Richard Stallman remet en cause l'efficacité du RGPD
Il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles
Le 2018-04-04 18:35:42, par Michael Guilloux, Chroniqueur Actualités
Richard Matthew Stallman (RMS) est pour beaucoup quelqu'un d'un peu trop extrémiste pour que ses opinions soient prises au sérieux. Mais pour ceux qui ont l'habitude de l'écouter ou de le lire, il dit parfois de grandes vérités et bon nombre de ses avertissements sont aujourd'hui une réalité. Les années ne l'ont pas rendu plus flexible, au contraire, le président de la Free Software Foundation (FSF) est resté et s'est affermi dans sa position de militant du logiciel libre et des valeurs qui vont de pair, comme le respect de la vie privée.
Avec les révélations relatives à la collecte illégale de données d'utilisateurs de Facebook, Richard Stallman estime que c'est le moment de rendre les campagnes publiques pour la vie privée « plus larges et plus profondes. » « Plus large signifie étendre [ces campagnes] à tous les systèmes de surveillance, pas seulement Facebook. Plus profond signifie passer de la régulation de l'utilisation des données à la régulation de l'accumulation des données », explique-t-il dans une tribune du quotidien américain The Guardian.
En parlant de régulation de l'utilisation des données, RMS fait allusion à l'Europe où il estime que le règlement général sur la protection des données (RGPD) ne pousse pas le pion suffisamment loin pour protéger la vie privée des Européens. Et il explique pourquoi.
Richard Matthew Stallman (RMS)
Pourquoi Stallman remet-il en cause l'efficacité du RGPD ?
Richard Stallman trouve que le RGPD de l'UE est bien intentionné, mais ne va pas très loin. Il pense en effet que le RGPD « ne va pas garantir beaucoup de confidentialité, car ses règles sont trop laxistes. Elles permettent de recueillir des données si elles sont utiles au système », dit-il, avant d'ajouter qu'il est « facile de trouver un moyen de rendre utiles des données particulières pour quelque chose. »
Le deuxième problème avec le RGPD, selon RMS, est ce que certains pourraient considérer comme un atout : il exige très souvent que les utilisateurs donnent leur consentement pour la collecte de leurs données. C'est une très bonne chose, mais Stallman regrette que cela ne fasse pas grand-chose. Pourquoi ? Parce que « les concepteurs de systèmes sont devenus experts en matière de fabrication de consentement », dit-il, et « la plupart des utilisateurs acceptent les termes d'un site sans les lire ». Il cite par exemple une expérience menée par Europol et la firme de sécurité F-Secure en 2014 ; une expérience dans laquelle des utilisateurs ont accepté de donner leur premier-né pour pouvoir se connecter à un Wi-Fi. Cette clause était en effet incluse dans les conditions d'utilisation du Wi-Fi. Comme l'explique Stallman, quand il s'agit alors d'un système crucial pour la vie moderne, comme les bus et les trains, les utilisateurs ignorent les termes, car les conséquences du refus du consentement sont trop pénibles à supporter.
Richard Stallman veut une loi pour empêcher les systèmes de collecter des données personnelles
« La surveillance qui nous est imposée aujourd'hui dépasse de loin celle de l'Union soviétique. Pour préserver la liberté et la démocratie, nous devons donc en éliminer la plus grande partie. Il y a tellement de façons d'utiliser les données pour causer des préjudices aux gens que la seule base de données sûre est celle qui n'a jamais été collectée », a écrit RMS. « Ainsi, au lieu de l'approche de l'UE de réglementer la manière dont les données personnelles peuvent être utilisées (dans son RGPD), je propose une loi pour empêcher les systèmes de collecter des données personnelles », a-t-il ajouté. Ce qu'il veut dire exactement, Stallman l'explique dans la suite, en partant de certains exemples réels.
