Comment Pascal Kotté maltraite vos données!

Privacy Policy & Terms+Conditions

Ma politique de traitement de votre vie privée, et mes conditions pour en abuser? CGU, Conditions Générales Utilisation

Pascal Kotté
Oct 30, 2018 · 17 min read

Si c’était plutôt pour connaître les conditions financières, c’est ici.

Mise à jour 2021–09–12. Oui, comme les autres, on va s’autoriser à mettre à jour et adapter ces conditions. Je ne vais toutefois pas envoyer un email à mes 16'000 contacts, toutes les fois où je vais les corriger, même si la loi le demande. Je te propose de m’envoyer un email, pascal.kotte@cloudready.ch pour me demander de t’ajouter dans la liste de avisés aux changements de mes CGU. J’en ferai une quand je recevrai une première demande. Je ne vais pas inonder des gens non volontaires pour recevoir cela!

CGU, Conditions Générales Utilisation et bientraitance de vos données privées

C’est une bonne question! Surtout pour un éthicien digital…

Mais je ne suis pas juriste, alors improvisons voulez-vous!

Ce texte est en creative commons CC-BY, usage libre, et vos suggestions et améliorations sont welcome: Vous pouvez récupérer directement cette URL pour la reprendre telle quelle, et au lecteur de remplacer mon email, avec celui du site ou de la personne qui aura utilisé ce lien: http://terms.cloudready.ch — Mais ce sera mieux de le modifier, et y insérer cette source.

Je ne suis le DPO que de CloudReady, d’ICT-a.ch, de LiN.mx et de moi-même et des autres organisations qui me rémunèrent pour cela, et que je n’ai pas à vous citer, pour cause de ‘Privacy’. (On parle aussi de DPD en français mais cela sonne moins bien)

Pour me contacter: http://callme.kotte.net — Gardien de clefs numériques et optimiseur de flux de données! Aussi actif dans le support des “nonprofit”, du durable et des intelligences collectives, ou stupidités collectives, même chose.

Finalité et consentement

Pourquoi je collecte des données personnelles et pourquoi je publie ces Termes?

Je collecte des données personnelles pour pouvoir communiquer avec mon réseau, et les réseaux de mon réseau. C’est assez évident, mais il faut le dire!

Ces “conditions” sont destinées à répondre à la demande de nos lois CH et FR/EU sur le traitement des données personnelles. La Loi suisse LPD, sous la surveillance du PFPDT, intègre aussi les données de personnes morales, mais avec l’influence de la loi GDPR européenne, la nouvelle loi que nous avions abréviée LPD2, mais désormais nLPD, ne le fera plus (fin 2023).

Quelles données personnelles je collecte sur les gens?

Essentiellement les informations classiquement retrouvées dans une fiche ‘contact’ (vCard), avec des ‘tags’ (mots clefs).

Mais j’enrichie ces données à partir des informations glanées sur le Net et dans les réseaux sociaux, manuellement et automatiquement: Via l’outil Contacts+ (en particulier LinkedIn, Twitter, et d’autres…). Précédemment se nommait Fullcontact (Mais rebranding? Ou revendu, ou spinoff?)…

Et si voulez savoir comment cette entreprise traite nos données ? Et bien il y a une monstre “tartine” à digérer, et c’est en anglais :

Alors comme anciennement c’était FullContact, avant de devenir Contact+, il est fort à parier que vos données sont aussi restées chez Fullcontact (vous pouvez le vérifier : https://platform.fullcontact.com/claim)

Mais c’est tout garanti “GDPR compliant”! Evidemment…

Je ne collecte pas volontairement les dates de naissance, elles viennent toutes seules via les réseaux sociaux (et il faudra que je trouve comment faire arrêter Microsoft à m’annoncer les anniversaires) … Mais je peux parfois demander l’année de naissance (rarement).

Finalité

Essentiellement, pour appeler ou envoyer des emails. Mais aussi pour identifier qui m’appelle, afin de voir si je décroche, ou pas… Bon parfois, je ne peux pas décrocher, même si je voudrais (Tu prends http://rdv.kotte.net ce sera mieux). Publipostages massifs: Oui évidemment, je suis hacktiviste et multi-communities manager, alors j’ai plein de listes de diffusion, et de listes de distribution, mais toutes avec les bonnes options GDPR (accès aux données et demande de suppression).

