Travaux pratiques sur les données personnelles v 1.

Idéalement, les travaux sont réalisés après l’introduction au RGPD et aux données personnelles, par
exemple via le MOOC de la CNIL (Module n°1) …

1. CGU et confidentialité
Lors de notre première séance de travaux pratiques, nous nous sommes inscrits sur deux services :
ProtonMail et Framagit. Nous avons ainsi confié des données personnelles à ces deux plate-formes.
Nous devons développer les bons réflexes numériques, afin d’améliorer notre hygiène informatique, qui
sont la clé pour faire progresser la sécurité des systèmes d’information et donc bien sûr de leurs données.
D’une manière générale, avant d’utiliser un service, il est important de consulter les conditions générales
d’utilisation (CGU). Ce n’est pas un document obligatoire, mais les plate-formes en abusent afin de
cadrer les usages. Il fait généralement office de contrat d’adhésion lors de l’inscription à une plate-forme.
Avant de s’inscrire sur une quelconque plate-forme, il est nécessaire de se renseigner sur les règles de
confidentialité que l’on retrouve généralement sur une page dédiée. En effet, cette information est
obligatoire, notamment en cas de collecte indirecte de données personnelles. Pour la collecte directe de
données, l’information doit notamment se faire au moment de la collecte1.

1.1. ProtonMail
La politique de confidentialité de la plate-forme ProtonMail est rédigée en anglais sur une page dédiée.
Nous pouvons utiliser le service de traduction automatique DeepL, qui en plus d’être plus performant que
le service concurrent de Google est propulsé par une société allemande (le droit européen s’applique donc
entièrement).

Travail à faire
1.1 Enregistrez le service DeepL dans vos marque-pages.
La traduction par DeepL de la section « Utilisation des données » informe que « Les messages
électroniques envoyés en clair à des comptes ProtonMail (par exemple Gmail to ProtonMail) sont
scannés automatiquement dans l'intérêt légitime de la détection du spam, afin de pouvoir bloquer les
adresses IP qui envoient beaucoup de spam aux utilisateurs de ProtonMail et de placer les messages de
spam dans un répertoire de spam. Les messages entrants sont scannés en mémoire pour détecter le spam,
puis cryptés et écrits sur disque. Nous n'avons pas la capacité technique de scanner les messages après
qu'ils aient été chiffrés »

Note : J’ai corrigé moi-même l’erreur de vocabulaire : on ne doit pas dire « crypter », mais
« chiffrer » (nous reviendrons bien sûr sur ces notions ultérieurement dans notre progression).

Lors de l’envoi de messages vers une plate-forme externe, les e-mails sont également analysés (mais
uniquement s’ils ne sont pas chiffrés).
Sur le stockage des données, la plate-forme informe que « Tous les serveurs utilisés dans le cadre de la
fourniture du service sont situés en Suisse et sont entièrement détenus et exploités par la société. Seuls les
employés de la société ont un accès physique ou autre aux serveurs. Les données sont TOUJOURS
stockées sous forme chiffrée sur nos serveurs. Des sauvegardes hors ligne peuvent être stockées
périodiquement, mais elles sont également cryptées. Nous n'avons pas la possibilité d'accéder au contenu
des messages cryptés des utilisateurs, que ce soit sur les serveurs de production ou dans les
sauvegardes. »
Sur la conservation des adresses IP, la plate-forme indique également que « Par défaut, nous ne
1 La CNIL détaille cet aspect légal sur sa page « Conformité RGPD : comment informer les personnes et assurer la
transparence ? »

