouvais mettre en pause quand je voulais. Ouf !
Il n’empêche que ce message, censé me rassurer, m’a plutôt inquiété. Les longues phrases plus ou moins claires, destinées à me démontrer la légitimité de cette démarche, le fait que ce message soit mal formaté, qu’il arrive à un moment où on ne s’y attend pas vraiment, tout cela concourait à me faire penser, sans doute à tort, qu’on allait utiliser mes données de manière assez louche.
Mais rassurez-vous, en cas de problème, il est possible d’exercer ses droits à la rectification et même à la suppression des dites données des bases en question. Là encore, la procédure, expliquée au travers de 2 paragraphes longs et complexes, ne donne pas confiance.
Perplexity.ai à la rescousse et analyse des détails de l’annonce
Je dois sans doute être paranoïaque, mais quand je lis un message compliqué qui tente de me rassurer, je pense que cela veut dire qu’il y avait un danger auquel je n’avais pas fait attention.
Alors j’ai demandé à mon service IA préféré, perplexity.ai de suivre le prompt suivant : « Trouve-moi tous les points un peu litigieux ou limites en termes d’éthiqueL’éthique du marketing couvre un champ très vaste de thématiques. Il faut tout d’abord voir l’éthique du marketing comme une sous-branche de l’éthique des affaires. dans le texte suivant ».
N’étant pas juriste, j’avais besoin d’aide, le lecteur pointilleux, mais magnanime me pardonnera cet accès de faiblesse. Et puis, il faut aussi faire le « centaure » de temps en temps, cela m’aide pour mes cours.
Voici ce qu’a répondu l’IA de Perplexity sur ces points potentiellement litigieux ou limites en termes d’éthique dans le texte fourni par le CIO :
- Transmission de données au CIO :
« Le texte mentionne que Paris 2024 a transmis certaines données personnelles au Comité International Olympique (CIO). Cela pourrait être considéré comme problématique car :
– Le CIO est décrit comme un « responsable de traitement indépendant », ce qui signifie qu’il peut utiliser ces données selon ses propres règles.
– Les finalités mentionnées pour l’utilisation de ces données par le CIO sont assez larges (« mieux connaître ses fans, évaluer les performances de ses propriétés numériques ou de ses activités liées aux Jeux »).
– Le CIO se base sur son « intérêt légitime » pour traiter ces données, ce qui est une base légale moins solide que le consentement explicite des utilisateurs ».En d’autres termes plus prosaïques, je n’ai pas vraiment donné l’autorisation explicite d’utilisation de mes données, et l’envoyeur cherche à se justifier en expliquant qu’il a néanmoins ce droit, car après tout, qui d’autre que le CIO est légitime à organiser les jeux… Bref, je ne suis pas vraiment rassuré. - Durée de conservation des données : « Bien que le texte mentionne la suppression progressive des données des bases actives, il indique également que les données seront archivées de façon sécurisée pour des durées allant jusqu’à 6 ans [ou 5 ans pour des raisons de litiges, Perplexity a raté ce détail]. Cette longue période de conservation pourrait être considérée comme excessive. »Là encore, ce n’est pas rassurant. En bref, on supprime les données… plus tard. On ne sait jamais.
- Manque de clarté sur les destinataires des données : « Le texte mentionne que les données seront archivées par « l’entité liquidatrice qui sera désignée par Paris 2024 après sa dissolution« . Cette formulation manque de précision et pourrait soulever des questions sur qui aura réellement accès à ces données archivées. »On a déjà vu ça par le passé, notamment lors du rachat de Camaïeu où les repreneurs se sont arrogé le droit de transférer automatiquement le consentement des utilisateurs sur la nouvelle entité sans rien leur demander. Pas rassurance encore.
- Complexité de l’information : « Le texte est assez long et technique, ce qui pourrait rendre difficile pour un utilisateur moyen de comprendre pleinement comment ses données sont traitées. Cela pourrait être perçu comme un manque de transparence. »Finalement et contrairement à la vulgate, l’IA a plus de bon sens que bien des humains. J’avais noté ce point également.
- Absence de choix explicite : « Bien que le texte mentionne la possibilité d’exercer ses droits, il ne semble pas offrir aux utilisateurs un choix clair et facile de s’opposer au traitement de leurs données ou de demander leur suppression immédiate. »Mieux vaut faire confiance à Apple et à Hidemyemail, ces vilains GAFAM qui nous protègent quand même de bien des mauvaises pratiques.
- Référence à de multiples politiques de confidentialité : « Le texte fait référence à plusieurs politiques de confidentialité (générale et complémentaires), ce qui pourrait rendre difficile pour les utilisateurs de comprendre exactement quelles règles s’appliquent à leurs données. »Tout ceci ne va pas dans le sens de la réassurance non plus.
Perplexity conclut de la manière suivante :
Ces points pourraient potentiellement soulever des questions éthiques ou de conformité avec les principes de protection des données personnelles, notamment en termes de transparence, de minimisation des données et de contrôle par les utilisateurs.
Je sais que l’on me dit sans cesse que la situation de la protection des données s’est améliorée. Que les lois qui s’empilent les unes sur les autres amènent transparence et progrès.