Consentement éclairé?

Non, du moins, pas toujours, mais ce n’est pas ma faute, quoique... Quand un tiers me fait parvenir un email en mettant 250 personnes en copie visible, cela va collecter tous ces emails qui sont alors créés dans ma base de contacts. Je suppose que l’émetteur avait une bonne raison et était autorisé à me donner vos emails en cadeau… C’est sympa, à force, j’ai récupéré des milliers d’emails d’inconnus… J’ai besoin de beaucoup d’amis, m’en faudrait 100'000 actifs pour déclencher des référendums pour contribuer à changer le monde plus vite, du moins en Suisse…)

Après tout, quand vous installez WhatsApp, ou autres, vous exportez tous vos contacts et vous les uploader à Facebook, et avec toutes les mises à jour qui suivent. Alors, pourquoi pas à moi? En revanche, je ne suis pas un galeux, si tu ne veux pas que je garde ta fiche contact, je la supprime. J’en ai 16'000 (en 2021), une de plus ou une de moins, je m’en fiche…

Il faut en faire la demande à Pascal.KOTTE@CloudReady.ch. Cependant, je ne peux pas te garantir que ton email ne va pas me retomber dessus par la suite, et réapparaître. Que veux-tu que j’y fasse? Arrête de m’écrire et demande à tous tes contacts d’arrêter de m’écrire… Mais j’ai trouvé une parade en passant par des listes de diffusion, ci-après, qui va me permettre de “redevenir” compatible avec les lois LPD et GDPR:

Suppression et auto-gestion dans les listes de diffusion

J’utilise soit Mailchimp, soit PhpList, soit Newsletter d’Infomaniak. Avec l’option de retourner un lien unique, par email, à chaque destinataire. L’usage de ce lien permet d’ouvrir sa propre fiche et de modifier les données, voire de réclamer la suppression de toute la fiche. C’est ton droit. Mais du coup, tu risques de revenir, je reçois un email avec toi en copie, et “boum”, tu reviens.

Alors j’ajoute généralement une option ‘Fréquence’ (annuel, mensuel, hebdo, JAMAIS) qui va permettre de conserver l’email, à ne plus polluer en activant l’option JAMAIS (si ce n’est pas la bonne adresse par exemple). Bon, cela me grille une entrée inutile dans une base payante à la quantité, mais au moins, si tu me dis que tu ne veux plus que je t’écrive, je ne t’écrirai plus (sauf accident). Si je supprime ta fiche, elle peut réapparaître, quelques mois, ou semaines après…

Et non, je ne vais pas du coup conserver une ‘liste noire’ sans ton autorisation, pour savoir que je ne dois pas utiliser cet email. Tu m’as demandé de supprimer tes données! Si je faisais cette liste “noire” à ton insu, alors je serais hors-la-loi! Et oui, la protection des données génère aussi des trucs stupides…)

Accessibilité aux données

Ben non, tu ne peux pas. Heureusement! Cependant, les copies de tes propres données mises dans un publipostage (liste de diffusion) te sont totalement accessibles. Et si j’ai des commentaires privés, dans mes contacts, du genre: “tête de nœud”, ou “esclave de la ploutocratie”, j’évite de les recopier dans la liste de diffusion pour pas que tu puisses les voir. Comme ce sont mes contacts privés, je fais ce que je veux, comme tout le monde. Toi tu n’auras accès qu’à ce que j’associerai à l’association ou l’organisation pour l’action concernée. Et là, tu auras droit de regard automatique…

Droit de regard!

Du coup, tes données associées à une liste de diffusion qui te sont accessibles via un lien unique sur chaque email reçu, tu peux les modifier, ou même tout supprimer (mais je te recommande de changer ‘Fréquence’ à ‘JAMAIS’ ce sera plus intelligent, cf. § précédent ‘Suppression’).

Ce n’est pas si mal !

Sont-ce toutes les données? Non! La fiche contact comprend tag et commentaires éventuels, ou d’autres attributs, non importés dans la liste de diffusion. Alors si tu souhaites en avoir le détail, tu fais une demande par email Pascal.KOTTE@CloudReady.ch, (et je ferai comme tout le monde, je supprimerai les commentaires et tags du genre ‘Sociopathe’, ‘Pervers narcissique’ éventuels, avant de te retourner ton VCF en attachement).

