Livre blanc du e-learning 2013


Livre blanc Serious Games

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Articles (Atom)

MC2iNum

MC2iNum

MC2INum

7 conseils pratiques pour vous mettre en conformité avec vos obligations CNIL

7 conseils pratiques pour vous mettre en conformité avec vos obligations CNIL

by THIÉBAUT DEVERGRANNE on 18/04/2013

MC900382587La loi va bientôt changer. Les montants d’amende pour non respect du régime en matière de protection des données personnelles vont être faramineux : 2% du chiffre d’affaire global pour les groupes ; pour une société comme Microsoft en 2008, cela représente un potentiel 1,2 milliard de dollars d’amende

Voilà de quoi prendre très au sérieux cette règlementation. Pour ne rien vous cacher j’intervenais la semaine dernière dans une entreprise du CAC40 dans laquelle on me confiait que les commissaires aux comptes appelaient à mettre l’ensemble de la structure en conformité de toute urgence, par crainte de sanctions majeures. Le temps est clairement à l’anticipation de ce nouveau risque juridique.

Cest donc le bon moment pour vous donner quelques conseils pour mettre en conformité votre organisation avant l’arrivée du nouveau règlement européen ! Cela vous simplifiera la tâche, et vous évitera nombre de déconvenues. Pensez à partager ce guide à qui de droit, c’est toujours utile de faire partager cette expérience…

Lire la suite de l'article...

Qu’est-ce qu’une donnée personnelle (Q/R) ?

Qu’est-ce qu’une donnée personnelle (Q/R) ?

by Thiébaut Devergranne on 27/09/2011

En deux mots, pouvez-vous nous expliquer qu’est-ce qu’une donnée personnelle ?

La manière la plus simple de le comprendre est la suivante : une donnée personnelle est toute donnée permettant d’identifier directement ou indirectement une personne physique. La définition légale est un peu plus complexe et comporte certaines nuances (v. ci-dessous), mais l’essentiel tient dans ces quelques mots.

Cela signifie que mon carnet d’adresses personnel doit être déclaré à la CNIL ?

Non, la loi a prévu ce type d’exception. D’un point de vue juridique, le carnet d’adresses personnel contient effectivement des données personnelles mais la loi ne s’applique pas aux traitements « mis en œuvre pour l’exercice d’activités exclusivement personnelles ».

C’est raisonnable, et d’un autre côté, est-ce que l’on peut vraiment imaginer dans une société démocratique que la loi impose à chaque citoyen de faire une déclaration CNIL avant d’envoyer un email, ou de passer un appel téléphonique ? Attention toutefois au carnet d’adresses d’entreprise qui lui constitue bien un traitement de données personnelles et devra faire l’objet d’un processus de mise en conformité.

En quoi est-il important de déterminer si une donnée est personnelle ? Quels sont les enjeux exactement ?

L’enjeu principal est de définir si la loi s’applique ou pas ; en fait, juridiquement les choses sont simples : si vous traitez des données personnelles la loi s’applique. Si vous ne traitez pas des données personnelles, la loi Informatique et Libertés ne s’applique pas.

L’enjeu est de déterminer si vous allez engager votre responsabilité au regard des données que vous collectez.

Toute la question est donc de savoir si allez engager votre responsabilité ou pas au regard des informations que vous collectez.

On peut s’étonner d’ailleurs de la simplicité des stratégies que les organisations peuvent mettre en place pour « contourner » la loi Informatique et Libertés : vous souhaitez éviter un processus de mise en conformité ? Il suffit de ne pas traiter de données personnelles !

Même la loi l’encourage. Dans certaines situations cela peut être une stratégie très simple et opérationnelle à adopter (ex : dans le cas de traitements statistiques). Mais cela n’est pas toujours possible en pratique, car les données personnelles constituent une part importante des richesses des organisations.

On voit mal une entreprise constituer un fichier d’employés ou un fichier client, sans disposer des noms, prénoms, adresses, emails ou numéros de téléphone des personnes concernées…

Cela n’aurait pas grand intérêt. Et a contrario, lorsqu’on traite ce type de données, la loi s’applique pleinement.

Pourriez-vous nous donner quelques exemples de données personnelles ?