Il cite par exemple le système de carte de paiement numérique de l'opérateur de transport public londonien, Transport for London. Il centralise les données et quand un passager de train ou de bus alimente sa carte ou effectue un paiement, le système associe la carte à l'identité du passager. Cela permet donc de suivre les passagers. Malheureusement, RMS pense que le système de transport peut justifier cette pratique en vertu des règles du RGPD. En revanche, sa proposition exigerait que le système cesse de suivre les déplacements des passagers puisque « la fonction de base de la carte est de payer pour le transport » ; ce qui peut donc très bien se faire par le biais d'un système de paiement anonyme. À propos des systèmes de paiements anonymes, Richard Stallman rappelle l'existence de GNU Taler. Ce système de paiement libre est anonyme pour le payeur, mais permet d'identifier les bénéficiaires pour ne pas faciliter l'évasion fiscale.
Le président de la FSF estime même qu'on peut trouver un équilibre juste entre la sécurité et la protection de la vie privée. Prenant l'exemple des caméras de surveillance dans les zones publiques, il pense que l'enregistrement doit être local. Il ne devrait donc pas être possible de le visualiser à distance sans avoir récupéré le support physique. Il suggère en outre que les systèmes biométriques soient conçus de manière à ne reconnaître que les personnes figurant sur une liste de suspects validée par un tribunal, afin de respecter la vie privée de tous les autres.
Tout cela pour arriver à un point : selon Stallman, toute loi qui vise à protéger la vie privée des gens doit définir comme « principe de base [...] qu'un système doit être conçu pour ne pas collecter certaines données, si sa fonction de base peut être réalisée sans ces données. » Une fois encore, l'initiateur du mouvement libre appelle à ne pas oublier les logiciels que vous utilisez sur vos propres ordinateurs. « Si c'est le logiciel non libre d'Apple, Google ou Microsoft, il vous espionne régulièrement », dit-il. « En revanche, le logiciel libre est contrôlé par ses utilisateurs. »
Source : Richard Stallman
Et vous ?
Que pensez-vous des opinions exprimées ici par Stallman ?
Êtes-vous d'accord avec ce qu'il dit ?
Avec les révélations relatives à la collecte illégale de données d'utilisateurs de Facebook, Richard Stallman estime que c'est le moment de rendre les campagnes publiques pour la vie privée « plus larges et plus profondes. » « Plus large signifie étendre [ces campagnes] à tous les systèmes de surveillance, pas seulement Facebook. Plus profond signifie passer de la régulation de l'utilisation des données à la régulation de l'accumulation des données », explique-t-il dans une tribune du quotidien américain The Guardian.
En parlant de régulation de l'utilisation des données, RMS fait allusion à l'Europe où il estime que le règlement général sur la protection des données (RGPD) ne pousse pas le pion suffisamment loin pour protéger la vie privée des Européens. Et il explique pourquoi.
Richard Matthew Stallman (RMS)
Pourquoi Stallman remet-il en cause l'efficacité du RGPD ?
Richard Stallman trouve que le RGPD de l'UE est bien intentionné, mais ne va pas très loin. Il pense en effet que le RGPD « ne va pas garantir beaucoup de confidentialité, car ses règles sont trop laxistes. Elles permettent de recueillir des données si elles sont utiles au système », dit-il, avant d'ajouter qu'il est « facile de trouver un moyen de rendre utiles des données particulières pour quelque chose. »
Le deuxième problème avec le RGPD, selon RMS, est ce que certains pourraient considérer comme un atout : il exige très souvent que les utilisateurs donnent leur consentement pour la collecte de leurs données. C'est une très bonne chose, mais Stallman regrette que cela ne fasse pas grand-chose. Pourquoi ? Parce que « les concepteurs de systèmes sont devenus experts en matière de fabrication de consentement », dit-il, et « la plupart des utilisateurs acceptent les termes d'un site sans les lire ». Il cite par exemple une expérience menée par Europol et la firme de sécurité F-Secure en 2014 ; une expérience dans laquelle des utilisateurs ont accepté de donner leur premier-né pour pouvoir se connecter à un Wi-Fi. Cette clause était en effet incluse dans les conditions d'utilisation du Wi-Fi. Comme l'explique Stallman, quand il s'agit alors d'un système crucial pour la vie moderne, comme les bus et les trains, les utilisateurs ignorent les termes, car les conséquences du refus du consentement sont trop pénibles à supporter.