Je précise que sur les milliers de personnes avec qui j’ai pu discuter ces dernières années (je suis né en 1964), je ne connais guère que 2 ou 3 sociopathes (dont une femme), 2 pervers narcissiques, un peu plus de mythomanes (toujours en majorité masculine), et aucun psychopathe avéré (à ma connaissance, à part un pédophile qui s’est suicidé. J’en connais probablement d’autres qui ne me l’ont pas dit…).

Vous savez quoi? L’humanité est remplie de gens biens! Pas tous fiables, mais fondamentalement bons… Cessez donc d’avoir peur, vigilance oui, peur non!

Quand tu rencontres une nouvelle personne, tu as 997 chances sur 1000 de tomber sur quelqu’un de bien! Comment se fait-il qu’il y ai autant de maltraitances, avec autant de gens biens? Stupidités collectives peut-être?

Auto-profilage

Evidemment que je vais te poser des questions pour savoir les sujets qui t’intéressent, les fréquences max que tu veux bien recevoir mes notifications emails, zones géographiques, etc… Comment veux-tu réduire l’infobésité et la circulation de ces emails, si on ne peut en faire un filtrage pertinent? Mais bon au moins, je ne cache pas de critères sous le tapis, et tu peux accéder à toutes ces données explicitement, et ensuite tu peux les modifier toi-même.

Cela va consommer bien moins de ressources que de faire du “Deep Learning” à partir de tes traces numériques, pour te profiler à ton insu!

Ai-je pris les précautions pour assurer la confidentialité et la sécurité des ces données?

Oui, et non!

Si tu fais un forward de l’email que je t’ai diffusé à une autre personne, incluant le lien unique pour accéder à ta fiche personnelle, et même le lien pour t’en supprimer par la même occasion, vers une autre personne sans prendre la peine de faire les 2 clics et 3 secondes pour supprimer ces liens, alors tu files toi-même un accès à toutes tes données!

J’ai pris l’habitude de répondre au gens qui me font ce coup-là, celui d’un forward incluant le lien d’accès et de suppression de leur propre profil Mailchimp ou similaire, en le leur supprimant justement (sauf pour les belles causes), et en leur retournant le message:

(Petite voix innocente) “oops, je n’ai pas fait attention, mais j’ai cliqué sur le lien pour m’enlever de ce publipostage que je n’avais pas demandé, et en fait, c’était ton abonnement à toi! Désolé! Il va falloir que tu y retournes pour t’y réinscrire”

Avant, je prenais le temps de tenter d’expliquer, mais (globalement) tout le monde s’en fou! Maintenant, ils font gaffe… “Learning by doing!”

Pour la sécurisation de ces listes, au niveau technique et contre les cybercriminels, je n’ai pas les moyens personnels de mettre en place mes propres serveurs et toutes les surveillances et sécurisations nécessaires, alors je délègue cela, aux opérateurs Cloud que j’utilise.

C’est où?

Ces données sont sauvegardées dans 3 Clouds: Celui de Microsoft, celui de Google, et celui de FullContact, ah non ils ont revendu à Contact+, mais n’auraient-ils conservé une copie... Au moins, avec 3 entreprises sous le même ‘US Patriot Act’, toutes ces données sont donc parfaitement accessibles par la NSA (les USA). Mais elles les connaissent déjà… Sauf mes commentaires, et mes tags, désormais en leur possession aussi.

Il est fort à parier que ces 3 entreprises ont pris de sérieuses mesures pour garantir la sécurité de vos données, envers des cybercriminels du moins.

Est-ce qu’elle s’autorise à faire des analyses dessus? Je n’ai pas lu leurs Termes & conditions (pas que cela à faire), mais de toutes façons: Qu’elles écrivent explicitement, ou implicitement, voir même, qu’elles fassent semblant de ne pas le faire: Elles le font, soyez-en certains!

