Retour sur notre rencontre avec la CNIL

Written by Exodus Privacy administrator on

Le 14 février 2018, Exodus Privacy a été invitée par la CNIL (Commission Nationale de l'Informatique et des Libertés) dans ses locaux à se présenter et présenter ses activités.

Étaient présents pour Exodus Privacy : U+039b (présidente), Lovis_IX (secrétaire) et Maxime Auvy (membre du bureau). Nous étions accompagnés par un membre de La Quadrature du Net.

Les participants coté CNIL étaient nombreux, environ 15 personnes, issus de différents services. Nous étions initialement invités par Geoffrey Delcroix, du LINC (Laboratoire d'Innovation Numérique de la CNIL).

Étaient représentés notamment :

  • la Direction de la Conformité, qui établit globalement l'interprétation faite de la loi Informatique et Libertés, et les lignes directrices à suivre par les organismes ;
  • la Direction de la Protection des Droits et des Sanctions, et plus particulièrement le Service des Contrôles, intéressé par l'utilisation de l'outil εxodus dans le cadre de la préparation de ses missions ;
  • le Service de l'Expertise Technologique, pour ce qui touche plus spécifiquement au fonctionnement interne de l'outil.

Plusieurs points ont été abordés, notamment :

  • la genèse d'Exodus Privacy ;
  • le fonctionnement de la plateforme ;
  • les obstacles techniques ;
  • les obstacles légaux ;
  • l'évolution de la plateforme ;
  • l'aide que pourrait nous apporter la CNIL ;
  • les pistes pour l'avenir…

Beaucoup de questions ont porté sur le fonctionnement de la plateforme, en particulier sur une éventuelle revue par les pairs afin de valider le fonctionnement de εxodus (potentiellement par l'INRIA), notamment pour éliminer toute suspicion de faux-positifs. L'exhaustivité (une liste complète et à jour) des pisteurs est un défi bien plus difficile à relever, le nombre d'intervenants dans le domaine ne cessant de croître.
Un des points essentiels qui a été clarifié consistait en la distinction entre « pisteur » embarqué et « pisteur » embarqué actif, d'autant que rien ne prouve qu'un pisteur inactif à l'instant T ne le soit pas à T+1. Il est difficile de statuer pour des raisons juridiques en France (notamment à cause de la décompilation, interdite).

Le LINC va installer une instance de la plateforme εxodus pour ses propres analyses et investigations hors contrôles.

La CNIL envisage de citer εxodus via plusieurs canaux : auprès des particuliers (la CNIL propose une liste d'outils recommandés et de bonnes pratiques pour s'informer, par exemple CookieViz), auprès des professionnels (plus précisément en mentionnant εxodus dans la méthode d'évaluation des impacts sur la vie privée (ÉIVP / PIA) adossée au RGPD, et via un canal mixte mais plus libre (un article sur le blog du LINC).

Exodus Privacy a soulevé la question d'un éventuel droit de réponse des éditeurs sur les rapports publiés sur la plateforme εxodus. Il nous a été répondu que la stricte objectivité des rapports d'Exodus Privacy ne saurait faire l'objet d'un droit de réponse et qu'il est de la responsabilité de l'éditeur de l'application concernée de signaler la présence et de l'utilisation de pisteurs.

Nous tenons une nouvelle fois à remercier les différents interlocuteurs de la CNIL et du LINC qui nous ont reçus.


Additional Posts
Exodus Privacy administrator

Read more posts by this author.