Richard Stallman veut une loi pour empêcher les systèmes de collecter des données personnelles
« La surveillance qui nous est imposée aujourd'hui dépasse de loin celle de l'Union soviétique. Pour préserver la liberté et la démocratie, nous devons donc en éliminer la plus grande partie. Il y a tellement de façons d'utiliser les données pour causer des préjudices aux gens que la seule base de données sûre est celle qui n'a jamais été collectée », a écrit RMS. « Ainsi, au lieu de l'approche de l'UE de réglementer la manière dont les données personnelles peuvent être utilisées (dans son RGPD), je propose une loi pour empêcher les systèmes de collecter des données personnelles », a-t-il ajouté. Ce qu'il veut dire exactement, Stallman l'explique dans la suite, en partant de certains exemples réels.
Il cite par exemple le système de carte de paiement numérique de l'opérateur de transport public londonien, Transport for London. Il centralise les données et quand un passager de train ou de bus alimente sa carte ou effectue un paiement, le système associe la carte à l'identité du passager. Cela permet donc de suivre les passagers. Malheureusement, RMS pense que le système de transport peut justifier cette pratique en vertu des règles du RGPD. En revanche, sa proposition exigerait que le système cesse de suivre les déplacements des passagers puisque « la fonction de base de la carte est de payer pour le transport » ; ce qui peut donc très bien se faire par le biais d'un système de paiement anonyme. À propos des systèmes de paiements anonymes, Richard Stallman rappelle l'existence de GNU Taler. Ce système de paiement libre est anonyme pour le payeur, mais permet d'identifier les bénéficiaires pour ne pas faciliter l'évasion fiscale.
Le président de la FSF estime même qu'on peut trouver un équilibre juste entre la sécurité et la protection de la vie privée. Prenant l'exemple des caméras de surveillance dans les zones publiques, il pense que l'enregistrement doit être local. Il ne devrait donc pas être possible de le visualiser à distance sans avoir récupéré le support physique. Il suggère en outre que les systèmes biométriques soient conçus de manière à ne reconnaître que les personnes figurant sur une liste de suspects validée par un tribunal, afin de respecter la vie privée de tous les autres.
Tout cela pour arriver à un point : selon Stallman, toute loi qui vise à protéger la vie privée des gens doit définir comme « principe de base [...] qu'un système doit être conçu pour ne pas collecter certaines données, si sa fonction de base peut être réalisée sans ces données. » Une fois encore, l'initiateur du mouvement libre appelle à ne pas oublier les logiciels que vous utilisez sur vos propres ordinateurs. « Si c'est le logiciel non libre d'Apple, Google ou Microsoft, il vous espionne régulièrement », dit-il. « En revanche, le logiciel libre est contrôlé par ses utilisateurs. »
Source : Richard Stallman
Et vous ?
-
koyosamaMembre éprouvéDomage que le business marche autrement. Bienvenue sur terre.le 04/04/2018 à 18:51
-
VoyvodeMembre émériteQu'elles changent de modèle économique ou qu'elles meurent. Le monde a existé avant, il existera après.
Mais la question n'est pas là. Ces entreprises sont d'excellentes agences de renseignement, les états ne chercheront pas vraiment à les éliminer.le 04/04/2018 à 23:17 -
tanaka59InactifIl existe une pratique dont on ne parle pas ou peu ...
Des organismes en France et Belgique comme les opérateurs télécoms (téléphonie fixe /internet) , les opérateurs énérgétiques historique (edf , engie exe gdf , electrabel) , la poste avec digiposte , Bepost , les caisses de sécurités sociales (cpam , mutualité chrétienne , msa ... ) , les assurances de bien immobiliers doivent travailler avec l'état afin de faire remonter des quantités astronomiques d'adresses postales valides ... pour retrouver les citoyens indélicats qui tentent de frauder les impots ou les taxes.
Ce qu'on dit moins c'est que ces mêmes sociétés qui brassent aussi beaucoup de données privées les revendent.
Un exemple concret , en s'inscrivant sur le site agirc-arcco , dans les 6 mois suivant l'inscription j'ai reçu un pub pour une société d'eau ... appartenant à véolia . Je ne suis pas propriétaire et la société en question a essayé de me refourgé des services pour des entretiens de canalisation.
Donc oui l'état participe de prés ou de loin à la collecte massive.