BTS SIO – Cité Scolaire Albert Londres CC-by-sa – moulinux Page 1 / 7

 Travaux pratiques sur les données personnelles v 1.4

conservons pas de journaux IP permanents en relation avec votre utilisation des services. Toutefois, les
journaux IP peuvent être conservés temporairement pour lutter contre les abus et la fraude, et votre
adresse IP peut être conservée de manière permanente si vous vous livrez à des activités qui violent nos
conditions générales (spamming, attaques DDoS contre notre infrastructure, attaques par force brute,
etc). La base juridique de ce traitement est notre intérêt légitime à protéger nos Services contre les
activités néfastes. ».
Extrait d’un article de Numerama : « ProtonMail transmet des adresses IP à la police : 4 questions pour
comprendre la polémique » (édité en sept. 2021).
Le dimanche 5 septembre 2021, Proton Technologies s’est retrouvé au milieu d’une importante
polémique. L’éditeur du service ProtonMail a en effet transmis à la justice française des
informations sur plusieurs utilisateurs et utilisatrices de son service. […]
La subtilité se trouve dans la mention de « par défaut ». Comme la firme l’a expliqué dans une
publication sur Reddit, « Si nous recevons un ordre juridique concernant un compte spécifique,
nous pouvons être obligés de le surveiller. » La justice suisse, en accord avec les autorités
françaises, a donc demandé à Proton de surveiller l’activité de certains comptes. Contraint par le
département fédéral de justice et police suisse (DFJP), Proton a donc commencé à enregistrer les
adresses IP de ces comptes-là.
Sur Reddit, l’entreprise rappelle enfin que Proton est le seul fournisseur de mail qui offre une
adresse accessible via Tor, le réseau informatique décentralisé qui masque justement votre adresse
IP. Malgré la polémique, Proton reste un des services mails grand public qui offre le plus de
sécurité. L’entreprise n’est par contre pas au-dessus des lois.

Travail à faire
1.2 Lisez la politique de confidentialité de la plate-forme ProtonMail. Traduisez (si néces-
saire) à l’aide du service DeepL.
1.3 Quelles sont les données personnelles stockées par défaut ?

1.2. Framagit
La forge logicielle Framagit, instance du logiciel libre Gitlab-CE (sous licence MIT), est propulsée par
l’association Framasoft. Les CGU de l’association informent notamment que :
• Les champs « Nom » et « Prénom » peuvent être requis pour le bon fonctionnement du logiciel,
mais il n’est pas nécessaire qu’ils révèlent votre véritable identité.
• Ces données ne sont ni vendues, ni transmises à des tiers.
La page des mentions légales informe elle que l’association « ne collecte des informations personnelles
relatives à l’utilisateur (nom, adresse électronique, coordonnées téléphoniques) que pour le besoin des
services proposés par les sites du réseau Framasoft, notamment pour l’inscription à des espaces de
discussion par le biais de formulaires en ligne ou pour des traitements statistiques. ».
L’association informe également que le trafic des sites est analysé avec le logiciel libre Matomo :
« Matomo génère un cookie avec un identifiant unique, dont la durée de conservation est limitée à
13 mois. Les données recueillies (adresse IP, User-Agent…) sont anonymisées et conservées pour une
durée de 6 mois. Elles ne sont pas cédées à des tiers ni utilisées à d’autres fins. ».
La page précise également dans un encart :

Vous n'êtes pas suivi parce que votre navigateur transmet que vous ne voulez pas l'être. Ceci
est un paramètre de votre navigateur et vous ne serez pas en mesure de participer avant
d'avoir désactivé la fonctionnalité “ne pas suivre”.

BTS SIO – Cité Scolaire Albert Londres CC-by-sa – moulinux Page 2 / 7

 Travaux pratiques sur les données personnelles v 1.4

Ce qui permet d’informer sur la fonctionnalité « Do Not Track » que proposent certains navigateurs
comme Firefox, mais qui est loin d’être respecté par tous les sites Web. La page suivante explique la
démarche pour le navigateur Firefox.