En fait il faut distinguer deux types de données personnelles : celles qui sont directement personnelles, et celles qui le sont indirectement. Commençons par les premières, ce sont les plus faciles à appréhender. Celles auxquelles on pense le plus souvent immédiatement sont évidemment le nom et le prénom d’une personne.

On peut également ajouter son image (photos ou vidéos permettant de l’identifier directement). On pense moins souvent aux données biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…), mais ces données sont également des données directement personnelles.

Ensuite, les données indirectement personnelles : ce sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification (ce qui implique nécessairement une table de correspondance).

Un des meilleurs exemples que l’on puisse prendre à mon sens est le numéro de sécurité sociale. Mais on peut également penser au numéro client, ou au numéro d’employé. La question de savoir si l’adresse IP est une donnée personnelle a également suscité beaucoup de discussions.

Mais cette question peut être résolue très simplement en réalité. Dès lors que vous traitez une de ces données, la loi s’applique et vous devrez mettre en œuvre un processus de mise en conformité.

Le droit à l’oubli sur Internet

Le droit à l’oubli sur Internet : petit guide juridique pour faire valoir ses droits

by THIÉBAUT DEVERGRANNE on 08/04/2013

Indiscutablement, le droit à l’oubli est au cœur des passions des hommes et des femmes dont des moments de vie sont exposés au détriment de leur intimité.

Droit à l'oubli

Si l’on remonte à son origine, en réalité l’idée même de ce droit vient d’une affaire judiciaire passionnelle dans laquelle la maitresse de l’un des grands criminels des années 20 (qui a fini guillotiné) avait intenté un procès pour demander la réparation des dommages causés par un film relatant son ancienne liaison.

Alors, on ne guillotine guère plus aujourd’hui que métaphoriquement, mais à l’heure de l’Internet les passions restent immuables et permanentes, d’où la nécessité parfois du recours à la loi.

Ainsi, d’un point de vue juridique, le droit à l’oubli est consacré au sein de la loi informatique et libertés (article 6). Concrètement, celui-ci impose qu’un traitement de données personnelles soit limité à un certain laps de temps ; l’idée est que l’on ne peut traiter des données personnelles que pendant une certaine durée.

Au terme de celle-ci leur destinée est l’anéantissement, l’oubli, tout simplement.

Mais ce n’est pas le sens des recours juridiques qui peuvent être intentés lorsqu’une personne diffuse des informations dénigrantes, diffamantes, ou plus généralement inappropriées.

Les recours légaux, pour faire valoir l’effacement ou le droit à l’oubli pris dans un sens global, sont alors d’une grande diversité. En quelques mots voici le mode d’emploi pour faire valoir ses droits, personnes physiques, autant que personnes morales.

1) Le droit à l’oubli à l’usage des personnes physiques

Les choses sont relativement simplifiées pour les personnes physiques, du moins tant que l’on reste sur le sol français.

Si l’on met de côté des fondements juridiques comme la diffamation ou l’injure publique qui sont relativement complexes à mettre en œuvre (il existe de très nombreuses règles procédurales en droit de la presse), la loi informatique et libertés offre un recours assez simple et efficace contre des indélicatesses commises en ligne.

Celle-ci offre en effet un droit d’opposition, pour motifs légitimes, à ce que les données personnelles soient traitées.

Ainsi, toute personne peut demander à ce que soient retirées des pages d’un site Internet dénigrantes ou inappropriées à son égard. L’article 38 de la loi est très clair à ce sujet :

Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Cela suppose toutefois qu’il y ait un véritable motif légitime derrière la demande d’exercice du droit d’opposition.

Celui-ci s’apprécie largement en jurisprudence et il faut dire que le risque de cette appréciation repose majoritairement sur le responsable du traitement, car celui-ci peut voir sa responsabilité pénale engagée (5 ans d’emprisonnement et 300.000 euros d’amende,article 226-18-1 du Code pénal s’il ne supprime pas les informations litigieuses à tort).

En pratique, une lettre RAR envoyée à l’éditeur d’un site Internet demandant le retrait des informations litigieuses solutionne en général le problème assez rapidement.

En pratique pour les particuliers une lettre RAR solutionne en général le problème assez rapidement

Pour les personnes physiques, toutefois, deux problèmes se posent.