Parmi les GAFAM, je tente toutefois d’éviter d’alimenter avec vos données, ni Apple, ni Amazon, ni Facebook! (Sauf pour ceux qui m’y font amis, mais vous aviez accepté les conditions de Zucky…). Cependant à ce dernier, je tente ne pas lui fournir toutes les données de tous mes contacts (contrairement à toi très probablement, cf http://whatsapp.kotte.net)!

Photo by Con Karampelas on Unsplash

Car pour Facebook, concernant Zucky, j’ai fourni un gros effort, et je ne lui expose pas vos données! (Vous le faîtes déjà sans mon aide)

Je n’ai donc pas installé ni Facebook, ni Whatsapp, ni Instagram sur mon smartphone.

Ni Baby+, Zoom et autre truc qui va envoyer des données sur Facebook: (Cf. Exodus)

Je n’utilise que les interfaces web de ces services, sans les laisser venir puiser dans mon fichier de contacts sur mon smartphone… (cf. http://whatsapp.kotte.net)

Dans une moindre mesure

Il y a encore ceux que j’ai déjà cité, toutes les infos sont auto-gérées:

Ceux-ci ne disposent pas de toutes les données personnelles de mon carnet d’adresses, uniquement email, nom, et quelques rubriques de classification, selon la liste de diffusion utilisée. Leurs utilisations incluent le lien de vérification et d’auto-gestion avec droit de suppression.

Autres stockages possibleS: pour les plus exigeants en termes de protections, je vais sur:

Mais en suisse, je vous recommande kDrive d’Infomaniak:

Bon, la loi ne m’oblige pas à supprimer ma copie dans mon carnet d’adresse, donc à ce sujet, c’est une requête individuelle basée sur un acte volontaire de ma part…

Et il doit y avoir aussi 2 ou 3 autres trucs du côté des FramaSoft, mais là, pas trop de soucis pour vos données…

Sauvegardes

Oui, je dispose de copies au format VCF de tous mes contacts, et archivés sauvegardés sur des disques externes.

Vous ne croyez quand même pas que je vais tout faire confiance aux GAFAM?

Un cambriolage de mon appartement ou vol de mon laptop va exposer ces informations. J’utilise aussi une solution de cryptage, mais comme c’est (ch — t…) pénible à utiliser, comme tout le monde, j’ai arrêté de me casser la tête pour cela. Je la réserve pour mes clients avec des données “sensibles” (désolé mais vos données vCard, ne sont pas “sensibles”). J’utilise un coffre à mots de passes crypté: Lastpass.com, avec backup sur Bitwarden.com largement plus recommandable (car open source), donc peu de risques, même si on me vole mon laptop, que le moindre mot de passe de mes clients et partenaires soient exposés (et je suis admin, ce serait grave de le faire dans un tableau excel, ou un word! Idem pour tout le monde, ne faîte pas cela!). Pas de risques non plus que je perde ces données, localisées dans 3 cloud, et cryptés AES256 avec 3 passphrase “privées” et dans ma tête (sauf à perdre ma tête, mais mes clients disposent de leur codes admin, même cela, pas de risques, c’est couvert, je ne suis pas un “résilientologue” amateur, même si je reste un apprenti).

Devoir d’aviser en cas de “fuite”!

Est-ce que je vous enverrais un email si cela arrivait? Heu, non! On va donc dire que tu es d’accord de ne pas être averti par défaut, et si tu veux être averti, je vais mettre un ‘calc’ (une liste) dans un coin avec le nom de ceux qui veulent être avertis, (sauvegardé dans le Cloud de Microsoft, doublé chez google). Promis, dès que vous serez plus de 10 à me le demander, je mettrai en place une option “explicite” sur le formulaire http://join.cloudready.ch (Genre: Case à cocher: “Je veux être averti si tu te fais voler ton mobile, laptop, ou disque externe”). Pour la fuite des données sauvegardées chez Microsoft, Google et ContactPlus, et s’ils me préviennent de leur côté, je ferai un post à ce sujet!

Mais moi, j’active la double identification pour les accès à ces 3 comptes! Contrairement à la plupart…

Et si je me fais pirater, et si je le détecte? Aussi, mais il y a assez peu de chance de me faire pirater, avec les 5 couches de sécurité que j’utilise, même la NSA risque de se casser un peu la tête. Mais il devrait être les seuls à accéder à la majeure partie de mes données quotidiennes, sauf celles de mes clients qui m’ont demandé explicitement d’être étanche à la NSA (je pose toujours la question…). Ils auront beaucoup de mal! (Session web en Tor sur un Ubuntu, vers un Cloud NZ, rien en local sauf sur un Linux live, crypté: Mais purée que c’est très chiant…).