1.3. Autres règles de confidentialité beaucoup moins respectueuses

Nous venons d’analyser des règles de confidentialité respectueuses des données personnelles, nous allons
maintenant voir que ce n’est malheureusement pas toujours le cas…
Observons par exemple, la politique de confidentialité de la plate-forme Discord. Ces conditions
précisent : « Les informations que nous recueillons peuvent inclure mais ne sont pas limitées au nom
d'utilisateur, l'adresse e-mail et tout message, image, donnée voix sur IP en transit (uniquement pour
permettre la distribution de communication), ou tout autre contenu envoyé via la fonction de discussion »,
mais aussi : « Nous pouvons également partager des informations agrégées ou non personnelles avec nos
partenaires ou autres à des fins commerciales ».
La société trouve donc son financement dans la commercialisation des données de leurs usagers 2. Le droit
à l’oubli reste d’ailleurs bien vague : « Il est possible que des données persistent quelque temps sous la
forme de copies de sauvegarde ou à des fins commerciales ».

Travail à faire
1.4 Lisez la politique de confidentialité de la plate-forme Discord. Quelles sont les données
personnelles collectées par la plate-forme ?
1.5 La plate-forme vend-elle ces données à des partenaires commerciaux ? Quel est le mo-
dèle économique de Discord ?
1.6 La plate-forme respecte-t-elle le « Do Not Track » ?
1.7 Où sont hébergés les données des utilisateurs de la plate-forme ?
1.8 Qu’est-ce que le bouclier de protection des données UE-États-Unis ? Quelle en est l’ac-
tualité ? Pouvez-vous donner la liste des partenaires de Discord qui ont accès aux don-
nées personnelles des utilisateurs ? La plate-forme est-elle conforme au droit euro-
péen ?

Remarque : La page titrée « Open Source » a induit plus d’une personne en erreur. En effet,
l’ouverture au logiciel libre ne va pas jusqu’à proposer leur propre code en licence ouverte. Ils
veulent bien utiliser du logiciel libre, accueillir des communautés de libristes, mais ça s’arrête
là !

Nous pourrions multiplier les exemples de ces entreprises qui prétendent vous servir pour mieux vous
pister. Comment parler alors de respect du RGPD quand le consentement est arraché au moment de
l’inscription au service, que les paramètres sont par défaut tournés vers le profilage (et que c’est donc à
l’utilisateur de chercher comment désactiver cela).
Cela n’est pas un hasard si Microsoft fait tout pour que vous utilisiez un compte en ligne, plutôt qu’un
compte local (comme woody ou lenny). De nombreuses ressources, vous aide à préserver votre vie privée,
à reprendre le contrôle sur Windows-10. Même l’ANSSI a publié un guide en ce sens. Ces paramétrages
liberticides, notamment de Cortana, peuvent avoir des conséquences importantes sur votre vie privée
2 Avec 250 millions de comptes gratuits et sans publicité, l’entreprise est néanmoins valorisée à 2 milliards de dollars.
(LesEchos, mai 2019)

BTS SIO – Cité Scolaire Albert Londres CC-by-sa – moulinux Page 3 / 7

 Travaux pratiques sur les données personnelles v 1.4

ou des secrets professionnels. En 2018, la Quadrature du Net avait déjà publié un témoignage éloquent
sur le sujet. Depuis, les révélations se sont multipliées autour des assistants vocaux.

Remarque : Signalons enfin que le contrôleur européen des données a tiré à boulets rouges
sur les contrats entre Microsoft et les institutions européennes. Un rapport a été mis en ligne en
juillet 2020. Plusieurs griefs sont détaillés. « L'accord de licence entre Microsoft et les
institutions de l’Union européenne a permis à Microsoft de définir et de modifier les paramètres
de ses activités de traitement effectuées pour le compte des institutions », laissant ainsi le
champ libre à Microsoft d’agir comme « un contrôleur ».
L’EDPS explique aussi que « les institutions de l'UE ont été confrontées à un certain nombre
de problèmes liés à la localisation des données, aux transferts internationaux et au risque de
fuite de données ». Elles n’ont également « pas été en mesure de vérifier l'emplacement d'une
grande partie des données traitées par Microsoft » ni ce qui a été transféré hors de l’Union.
Elles ne disposaient que de « peu de garanties pour défendre leurs droits et veiller à ce que
Microsoft ne divulgue des données à caractère personnel que dans la mesure où le droit de
l’UE le permettait ».