Le premier est qu’il faut d’abord être au fait de ses droits ; impossible de les faire valoir si l’on n’est pas conscient de leur existence !

Il y a clairement une problématique ici de sensibilisation.

Le second ensuite, en cas de non réponse, tient aux ressources nécessaires pour faire cesser le dommage. Il est vrai que de nombreux webmasters donnent des suites rapidement à ce type d’injonctions dès lors qu’un conseil juridique est impliqué, mais cela suppose tout de même le recours à un conseil, et donc des frais que les personnes physiques ne sont pas systématiquement en mesure d’engager.

2) Le droit à l’oubli à l’usage des personnes morales

Pour les personnes morales, l’équation est différente. En effet, la loi informatique et libertés ne peut pas être invoquée.

Si un dirigeant est dénigré, par exemple, il pourra invoquer la loi informatique et libertés, mais il devra le faire en qualité de personne physique et non en qualité de gérant.

Ceci étant, il existe une diversité de fondements juridiques qui peuvent servir pour lutter contre des indélicatesses.

Le premier, et sans-doute le plus connu, tient à la diffamation et l’injure publique, qui sont des fondements tirés du droit de la presse, la loi du 29 juillet 1881.

Google a par exemple fait les frais de ces textes en adossant au nom d’une entreprise le terme “escroc” via Google Suggest (ce qui lui a valu 50.000 € de dommages et intérêts).

Ces dispositions ont pour objet de sanctionner les abus de la liberté d’expression.

Tout un chacun est en droit de se livrer à la critique, mais à la condition que celle-ci reste dans les limites de la loi ; au-delà, les propos sont soumis à sanction.

Un second fondement fréquemment utilisé est le dénigrement commercial.

Le dénigrement consiste à jeter le discrédit sur un concurrent, en répandant à son propos, ou au sujet de ses produits ou services, des informations malveillantes.

La jurisprudence est particulièrement sévère dans l’appréciation des critiques de produits ou de services faites entre concurrents

La jurisprudence est particulièrement sévère dans l’appréciation des critiques de produits ou de services faites entre concurrents.

Celle-ci est évidemment possible mais à des conditions très restrictives : qu’elle soit faite de bonne foi, avec prudence et objectivité et qu’elle ne contienne pas d’erreur.

Chacune de ces conditions devant évidemment être respectée. Pour donner un exemple, le Tribunal de commerce de Paris condamnait une entreprise le 15 avril 2009 en cela qu’elle avait qualifié les produits de ses concurrents de “sulfureux” à plusieurs reprises :

Attendu qu’en employant les termes « sulfureux » elle a jeté publiquement le discrédit sur cet évènement

Autant dire que la mesure est de mise ! L’entreprise victime de dénigrement pourra alors demander la réparation de son préjudice, qui consiste dans l’atteinte à sa réputation, par l’allocation de dommages et intérêts.

Elle pourra également obtenir d’autres accessoires comme la publication du jugement sur le site Internet de l’auteur du dénigrement ainsi que le remboursement de ses frais de justice.

Le principe à retenir est qu’en matière commerciale, il convient d’être extrêmement prudent avant de formuler une quelconque critique publique à l’égard de ses concurrents, sauf à prendre le risque de faire les frais de plusieurs milliers ou dizaines de milliers d’euros de dommages et intérêts.

Conclusion

Il y a indéniablement en droit des outils permettant de faire tomber dans l’oubli le fruit des multiples dépassements que les passions favorisent.

Evidemment, dès lors que l’action dépasse les frontières françaises, les choses alors se compliquent pour le moins.

On bénéficierait assurément de simplifications des procédures internationales dans ce domaine.

On parle volontiers aujourd’hui d’e-réputation, qui est un enjeu de plus en plus important sur les réseaux informatiques.

De très nombreuses sociétés de référencement officient au quotidien pour rectifier les effets négatifs de réputations mal bâties.

Il faut également se rappeler qu’un brin de vigilance est aussi utile en particulier pour le traitement de données sensibles.

Une étude récente a démontré que de très nombreuses entreprises laissent en accès libre leurs informations sur le cloud (chiffrer n’est clairement pas un luxe inutile).

La science juridique a sans doute des solutions opérationnelles, mais la prudence est sans doute encore la meilleure arme en la matière.

