J’ai rapidement fait le tour des sites web de candidats en cherchant à établir s’ils respectent la législation en matière de protection de données personnelles.
Il s’agit d’un travail fait au mois de février 2017 et que j’ai mis à jour suite au #CookieGate, soit l’étude par Ronan Chardonneau sur la manière dont les sites des candidats se conforment à la législation française. Les points évoqués dans les lignes suivantes sont complémentaires avec le travail de Ronan. Je garde néanmoins l’évaluation de trois candidats en dehors des 11 finaux et j’ai signalé si des évolutions ont été remarquées depuis ma première évaluation de février.
Le sujet peut paraître barbant. Cependant, c’est la loi de la République et il s’agit des candidats à la présidentielle de ladite République. Vous ou moi, on est dispensé de la tâche de rédiger des mentions légales pour nos obscures blogs : tant que cela reste dans le cadre purement personnel, on est couvert par la “norme d’exonération n°6”.
Il s’agit néanmoins d’une obligation légale pour toute personne qui édite un site web à visée commerciale et politique. Il est ainsi tout à fait logique de se poser la question du respect de la loi française par ceux et celles qui prétendent à l’investiture suprême.
Je me suis donc intéressée à la cohérence qu’il y a entre un peaufinage de sites web, la création d’applications mobiles et l’investissement dans des efforts de campagnes numériques, et la question fondamentale du respect des dispositions les plus basiques de la loi.
Si vous vous intéressez au détail des obligations, faut scroller. Pour l’instant, voici la manière dont les points ont été attribués :
- Obligations LCEN : qui édite le site (une personne physique ou morale, les identités respectives). De plus, il faut indiquer le directeur de publication (nom + adresse) et l’hébergeur (nom + raison sociale + adresse).
-> Au total : maximum 5 points si éditeur personne physique et 6 si personne morale
- Obligations CNIL : une obligation de déclaration de gestion de données personnelles dans le cas où on gère des données personnelles, avec son numéro fourni par la CNIL (1 point) et une indication sur les cookies. Comme Ronan a fait la partie cookies, je ne m’y attarde pas dans mon évaluation.
Ces informations sont donc à inclure dans les mentions légales lesquelles doivent par ailleurs stipuler la destination des données nominatives, la faculté d’opposition et le droit d’accès et de rectification des internautes. Si chacun de ces points est respecté, la note se voit augmentée de 3 points.
-> Au total : maximum 4 points.
- Présence de HTTPS : maximum 1 point.
Le meilleur candidat aura donc bon partout (et une gommette “approuvé” s’il rend l’argent).
Digital partout, numérique nulle part…
Ainsi même si j’ai donné la note maximale à presque tous les sites où il y a une page “Mentions légales”, on notera que l’exigence “stipuler la destination des données nominatives, la faculté d’opposition et le droit d’accès et de rectification des internautes” souffre de peu d’attention. Le plus souvent, le texte dit juste “ouais, vous avez ces droits-là”, mais sans plus. D’autres, meilleurs élèves, indiquent une adresse mail de contact au cas où l’internaute souhaiterait faire valoir l’un de ces droits. Le site de N. Arthaud reçoit un score de zéro pour les “Mentions légales” car, même si une page de ce genre existe sur son site web, elle ne stipule pas les droits dont dispose l’internaute et par ailleurs le contenu de cette page prête à confusion (concerne-t-elle seulement la candidate ou plus largement son parti ?).
Autrement dit, peut mieux faire :
Dans le cas qui nous occupe, très peu de candidats respectent la législation (voir l’évaluation brute dans le fichier dédié). Il est étonnant de s’en rendre compte : par ex., les obligations LCEN (cf. plus bas pour le détail) ne sont pas le truc le plus exigeant du monde et existent depuis 2004. Quant aux obligations CNIL, c’est assez YOLO aussi, alors que la Commission propose des modèles de déclarations et de mentions légales qu’il suffirait de copier-coller en amendant les éléments pertinents...
En l’espèce, soit les sites des candidats ne font aucune mention des éléments obligatoires, soit, comme François Asselineau, ils écrivent que “Le site n’est pas déclaré à la CNIL car il ne recueille pas d’informations personnelles.” Trop souvent, les “Mentions légales” sont reléguées à la seule déclaration du gestionnaire financier de la campagne et se contentent d’un copier-coller d’article de loi.