Travail à faire
1.9 Parcourez le guide de l’ANSSI, parlez-en avec votre enseignant responsable des confi-
gurations des postes sous Windows 10, entraînez-vous à la maison et sensibilisez votre
entourage.

2. Introduction au registre des activités de traitement

Depuis le début de l’année scolaire, nous utilisons régulièrement l’application Web ProNote. Des
identifiants nominatifs vous ont même été remis en début d’année par vos enseignants responsables. Nous
pouvons donc nous interroger sur la légalité qui sous-tend ce traitement de données : Comment ces
données personnelles ont-elles été collectées ? Où sont-elles stockées ? Qui est responsable du
traitement ?

Travail à faire
2.10 Selon vous qu’est-ce que l’application ProNote sait de vous ? Quelles sont les informa-
tions collectées ? Quels sont les traitements réalisés ?
En recherchant sur le Web, nous allons essayer d’en savoir plus sur le sujet. Nous commencerons notre
recherche depuis une session ouverte sur l’application ProNote de l’établissement.

Travail à faire
2.11 Si ce n’est déjà fait, connectez-vous avec votre compte personnel sur ProNote.
L’adresse Web permettant d’accéder à l’application ProNote devrait pouvoir nous aider à remonter
jusqu’à l’éditeur et/ou l’hébergeur de l’application. Le navigateur Firefox permet d’accéder à l’intégralité
de cette adresse. La page Wikipedia portant sur les URL (sigle de l’anglais : Uniform Resource Locator,
littéralement « localisateur uniforme de ressource ») détaille ainsi les différentes parties :
• protocole (http ou https)
• domaine, sous-domaine ou encore même adresse IP (www.exemple.com ou test.exemple.com)
• le chemin permettant d’accéder à la ressource (script ou page Web)

Remarque : L’explication ci-dessus est un résumé de la composition la plus fréquente d’une

adresse Web.

BTS SIO – Cité Scolaire Albert Londres CC-by-sa – moulinux Page 4 / 7

 Travaux pratiques sur les données personnelles v 1.4

Travail à faire
2.12 Analysez l’adresse Web de l’application ProNote de l’établissement et déterminez le
protocole, domaine et chemin permettant d’accéder au service.
Fort de cette connaissance, nous allons maintenant essayer de retrouver l’éditeur de l’application et
d’identifier3 :
• les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le
traitement des données,
• les catégories de données traitées,
• à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont
communiquées,
• combien de temps vous les conservez,
• comment elles sont sécurisées.

Travail à faire
2.13 En recherchant sur le site de l’éditeur, essayez d’identifier une ressource permettant de
répondre aux différents points énumérés ci-dessus.
La page sur la politique de confidentialité de l’éditeur semble beaucoup moins détaillée que le document
précédent (registre des traitements). Cela nous donne l’impression que les deux documents ne parlent pas
de la même chose.

Travail à faire
2.14 Parcourez les deux documents (politique de confidentialité et registre des traitements
de ProNote) et donnez une explication sur les finalités respectives de chacun de ces do-
cuments.
Nous allons maintenant explorer l’exemple de registre partagé par l’éditeur ProNote. Ce registre étant un
exemple, certaines informations n’ont pas été précisées.

Travail à faire
2.15 Identifiez, en recherchant sur le Web, les informations à renseigner pour le responsable
du traitement.
Le registre explore une finalité principale et différentes rubriques la détaillant.

Travail à faire
2.16 Faîtes le lien avec les catégories mentionnées ci-dessus (parties prenantes, etc) et les
différentes rubriques du document.
2.17 Quelles données sensibles sont-elles traitées ?
2.18 Certaines données sont-elles transférées hors de l’Union Européenne ? Pourquoi est-ce
important de se poser cette question ?
2.19 À quelle fin le chiffrement est-il utilisé ? Le registre mentionne-t-il que les mots de
passes sont chiffrés dans la base de données ?
Nous pouvons également comparer la liste des données collectées à celles que nous pensions trouver et
constater que nous étions bien loin du compte…
Nous ne nous sommes pas encore interrogés sur la légalité de tels traitements. Car après, vous vous êtes
inscrit dans un établissement public et vous vous retrouvez fiché par une entreprise privée !