Utilisation des données dans d’autres applications, stockages ?

Oui: Emails, rapports, et même des carnets papiers. Cependant, je jette les cartes de visites après les avoir scannées avec CamScanner (ah mince, un 4ème cloud que j’avais oublié: OK une partie de mes contacts est aussi chez eux, et c’est sous gouvernance chinoise. Oops! Bon de toute façon, il est peu probable que les équipements électroniques utilisés n’aient pas déjà transmis et récupéré vos infos, on va dire que ce n’est pas si grave, mais j’ai désormais arrêté d’utiliser CC).

Update 2020: Je n’utilise plus CamCard, CamScanner: Un souci de moins.

Fiches papiers et cartes de visites:

Elles vont donc à la déchetterie, sans les détruire moi-même. Il faut donc faire confiance au ramassage et traitement des déchets de Pully. On va dire que le risque est faible, quand même… Sans parler du fait que nous ne parlons pas là de données “sensibles”! Il est clair qu’un papier griffonné avec un mot de passe d’un client, cela, je le fais brûler.

Minimisation des données

Alors chez moi, tu ne pourras pas réduire les informations, sauf à me demander ton VCF et me demander de supprimer des trucs que tu veux plus qu’il apparaisse (ta date de naissance, le portable de ta femme…). Je peux le faire (je créerai une fiche séparée pour le numéro de ta femme).

Je tiens à préciser que je suis une personne fidèle et pas un coureur, même à pied!

En revanche, pour minimiser encore mon ingérence dans vos données, j’ai pris l’option d’utiliser des plateformes collaboratives, comme Loomio, Mattermost, Discord, #Slack, qui vont conserver et protéger ton email, vis à vis aussi des organisateurs comme moi.

Update 2021: Les activités de Tech4good vont passer sur “Bevy” car fait partie du collectif mondial: http://connect.techsoup.org et donc nous quittons les groupes de diffusion sur Meetup.com (une exposition de moins, mais un risque de plus sur Bevy, donc, pareil).

Si tu veux minimiser l’abus de tes données, ferme ton compte Facebook, pour commencer! Twitter, pas beaucoup mieux! Nous rejoindre sur FairSocialNet.ch avec Mastodon (Tooting.ch) et Diaspora (Diasporing.ch) et aussi chez http://MyData.org et http://MydataVaud.ch!

Disclaimer

Dénis de responsabilité

Si je me fais pirater des contacts, et que tu reçois pleins de SPAM, tu ne pourras pas m’en tenir responsable, car ce sera difficile de prouver que ce sera à cause de moi. A moins que tu fasses comme moi, tu crées un alias email distinct pour chaque service testé ou utilisé dans le Cloud.

Et oui, je dois avoir plus de 700 alias d’emails. C’est comme cela que je savais que l’EPFL s’était fait aspiré tout ou partie de sa propre liste de diffusion… Mais non, ce n’était pas à cause d’eux, mais d’une App qu’ils avaient proposée, que j’avais accepté, mais que ce n’était pas à eux… Bon, OK, ce n’est pas grave! Peut-être…

Ensuite, je suis indépendant, et je collabore avec des gens qui parfois, sont aussi signataires de la même charte solidaire et garantie qualité que moi-même http://Kalix.ICT-a.ch, mais pas tous. Les autres bénévoles de CloudReady.ch ne sont pas toujours signataires, uniquement le comité (ce qui limite déjà un peu). Je donne des accès délégués sur les listes que je gère, à des tiers bénévoles, parfois des partenaires, des clients, des associations, qui sont les vrais dépositaires de ces listes.