Dans le cas de F. Asselineau, cette assertion est incorrecte : via son site web, on peut adhérer à son mouvement et le soutenir financièrement, donc on remplit un formulaire avec plein de données personnelles et on laisse également ses coordonnées bancaires. Il s’agit là de données personnelles recueillies dont le traitement devrait être couvert par une déclaration à la CNIL. On remarquera que la page d’adhésion/donation utilise le HTTPS (certificat Gandi Pro SSL). Cependant, le bandeau en haut qui clignote en invitant à “visiter le nouveau site web” est déroutant : il renvoie sur la page d’accueil en HTTP. Du coup, j’ai considéré que le site principal du candidat n’utilise pas de navigation sécurisée tout court.
L’usage de la navigation sécurisée au petit bonheur la chance se rencontre ailleurs aussi : NDA a par exemple opté pour un certificat SSL de LetsEncrypt pour sa seule page de dons, mais pas pour la totalité du site web. Le site de Benoît Hamon est un peu exotique avec la page d’accueil s’affichant en HTTP (même si sa version HTTPS fonctionne aussi si vous le demandez explicitement) mais le reste des pages est en HTTPS… Un peu exotique comme réglage, il faut l’avouer.
Enfin, le site de Philippe Poutou râle un peu : le certificat est correct, mais il y a une inclusion HTTP (vers le logiciel de statistiques Piwik).
Si l’on résume donc l’utilisation globale de la navigation sécurisée par candidat :
Insister sur ces questions (dont le HTTPS) n’est pas une lubie de technicien-ne mal luné-e : on parle de candidats à la présidentielle de la République qui, dans le cadre de leurs campagnes, recueillent des données à caractères personnel des citoyens. Ces données-là sont sensibles car identifiantes : c’est pourquoi leur traitement est encadré par la loi. L’utilisation de HTTPS est à part, autrement dit il n’y a pas d’obligation légale de le faire. Cependant, comme d’aucuns l’ont fait remarquer à juste titre, la loi Informatique et Liberté stipule (art. 34) que :
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Le HTTPS est la façon la plus simple d’assurer la confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur web (lorsque celles-ci transitent via des sites web quoi), comme c’est le cas ici donc. Ainsi, même s’il n’existe pas d’obligation légale mentionnant le HTTPS spécifiquement, on est en 2017 et on pourrait s’étonner de la légèreté avec laquelle cet élément ait été abordé par beaucoup d’équipes techniques de candidats.
En conclusion, il y a encore pas mal de chemin à parcourir…
Les jeunes avec YOLO
Dans mon évaluation de février 2017, j’avais également regardé les candidats Jadot, Alliot-Marie et Lesquen ainsi que les groupes de soutien “Les jeunes avec [nom de candidat]”. Vous pouvez voir l’état des lieu en détail dans le fichier dédié.
Dans le cas des groupes “Les jeunes avec”, la situation était encore pire. Je comprends que ces groupes ne soient pas nécessairement des émanations/en connexion avec les partis et/ou candidats, mais sed lex : la loi s’applique à tout le monde.
Il y avait des manquements graves dans chaque cas examiné, mais le pire à mes yeux était le site des Jeunes avec Macron (dont d’autres ont signalé les trous de sécu qui feraient pâlir le gruyère). Pour les rejoindre, on devait laisser ses nom, prénom, code postal, ville, adresse mail, code postal d’études/travail, nom d’université/grande école et répondre à des questions du genre “est-ce votre premier engagement politique ?”. Nulle part sur le site je n’ai trouvé de page “Mentions légales” et le site ne proposait que de la navigation en HTTP. Depuis, le HTTPS sur le site web a été déployé, la demande d’indiquer sa fac ou école a été enlevée… mais la page “Mentions légales” n’existe toujours pas. Le moins rassurant est que depuis février, le formulaire d’adhésion a été transféré vers le service américain Nation Builder et la transmission d’informations se fait toujours en HTTP (non sécurisée donc).
Dans une prochaine publication, je vous parlerai des boutiques, applis mobiles et autres moyens de communication numérique des candidats. Eh oui, être citoyen-ne activement impliqué-e dans la vie publique ne se résume pas à aller voter 1 fois tous les quelques mois/années : c’est aussi comprendre comment ça marche, le pays où on vit et qu’on aime, et veiller à ce que ceux à qui on délègue le pouvoir de décider ses lois les respectent eux-mêmes.