3 Ce qui suit est extrait de la page d’information de la CNIL sur le registre des activités de traitement.

BTS SIO – Cité Scolaire Albert Londres CC-by-sa – moulinux Page 5 / 7

 Travaux pratiques sur les données personnelles v 1.4

Une recherche en ce cens fournit quelques éléments de réflexion critique. Notamment la lecture d’une
analyse d’un rapport de la cours des comptes par Next Impact et un autre article de Mediapart, qui
permette de relativiser la déclaration de bonne attention qu’on peut lire dans la F.A.Q. de l’éditeur.

Travail à faire
2.20 Lisez les documents mentionnés ci-dessus. Il y a-t-il une alternative libre à ProNote ?
Qu’est-ce que le GAR ? Quelles conclusions tirez-vous ?

3. Production d’un registre

Nous allons maintenant jouer un jeu de rôle, vous êtes désormais un stagiaire au sein de la société 2lo
(logiciel libre pour les organisations) qui est prestataire de service pour le réseau AMAP Auvergne qui
souhaite disposer d’un outil permettant de gérer les contrats des amapiens des associations adhérentes du
réseau.

Travail à faire
3.21 Lisez l’introduction au contexte AMAP, partagé en ligne (accès privé).
Le gestionnaire d’AMAP, souhaité par le réseau AMAP Auvergne, doit offrir les fonctionnalités
suivantes :
• Gérer les paysans (civilité et culture) partenaires de l'AMAP ;
• Gérer les mangeurs ;
• Consulter, réaliser ou modifier les contrats entre les mangeurs et les paysans partenaires.

Remarque : Nous nous plaçons ici dans la situation, où l’application est encore en phase de
prototypage. Idéalement, C’est même pendant la phase d’analyse du besoin que le périmètre
de sécurité de l’application doit être étudié.

Le jeu d’essai du prototype laisse apercevoir le traitement de certaines données personnelles (voir les
deux figures ci-dessous).

BTS SIO – Cité Scolaire Albert Londres CC-by-sa – moulinux Page 6 / 7

 Travaux pratiques sur les données personnelles v 1.4

Les adhésions sont gérées sur une année civile. C’est pourquoi les identifiants des paysans et des
mangeurs intègrent l’année civile : un identifiant est composé de 5 chiffres, les deux premiers font
référence à l’année civile (20 pour 2020, 21 pour 2021, etc) et les trois derniers font référence à l’ordre
d’adhésion (001 pour le premier, 020 pour le vingtième, etc). Au bout de 2 ans les données sont détruites.
Les administrateurs du réseau AMAP Auvergne s’inquiète de la conformité au RGPD de l’application.
Votre responsable les rassure en leur disant que le registre des activés de traitement n’est pas obligatoire
dans leur cas, mais vous demande néanmoins d’en rédiger un en vous inspirant du modèle de registre de
traitement simplifié fourni par la CNIL4 (que vous trouverez avec les ressources du TP).
L’application tableur dispose de plusieurs onglets. Le deuxième onglet liste l’ensemble des traitements.
Chaque traitement est ensuite détaillé dans un onglet dédié. Le dernier onglet fourni un exemple qui
pourra inspirer les rédacteurs des fiches.

Travail à faire
3.22 Complétez le registre (application tableur), conformément à la demande de votre res-
ponsable. Vous vous appuierez notamment sur la présentation du contexte et celle de
l’application AMAphp (voir ci-dessus).

4 Le registre simplifié est proposé par la CNIL sur leur page dédiée sur « Le registre des activités de traitement »

BTS SIO – Cité Scolaire Albert Londres CC-by-sa – moulinux Page 7 / 7