A la base le RGPD est un texte de loi qui vise à protéger l’internaute et plus particulièrement lui permettre de mieux maîtriser ses données personnelles et plus globalement toute information qui pourrait être utilisée par un site web, qu’il s’agisse de données explicitement fournies (formulaire de contact, abonnement à une newsletter, sondage, etc) ou implicitement fournies (données d’environnement telles que le système d’exploitation, le navigateur utilisé, l’historique de navigation, etc…)
Ça c’est la base du texte de loi. N’étant pas juriste je ne vais pas m’étendre sur le RGPD et décortiquer ou argumenter sur son contenu. Je n’ ai pas les compétences suffisantes pour cela.
Je vais toutefois m’attarder sur ses conséquences pour les veilleurs et plus globalement pour toute personne ayant besoin de recourir à des recherches d’information à l’international et travaillant en Europe.
C’est le double effet Kiss Cool (marque déposée) du RGPD ou, plus précisément comment tirer une balle dans le pied de son propre pays pour ce qui relève de l’accès à l’information mais également de la protection de l’information.
Rappelons un principe fondamental de la loi, c’est que le plaignant peut demander l’application de la législation de l’endroit où il constate l’atteinte à ses droits à moins qu’un contrat n’ait été signé entre les parties ou à moins d’accords internationaux spécifiques (tels que celui de Vienne).
Là encore j’accepte toute correction de la part de juriste et j’espère ne pas me tromper.
Qu’est-ce que cela veut dire pour internet et plus précisément pour le RGPD ?
En gros, si je suis un internaute français, et si, prenons un exemple totalement au hasard, je visite un site américain, et que ce dernier ne respecte pas le RGPD, alors je suis en droit de porter plainte contre lui en France.
Plusieurs options sont alors possibles pour le dit site américain( ou vous l’aurez compris, tout site en dehors de l’espace européen) :
1) il a mis en place tout ce qu’il fallait pour respecter le RGPD, texte européo-européen soit parce que le lectorat européen lui importe soit parce qu’il était déjà compatible RGPD.
-
- NB : la palme de la palme du maxi LOL revient au site www.npr.org qui, afin de vous proposer une option de conformité au RGPD sans tracking, vous propose ni plus ni moins un retour aux année 90 avec une version texte de son site, ce qui, blague à part, est par ailleurs un plutôt très bonne chose si l’on fait du crawling.
- Complément du 3 juillet 2019 : depuis le site www.npr.org semble avoir corrigé cela
2)il n’est pas conforme au RGPD et il estime que le risque juridique n’est pas suffisant pour le prendre en considération
3)L’option 3 est celle qui justifie cet article. Dans cette dernière option, le site se préoccupe du RGPD et du risque juridique et comme il vous a identifié comme vous connectant d’Europe, il vous dit gentiment d’aller voir ailleurs. Ca donne ca dans la vraie vie :
Le message n’a aucune ambiguïté. Extraits choisis de la vie d’un veilleur français et européen à l’international :
Vous pouvez vérifier par vous même en cliquant sur les images.
Comme on s’est dit qu’on était trop et trop bien informé en France (et en Europe) on s’est sans doute dit qu’un texte de loi qui obligerait tous les autres pays du monde hors Europe à adopter notre texte de loi pour que les européens daignent accéder à leurs sites webs ce serait une bonne idée.
Mais voilà, le problème c’est que les deux Groupes US Tronc et Lee Enterprises, qui a eux deux détiennent 77 sites de news anglais ainsi que des magazines en ligne se fichent de bouter hors de leurs frontières les européens.
Selon Mathew Ingram, les dirigeants de Tronc auraient par ailleurs déclaré qu’ils n’avaient aucune intention de se mettre à jour sur le RGPD et que tout cela ne serait pas du tout rentable. Donc si vous espériez un mieux dans les semaines / mois à venir, ne comptez pas trop dessus.
Quel impact pour le veilleur ?