Les indicateurs de la e-reputation

Préparer une stratégie d’e-réputation repose sur un certain nombre d’interrogations, dont certaines ont été présentées ici, et que l’on peut synthétiser de la manière suivante :

==> Quel type d’image souhaite-t-on travailler ou gérer ?

Est-ce l’image que l’on souhaite avoir, celle que l’on ne veut pas, ou encore celle déjà perçue/façonnée par les internautes ?

==> Quels objectifs souhaite-t-on atteindre par cette stratégie de gestion de la réputation en ligne ?

En s’appuyant par exemple sur le traditionnel QQOQCCP, et surtout en décidant de se positionner en fonction de ce que l’on souhaite dire et faire paraitre de l’entreprise. Avec cet aspect important : définir son public visé.

Ces questions se posent d’ailleurs ensuite pour une stratégie de veille.

Mais au-delà de ce que l’entreprise veut, et l’atteinte des objectifs qu’elle peut ensuite mesurer (ainsi que le décalage entre l’image voulue et l’image perçue/restituée), il parait nécessaire pour définir des indicateurs de mesure de son e-réputation de prendre en compte son environnement.

Que ces indicateurs soient quantitatifs ou qualitatifs, ils ne peuvent se construire sans positionner l’organisation dans son environnement, à savoir : les autres organisations du secteur et les usages/pratiques des publics ciblés.

Bref, pour mesurer il faut un étalon de mesure comparatif, et la définition de celui-ci passe par l’observation de ce qui se passe déjà sur le web. Il s’agit d’ailleurs plus de prendre des points de repères que d’établir des indicateurs précis et immuables.

Voici donc quelques courtes questions pour vous permettre de réfléchir à cette échelle de mesure en appréhendant l’environnement numérique dans lequel l’organisation et la stratégie d’e-réputation qui l’accompagne vont se développer.

==> Y a-t-il réellement un public pour mon organisation ?

Première question essentielle pour définir des indicateurs de mesure en fonction de son environnement web. A la base : y-a-t-il vraiment une activité intéressante (aspect quantitatif) et pertinente (aspect qualitatif) autour des thématiques que je souhaite aborder ?

Et autour de mon entreprise ou d’entreprises concurrentes ?

Peut-on déterminer un cœur de cible qui interagira avec l’organisation, qui commentera ses actions, participera à sa notoriété, etc., ou ne risque-t-on pas de n’avoir que des réactions d’internautes non-consommateurs ?

Dans tous les cas, identifier son public et sa capacité à interagir est nécessaire pour produire des indicateurs pertinents, à savoir non-surdimensionnés (comme c’est souvent le cas) ou totalement irréalistes au vu de la présence effective du public.

==> Quel est le niveau de consommation de l’information du public ciblé ?

Autrement dit, si la stratégie repose sur la diffusion d’informations concernant mon entreprise, n’y a-t-il pas un risque de saturation de la part de mon public cible ?

Ou, ce public est-il un grand consommateur d’informations ?

Ou au contraire ne cherche-t-il pas que des informations à forte valeur ajoutée ?

Cette question permettra d’établir notamment des indicateurs quantitatifs en termes d’audience ou de diffusion des informations. Car rien ne sert du surproduire et sur-diffuser des contenus si ceux-ci ne sont pas lus…

t surtout, une observation fine de la consommation d’informations du public visé (audience d’un site proposant du contenu similaire, volume d’abonnés à un flux RSS,etc. ) permettra de définir leur niveau d’attention potentiel. Amenant alors à définir le niveau de synthétisation des messages et contenus, ou encore les formes (vidéos, images, texte, etc.) les plus adéquates.

==> Quel volume d’interactions déjà existant ? A savoir, et là dans un objectif purement quantitatif, si le public visé est un public qui interagit : tweet, commentaires, notes, like, etc.

Car si tout d’abord, la stratégie repose sur une forte interaction du public alors que celui-ci n’a pas pour habitude de participer, la stratégie tombera vite à l’eau… Rappelons que seule une petite partie des internautes interagit, la grande majorité se contentant d’être passive.

Ensuite, si l’on décide que la réaction du public doit être le signe d’une gestion réussie de l’e-réputation, alors autant dès le départ se donner des points de repères et objectifs réalistes.