D'autres exemples existent ... une société comme Steam vous demande une adresse postale de facturation lors d'un achat sur leur site . Vous direz quel est l'interet de demander une adresse postal si j'achete un jeu dématérialisé ? Cela reviendra a dire que votre boulanger vous demande la marque de votre gele douche pour acheter une baguette de pain ...
Je suis plutôt d'accord de limiter la collecte de certaines données. Collecter , collecter , collecter ... et quand est ce qu'on met à jour ou supprimer l'info obsolète ?le 05/04/2018 à 9:48 -
NeckaraInactifLe RGPD, c'est ~ avril 2016 (application en mai 2018), il est un peu en retard de plus de 2 ans pour le critiquer et dire ce qu'il aurait voulu.
Ensuite, il ne faut pas oublier l'objectif du RGPD, une normalisation des législations des pays Européens, ce qui facilite les recours, même pour des serveurs hébergés dans un autres pays Européen. Ne pas oublier aussi les quelques droits qui ont été inscrits comme le droit à l'effacement, le droit à l'exportation de ses données, le devoir d'information dans les 72h suivant la fuite de données, la désignation d'un délégué à la protection des données, etc.
Pour finir, l'exemple qu'il donne est faux, et ce qu'il demande existe déjà... dans le RGPD. Les données collectées doivent être pertinentes quant à la finalité poursuivie.Art. 5 § 1b : collectées à des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.
Art. 5 § 1c : adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).
Bref, peut-être faut-il lire le RGPD avant de le critiquer.le 05/04/2018 à 8:47 -
fredinkanMembre expérimenté
Attention, ce cas est tendancieux.
L'adresse de facturation a valeure légale.
Elle permet de retrouver la personne facturée en cas de litige (qu'il soit dans un sens comme dans l'autre) et va permettre la gestion des informations de TVA et autres taxes du genre.le 05/04/2018 à 10:09 -
NeckaraInactifPour rappel, on peut se faire traquer, même sans avoir de compte Facebook.
Que ce soit parce qu'on visite des sites intégrants des boutons Like Facebook, comme e.g. CommitStrip. Ou que ce soit parce qu'un de nos correspondant utilise l'application Facebook sur son smartphone. C'est comme pour GMail, on a beau ne pas l'utiliser pour des raisons de sécurité, si nos correspondant l'utilisent ça ne sert plus à rien.le 09/04/2018 à 4:39 -
Paul TOTHExpert éminent séniorla question n'est pas de savoir si tu affiches ou pas sur "ta" page Facebook ta situation familiale, c'est de savoir s'il est autorisé d'en faire un traitement automatisé pour te cibler pour la St Valentin ou pour vérifier que tu ne t'es pas déclaré parent isolé à l'administration (deux cas de figure pour lesquels la réponse n'est pas forcément la même).le 09/07/2019 à 11:05
-
sergio_is_backExpert confirméStallman a souvent des positions extrêmes auxquelles je n'adhère pas tout le temps mais il a le don de mettre le doigt sur des problèmes bien réels. Comment être sur que mes données personnelles (mes conversations
privées par exemples, mes déplacements dans un cadre privé, etc...) ne vont être mises à la disposition d'un tiers sans que je le souhaite et surtout à des tiers auquel je ne fait pas confiance ?
Le RPGD est un premier pas dans ce domaine même si pense comme lui qu'il ne pas assez loin en la matière.le 05/04/2018 à 8:39 -
walfratMembre émériteQue si aujourd'hui il y encore tant de données collectées alors qu'on sait ce qui se passe, c'est parce que la plupart des gens n'ont pas envie de se fatiguer à gérer leur données personnelles finement. Et franchement j'en suis. D'ailleurs comment tu ferais pour les FAI ? Logiquement ils connaissent tous le sites que tu as visités et doivent en conserver la trace pour une certaine durée légalement.
Si je devais proposer quelque chose, ce serait déjà d'obliger que nos données soit hébergés/exploités en Europe où je fais largement plus confiance qu'au reste du monde.le 09/07/2019 à 9:27 -
NeckaraInactifLes gars, vous avez 14 mois de retard.le 09/07/2019 à 18:31