Les mentions légales sont obligatoires : le détail
La LCEN (de son nom complet Loi n° 2004–575 du 21 juin 2004 pour la confiance dans l’économie numérique) l’indique clairement :
Toute personne éditant un site Internet doit mettre à disposition facilement et sur toutes les pages de son site un accès à des mentions légales.
On va s’éviter les maux de tête et ne creusera pas plus loin mais disons qu’il y a des textes de lois supplémentaires et le manquement à l’une ou l’autre des obligations légales peut être sanctionné assez lourdement (jusqu’à un an d’emprisonnement et de 75 000€ d’amende pour les personnes physiques, ré-évaluée à 375 000€ pour les personnes morales). La CNIL a par ailleurs de nombreux explicatifs quant à la réglementation autour des cookies, entre autres.
L’idée est simple : toute personne qui édite un site web et qui, pour le fonctionnement du service proposé, recueille des données personnelles de tiers se doit d’en faire un usage respectueux. Les mentions ou informations légales doivent être accessibles (en pied de page ou via un menu sur le côté).
A) Des mentions d’identité “personnelles” des personnes physiques et/ou morales
Doivent figurer les nom, prénom, adresse, téléphone, les N° SIRET et RCS dans le cas où ces personnes seraient assujetties aux formalités d’inscription au registre du commerce et des sociétés (RCS) ou au répertoire des métiers.
Les personnes morales devront indiquer de même : dénomination ou raison sociale, capital et siège social, téléphone, l’adresse mail de contact, les N° SIRET et RCS.
B) Des renseignements sur les directeur (ou codirecteur) de publication.
Doivent donc figurer le nom, le prénom et les coordonnées du directeur de la publication ou/et du responsable de rédaction (il s’agit d’une personne physique).
C) Des références sur l’hébergeur indépendamment de toute facturation
Doivent figurer le nom, la dénomination (ou raison) sociale, l’adresse physique et le numéro de téléphone.
Outre la LCEN, la CNIL (Commission nationale Informatique et Libertés) a quelques règles bien explicitées sur son site web (et des modèles que l’on peut télécharger). Extraits choisis de ces exigences parce que je m’en suis servi pour établir ma grille de notation.
A) L’indication du numéro de déclaration à la CNIL lorsque le site traite des données directement ou indirectement nominatives.
Cela concerne :
- Les sites de e-commerce : relèvent de la norme simplifiée 48 relative aux fichiers de clients et de prospects. Si le traitement est conforme à cette norme, une déclaration simplifiée est à faire.
- La mise en œuvre d’un téléservice de l’administration électronique doit faire l’objet d’une demande d’avis auprès de la CNIL
- Les informations liées à la vie privée des internautes supposent une déclaration du fichier client et de sa base de donnée sur le site de la CNIL : il s’agit d’une déclaration normale (article 23 de la loi du 6/01/78 modifiée).
La CNIL fournira un numéro de déclaration lequel doit être précisé dans les mentions légales conformément à la LCEN n° 2004–801 du 6 août 2004.
La diffusion et la collecte de données à caractère personnel opérées à partir d’un site web dans le cadre d’activités professionnelles, politiques, ou associatives restent soumises à une déclaration préalable auprès de la CNIL.
B) Les sites vitrines purement institutionnels, non commerciaux à la condition qu’ils soient conformes à la dispense N°7, ce qui exclut toute utilisation commerciale ou politique des données traitées.
C) Les sites mis en œuvre par les associations « loi 1901 » qui recueillent et/ou diffusent des données concernant leurs membres et leurs donateurs.
A condition de respecter la dispense N°8 sur les traitements de données personnelles mis en œuvre par tout organisme à but non lucratif (association loi 1901, fondations, fonds de dotation) pour la gestion administrative de leurs membres, bénévoles et donateurs.
Seules peuvent être enregistrées les données relatives à l’identité, l’identité bancaire, vie associative, et à des fins statistiques les données de connexion.
Elle exclut les données sensibles telles que les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des personnes, les infractions, condamnations ou mesure de justice, les informations sur les difficultés sociales et le numéro de sécurité sociale.
Voir également les modifications suite à la promulgation de la loi pour une République Numérique