==> Quelle typologie d’interactions ? C’est-à-dire, plus pragmatiquement : mon public poste-t-il des commentaires ou simplement des notes ? Des re-tweets ou des likes ? Etc.

Bref, définir des indicateurs nécessaires à la mesure de son e-réputation nécessite de prendre des points de repères reposant sur l’usage que les internautes font de l’information qu’on leur transmet.

Et ce afin de mesurer si les messages qu’on leur diffuse entraine ou non cette typologie d’interaction.

Dire : « nous estimons qu’avec 500 Tweets, l’opération sera réussie »… Ou « afin de gérer cette crise nous allons demander aux clients leur avis sur Twitter » alors qu’ils n’y sont pas ou qu’ils l’utilisent peu (ou différemment des attentes) ne sert à rien. Hormis fournir une échelle de mesure biaisée car non réaliste.

==> A quel(s) discours le public visé est-il exposé chaque jour ?

Si le web n’est pas la seule source d’information pour votre public, ce qu’il y capte chaque jour est partie prenante de la vision d’un phénomène (évènement, entreprise, etc.) qu’il développe.

Veiller sur ce que l’on dit sur l’entreprise est donc essentiel, mais intégrer les discours produits sur des thématiques ou entreprises similaires est nécessaire pour établir des indicateurs qualitatifs.

Si, par exemple, vous identifiez sur Twitter que la communauté que vous ciblez est exposée toute la journée à des informations diffusées sur ce réseau allant à l’encontre de votre propre discours, il faudra alors considérer que la réputation de votre entreprise risque d’être dégradée.

Ou plutôt, que votre discours devra intégrer ces informations. Et que, au final, vos indicateurs devront tenir compte de la possible référence implicite à ces informations lorsque les internautes s’exprimeront sur votre message.

==> Quel volume d’activités pour la thématique abordée ?

Ou : ce que font les concurrents est-il générateur d’activité ?

Voire : les sujets liés à mon entreprise sont-ils vraiment attractifs pour les internautes ?

Car vouloir aborder le sujet de la migration des loutres de Laponie (dans le cadre d’une organisation dont l’élevage de loutres est la spécialité) est légitime.

Mais si vous observez que deux élevages concurrents abordant les mêmes sujets génèrent peu d’interactions, n’ont pas de réaction de leur public ou autre, il faudra redéfinir clairement vos objectifs et indicateurs. Indicateurs quantitatifs aussi bien que qualitatifs.

De manière générale, au-delà des concurrents, si sur le web une thématique n’a pas encore de pourvoyeurs ou de pourfendeurs, c’est que soit elle mérite d’être connue… Soit il ne faut pas s’attendre à des audiences folles.

==> Quelle place reste-t-il pour mon activité ? Toujours en observant la « concurrence » il parait nécessaire de déterminer la place que celle-ci occupe dans le paysage web de votre public visé.

En effet, l’objectif d’une marque (ou même d’un média) est de rendre son public captif. Au risque donc de laisser peu de place pour les nouveaux arrivants. Définir par exemple les « parts de voix » de son entreprise sur le web est un indicateur quantitatif intéressant. A condition de considérer réalistement la place occupée par les autres acteurs du marché. Et donc d’établir des critères de mesure prenant en compte tout d’abord la marge de manœuvre restante, et d’autres plus prospectifs sur celle potentiellement gagnable.

Au final…

Voilà pour ces rapides interrogations, que je développerai dans un prochain billet de manière plus précise (avec pourquoi pas une grille plus formelle). Cependant, ce billet vise principalement à rappeler qu’à chaque organisation sa (e)réputation, et que celle-ci se mesure à l’aune de perceptions déjà existantes.

En effet, si la réputation est une forme d’évaluation, il parait nécessaire de connaitre le barème sur lequel les internautes se basent pour définir ses propres indicateurs.

Et celui-ci est fortement dépendant de leurs usages, de ce que font les autres organisations similaires à la vôtre, ou encore des informations auxquelles ils sont exposés chaque jour.

Vouloir développer des indicateurs reposant uniquement sur ses propres objectifs, c’est oublier que la communication est fortement dépendante de son contexte…et des autres.

Et vous, comment prenez-vous en compte l’environnement pour mesurer votre e-réputation ? Quels autres questionnements voyez-vous ?!