Mais au travers de cette brève, je pense avoir démontré que ce n’est pas le cas. Et cette démonstration est faite, qui plus est, par une instance para gouvernementale qui n’a rien à voir avec les fameux « GAFAM ». Ces derniers étant pourtant la cible désignée par un ex-commissaire européen en colère.
En fin de compte, l’enfer n’est-il pas pavé de bonnes intentions ?
Voici enfin le texte original envoyé par l’adresse Paris 2024 <Paris2024_at_contact_paris2024_org>
Dans le cadre des Jeux Olympiques et Paralympiques (« les Jeux »), le Comité d’Organisation des Jeux Olympiques et Paralympiques de Paris 2024 (ci-après « Paris 2024 » ou « nous ») a été amené à collecter et traiter un certain nombre de vos données à caractère personnel. Vos données ont été collectées par Paris 2024 dans différents contextes (création de compte, achat de billets, adhésion au programme des Volontaires, inscription au Club Paris 2024, participation au Relais de la Flamme olympique, etc.) et/ou dans le cadre de ses différentes plateformes numériques (Portail des Volontaires, Le Club Paris 2024, Relais de la flamme, Billetterie, Génération, Terre de Jeux, etc.).
Conformément nos obligations réglementaires en matière de protection des données personnelles, nous vous avons informé sur le traitement de vos données au sein des politiques de confidentialité applicables à ces différents contextes de collecte et/ou aux plateformes précitées, notamment au moyen de notre Politique de confidentialité générale et des Politiques de confidentialité complémentaires disponibles sur nos différentes plateformes.
Cette information a notamment porté sur (i) les responsabilités liées au traitement de vos données, (ii) les finalités poursuivies par Paris 2024 ainsi que les bases légales fondant le traitement de vos données par Paris 2024, (iii) les catégories de données collectées, (iv) les destinataires de vos données, (v) les durées de conservation, et (vi) les droits dont vous disposez sur vos données.
Nous vous rappelons à cet égard que Paris 2024 a pu être amené à transmettre certaines de vos données (comprenant par exemple des informations relatives à votre compte sur nos plateformes, aux caractéristiques et conditions d’achat de votre billet, au type de billet acheté, à vos disciplines favorites, aux évènements pour lesquels vous avez acheté un billet, à votre éventuelle adhésion au Club Paris 2024, ou encore des données de profil issues de nos traitements d’analyse) au Comité International Olympique (« CIO »), qui traite ces données en qualité de responsable de traitement indépendant afin de mieux connaître ses fans, évaluer les performances de ses propriétés numériques ou de ses activités liées aux Jeux, et se repose pour ce faire sur son intérêt légitime. Pour plus d’informations sur les traitements que le CIO réalise sur vos données, et sur la faculté de vous opposer aux traitements opérés par le CIO pour les finalités susvisées, nous vous invitons à vous référer à sa politique de confidentialité disponible ici.
Comme vous le savez, les Jeux se sont terminés le 8 septembre 2024. La structure de Paris 2024 sera dissoute prochainement et dans ce contexte, nous tenons à vous informer sur le sort de vos données personnelles à l’issue des Jeux, ainsi que sur la façon dont vous pouvez continuer à exercer vos droits conformément aux exigences réglementaires.
Sort de vos données à l’issue des Jeux :
1) Suppression de vos données de nos bases actives
En raison de la dissolution de Paris 2024, vos données seront progressivement supprimées de nos bases actives d’ici la fin du mois de novembre 2024. A compter de cette date, vos données seront ensuite archivées de façon sécurisée par l’entité liquidatrice qui sera désignée par Paris 2024 après sa dissolution, aux seules fins (i) de répondre à nos obligations fiscales pour une durée de 6 ans, et/ou (ii) de gestion des litiges pour une durée de 5 ans.
2) Exercice de vos droits sur vos données
En toute hypothèse, nous vous rappelons que conformément à la règlementation en vigueur, vous disposez sur vos données des droits d’accès, de rectification, d’effacement, de portabilité, de limitation des traitements, et de vous opposer au traitement de vos données ou de révoquer votre consentement s’il a fondé un traitement.Vous pouvez continuer à exercer vos droits auprès de Paris 2024 en justifiant de votre identité et en rappelant le contexte de votre interaction avec Paris 2024, en faisant votre demande ou en toute hypothèse à l’adresse suivante : dpo@paris2024.org.
Nous vous rappelons enfin qu’en cas de difficultés non résolues, vous pouvez déposer une réclamation auprès de l’autorité de contrôle compétente, qui est, en France, la Commission Nationale de l’Informatique et des Libertés (CNIL).
Pour toute question relative à ce message et plus généralement sur la protection de vos données personnelles, vous pouvez nous envoyer votre demande à dpo@paris2024.org.
L’équipe Paris 2024 de protection des données personnelles
- Accessibilité des sites Web - 11/10/2024
- 9 conseils pour mettre en œuvre le changement - 10/10/2024
- Le mécénat d’entreprise réinventé par une start-up innovante - 09/10/2024