Alors tout d’abord l’impact est assez clair au quotidien. Impossible d’accéder à ces sites sans passer par un bon VPN. Mais je reviendrai sur ce point.
Autre point, les veilleurs français utilisent des logiciels de veille. Or, si ces derniers sont basés sur des infrastructures cloud en mode SaaS basées en Europe, cela implique que leurs serveurs ne pourront tout simplement pas surveiller les sites non européens qui auraient mis en place ces stratégies de bannissement.
Cela veut dire concrètement, que les logiciels de veille en mode SaaS du marché français / européen, doivent disposer d’une infrastructure offrant l’option de crawler tout ou partie des sources en dehors de l’Europe.
Et dans l’idéal, ces sites webs devraient disposer d’option permettant de visualiser les informations collectées sur le site en « embed » à travers des proxys hors zones Europe.
Pour le veilleur indépendant, ou dans une PME relativement flexible sur son Système d’information on peut arriver à s’en sortir. Dans une entreprise internationale où le SI est verrouillé ça va être compliqué pour les travailleurs du savoir de mettre en place des solutions de contournement.
L’effet papillon
Au final, cette loi offre donc une protection pour l’internaute européen, voici quelques uns des effets secondaires déjà identifiés et ceux potentiellement à venir :
- Difficulté d’accès à des sites d’information internationaux. CQFD le début de l’article.
- Affaiblissement de la sécurité informatique pour ceux qui voudraient contourner la protection et seraient amenés à installer des solutions type VPN ou autre. Alors qu’on sait que les PME sont déjà pas forcément au sommet en termes de protection, c’est, me semble-t’il, un risque non négligeable. #rememberransomware
- Fuites de données potentielles en installant des infrastructures de crawling de la part d’éditeurs de logiciels de veille qui devraient localiser hors Europe une partie de leurs serveurs. A un moment où certains sites de presse pointent du doigt Palantir, le RGPD a juste semé les graines pour ruiner tout effort de sécurisation des infrastructures de données français en instaurant de facto une ligne Maginot de l’information.
- Déperdition d’information hors grands médias par exemple pour les blogs européens ou les petits sites qui baisseraient les bras face aux risques juridiques et fermeraient la porte. Comme les petits commerçant s’en plaignent souvent ou les TPE, à fort just titre à mon avis, la législation autour de l’information et autour des obligations des sites webs devient un véritable cauchemar pour ceux dont ce n’est pas le métier ou qui n’ont pas les moyens de payer un prestataire. Alors que des voix s’élèvent en Europe pour trouver des alternatives à Google, à Facebook, et autres géants américains nous sommes en train, là aussi, de tout faire pour que désormais le petit commerçant préfère passer par Amazon ou le journaliste indépendant par ouvrir un blog LinkedIn ou une page Facebook, renforçant ainsi l’hégémonie de ces géants du web massivement américains.
Ce sont les points qui me viennent en premier à l’esprit mais il y a / aura certainement d’autres effets néfastes à ce texte de loi.
Les solutions techniques
Pour un travailleur de l’information la meilleure solution est de disposer d’un VPN payant. Il existe certes des choses comme Tor mais franchement le débit est très aléatoire …
Par ailleurs en passant par le réseau Tor vous ne savez pas vraiment par où transitent vos données et on revient au point 3) des effets secondaires. On en le sait pas forcément non plus avec une société qui fournit un VPN payant mais les conditions contractuelles offrent une meilleure sécurité et une meilleure transparence de ce qui se passe.
Il existe plein de VPN. Moi personnellement j’utilise Proton VPN que je trouve rapide, ergonomique et disposant d’une liste de serveurs bien dispersés à travers le Monde et qui propose par ailleurs d’une application iPhone intéressante.
Vous lancez Proton VPN, vous vous identifiez et vous choisissez sur une carte le pays et le serveur auquel vous souhaitez vous connecter.
Mais il y a des tonnes d’autres VPN tels que nordvpn.com, expression.com, etc.
Choose your weapon !
Crédits photo : Frédéric Martinet (moi en somme) – Désert des Bardenas