28 décembre 2020

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#321 données de contenu ? métadonnées ? données personnelles ?

#321 données de contenu ? métadonnées ? données personnelles ?

#321 données de contenu ? métadonnées ? données personnelles ?

Pourquoi un épisode « données de contenu – métadonnées – données personnelles​ » du podcast La Kholle de Pierre Barreaud ?

Parce que, pour comprendre l’univers numérique d’aujourd’hui, il faut connaitre certaines notions « techniques »…

Et c’est précisément ce que Pierre m’a demandé.

J’ai également accepté de lui répondre (et volontiers) car nous avions fait un précédent podcast  dont les conditions d’enregistrement étaient… perfectibles (« tendez l’oreille » y disait Pierre à juste titre…).

Le problème à comprendre est celui des « métadonnées personnelles », c’est à dire des « métadonnées de communications électroniques », qui permettent d’identifier directement un terminal, et donc, indirectement, une personne.

Si tel est le cas, ces « métadonnées » sont des données personnelles au sens du RGPD. Et il faut alors appliquer la loi, dans toute sa lourdeur (euphémisme).

Ha… de la technique et du juridique dans l’univers du numérique… J’adore !

Vous trouverez ci-dessous quelques slides (en BD, bien sûr) qui vous permettront – j’espère – de vous y retrouver.

Petite intro en BD (aussi).

petite introduction en image

les données de contenu ? Ce qu'il y a dans l'enveloppe !!!

Pour maitriser la distinction entre données de contenu, métadonnées et données personnelles, commençons par le plus simple : les données de contenu.

LE contenu d’un « message », c’est la production humaine (de la voix, du son, un texte, des images…).

Juridiquement, deux protections alternatives permettent de protéger des données de contenu : 

  • le secret des correspondances
  • le droit d’auteur, si votre « contenu » est « original »…

Les métadonnées ? des données techniques pour transporter les données de contenu

Pour comprendre ce que sont les métadonnées, il est plus simple de commencer par décrire à quoi servent les métadonnées.

Ce sont des données techniques qui permettent de s’assurer que les données de contenu partent d’un terminal pour arriver dans de bonnes conditions dans le terminal de destination.

Même lorsque le terminal de destination est un serveur, par exemple un serveur web.

Si vous voulez que votre smartphone (ou votre tablette) affiche correctement la page web que vous visitez, il faut que le serveur d’envoi sache quel type de téléphone vous utilisez (taille, type d’OS, application mobile, etc.).

Une fois que le serveur web connait ces métadonnées, il pourra vous afficher les données de contenu que vous souhaitez.

C’est le même principe qui s’applique pour transmettre de la voix, de l’image, du texte, etc.

le problème juridique que posent les métadonnées ?

Les métadonnées sont elles protégées par le droit d’auteur ?

Non, bien sur, puisque ce sont des données techniques…

Alors, les métadonnées sont-elles protégées par le secret des correspondances ? 

métadonnées données personnelles et secret des correspondances

contenu - métadonnées - données personnelles : quelques slides pour faire le point sur ce que sont les métadonnées

données de contenu - métadonnées : et les données personnelles dans tout ça ?

Depuis 1978 et la loi française « Informatique et Libertés« , la définition des « données à caractère personnel » n’a quasiment pas changé, même si à l’origine, on disait « informations nominatives ».

Si vous disposez « d’informations » permettant d’identifier directement une personne (une « vraie » personne), par exemple son nom, son adresse postale ou électronique, oui, vous disposez de « données à caractère personnel ».

Mais si vous disposez de métadonnées permettant d’identifier un terminal (une adresse IP par exemple), alors que vous ne savez pas QUI est derrière ce terminal, vous traitez des données personnelles ? 

OUI !

métadonnées et données personnelles : des données qui permettent d'identifier un terminal, donc indirectement une personne

Si vous identifiez un « terminal » (par exemple pour lui proposer de la publicité ciblée en ligne), c’est qu’il y a une personne qui manipule ce terminal. 

Identifier un terminal avec une grande certitude, c’est donc identifier indirectement cette personne.

Alors OUI, dans ce cas aussi, vous traitez alors des données à caractère personnel. Même si vous ne connaissez ni le nom, ni le prénom de la « vraie » personne qui utilise ce terminal.

Le RGPD est sans ambiguïté sur ce point. Et les autorités de contrôle (comme la CNIL) sont toutes d’accord sur ce point.

quelques slides en BD pour comprendre la notion de "données à caractère personnel"

Voici les BD servant d'illustration à cet épisode du PODCAST La Khôlle

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