Enfin, je fais gaffe, jamais je n’installe moi-même directement un truc sur mon ordi sans le passer d’abord à http://virutotal.com même quand cela vient de chez des sites reconnus et identifiés. Je scanne mon ordinateur régulièrement avec du Clamwin, Spybot et parfois MalwareByte, et depuis 15 ans, jamais détecté un Keylogger. Mais, je ne suis pas invulnérable, un auto-update moisi peut très bien en installer un à mon insu. Et je le répète: mon ordi principal est sous Windows, car je gagne ma vie avec du Microsoft aussi, et donc, c’est un Keylogger pour la NSA. Seules mes activités demandées “NSA” résistantes sont sur une seconde machine Linux, avec un cloud crypté dédié NSA “proof” (et un coffre BitWarden séparé du premier, car mes “coffres numériques” sont à considérer comme “ouvert” à la NSA, car ils peuvent en intercepter le “passphrase”).

Je fais au mieux, “Best effort”!

Ethique

Je ne transfère pas les membres d’une liste sur une autre sans en demander la permission, et je mets en place des http://datacooperative.ch pour fournir des alternatives inter-collaboratives: ex. http://pully.datacooperative.ch

Les volontaires et partenaires sont normalement ‘engagés’ comme moi, dans une certaine déontologie, et je les pousse, et parfois impose (listes politiques) à mettre en place de la double identification. Mais tous ne m’écoutent pas… Alors pour faire court, ne compte pas sur moi pour endosser la responsabilité de leur (con —) bêtise à eux! Même si je suis président, si tu rejoins nos listes, tu prends un risque: Celui que Facebook, Google, Microsoft, et encore plein d’autres, ne soient plus les seuls à disposer de tes données.

Mais eux, ils connaissent en plus tous tes goûts, tes tendances sexuelles, religieuses et politiques, tes relations et leurs niveaux de profondeurs et leurs caractéristiques. Ils peuvent en déduire ton état de santé et si tu es recommandable ou pas, à des tiers annonceurs. Mais n’ai pas peur, ils ne les vendront pas, tes données… On ne tue pas la poule aux œufs d’or, tes données ils les gardent! Ils vont faire au mieux pour les protéger, cela, tu peux en être assuré.

Ou pas…

Est-ce que tu es assujetti à la GDPR toi-même?

source sia partners ( RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES)

Si tu as besoin d’aide: http://callme.kotte.net

On fera le strict minimum nécessaire, à moins cher, et tu peux déjà t’aider toi-même avec notre questionnaire data et cet article:

Notre questionnaire:

La GDPR est-elle utile?

Et oui, quand même, un peu, mais contre-productive aussi… Mais j’attends de voir les résultats des poursuites de ‘La quadrature du Net’ envers les GAFAM.

Et puis comme le mentionne Google:

Il te suffira d’installer Chrome et de t’identifier personnellement, pour qu’ils arrêtent de t’ennuyer avec le popup pour te prévenir qu’ils sont GDPR compliant! Comme cela, la collecte d’information sur toi sera facilitée.

Alors l’utilité de la GDPR est une tentative de régulation intéressante, et son message “politique” et “culturel” est super important et très utile. Donc bravo à la GDPR. Il faut juste éviter que cela ne serve qu’à limiter la création de nouveaux services web aux seuls géants aptes à sortir l’artillerie juridique lourde, ni à excuser la non “restitution” en open data, de toutes les données que les géants collectent dans nos espaces publics, et dans nos carnets d’adresses... cf. http://ethique.cloudready.ch — Et vive DataCooperative.ch

Au-delà des mots, les intentions

Mes valeurs et mes guides déontologiques: http://4.kotte.net

Et si tu penses que c’est important, la déontologie dans e traitement de nos données numériques, alors http://join.MyDataVaud.ch

Une voie de sortie?

Je travaille sur le projet de mettre en place des “data-coopératives”, à suivre:

Et si vous trouvez que j’ai été long, regardez les autres:

CloudReady CH

Observatoire francophone (basé en Suisse romande) sur le…

CloudReady CH

Observatoire francophone (basé en Suisse romande) sur le "Cloud computing", pépinière pour des transformations sociétales positives avec le numérique, vers une humanité digitale durable: http://Tech4good.ch

Pascal Kotté

Written by

Réducteur de fractures numériques, éthicien digital, Suisse romande.

CloudReady CH

Observatoire francophone (basé en Suisse romande) sur le "Cloud computing", pépinière pour des transformations sociétales positives avec le numérique, vers une humanité digitale durable: http://Tech4good.ch