(attention, je ne suis pas un professionnel)

Trop long, pas lu : C’est le RGPD qui n’est pas totalement conforme à la réalité. Mais on peut partiellement le respecter.

Version longue : C’est une très bonne question. Le RGPD n’a pas été prévu pour ce genre de cas, donc c’est difficile de dire si c’est possible de complètement le respecter. Mais on peut au moins essayer de se conformer à certaines obligations et en respecter l’esprit.

Déjà il faut savoir si le RGPD est applicable. Voyons ce qu’est une donnée personnelle. Selon la CNIL :

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. […]

L’identification d’une personne physique peut être réalisée :

à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).

Ainsi, l’ensemble des contenus postés, même si ils ne contiennent pas le nom de la personne, même si il n’y a pas d’adresse mail associé, les horaires de présence sur la plateforme, peuvent être ensemble considérés comme des données personnelles selon la CNIL. Dans le RGPD, c’est dit plus “froidement” :

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

On va présumer qu’il s’agit bien de données personnelles même si dans certains cas, c’est possible de contester cela.

Maintenant voyons les exceptions :

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué : […]

c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique;

À partir du moment où c’est une instance avec des comptes de personnes qui ne sont pas des connaissances, on dépasse le cadre strictement personnelle sans ambiguïté. Par contre quelqu’un qui a une instance juste pour lui, est-ce qu’il est soumis au RGPD ? Je n’ai jamais trouvé quelque chose qui définissait “strictement personnelle ou domestique” en limitant la définition.

Maintenant, qui est responsable du traitement des données personnelles ? C’est là qu’il y a un problème, le même que pour les mails mais en plus important. Il y a plein de personnes qui traitent les données, mais contrairement aux mails où l’on sait qu’il s’agit des serveurs des destinataires et de l’émetteur, il y a possiblement presque une infinité de serveurs. C’est déjà un premier problème, qui doit se conformer au RGPD par rapport à la personne dont les données sont traitées ? Son instance ? Toutes les instances ? Mettons ça de côté.

Il faut notamment respecter plusieurs droit : droits d’accès, droit à l’information, droit à la rectification, droit à l’oubli. Il faut aussi une base légale pour la collecte des données, s’assurer de les sécuriser, déterminer une durée de conservation. Il faut aussi informer en cas de fuite de donnée.

Pour le droit à l’information, c’est pas compliqué, il suffit de dire quelles données son traitées, comment, pourquoi (la base légale notamment), la durée de conservation et de préciser que certaines données sont traitées par plein de serveurs sur toute la planète et que c’est publique et qu’il est possible qu’elles ne soient pas supprimées lors d’une demande de suppression.

Pour le droit d’accès et la portabilité, je crois que presque tout est accessible depuis l’interface sauf les votes (pour lemmy). Il faudrait faire quelque chose pour ça. Mais pour les autres instances, est-ce qu’on serait en droit d’aller leur demander ce qu’elles savent sur nous ?

Pour le droit à la rectification et à l’oubli, on ne peut que demander gentiment aux autres serveurs de supprimer le contenu mais pour les mails, l’impossibilité de supprimer les mails sur les autres serveurs n’a jamais eu l’air de poser problème (mais la différence c’est que ce n’était pas publique). Pour les images, ça doit pas être compliqué à supprimer automatiquement si ce n’est pas déjà le cas.

Et puis il y a la question du territoire, comment ça se passe pour les serveurs qui traitent les données de résidents européens mais qui ne sont pas dans un pays conforme pour la protection des données ? Encore une fois, je n’ai pas l’impression que les mails ont posé problème mais c’était pas le même niveau de décentralisation (et en plus la plupart des gens utilisent un gros fournisseur de mails).

On a l’impression que le RGPD a été prévu pour les cas où il y a une personne morale qui récolte et traite les données (éventuellement avec quelques sous traitants) mais absolument pas pour les systèmes décentralisés. On dirait qu’ils ont juste pensé aux GAFAM.

Il y a d’autres protocoles décentralisés que ActivityPub, par exemple il y a le protocole matrix et pour ça aussi niveau RGPD ça pose des questions.

Donc, non, on ne peut pas parfaitement respecter le RGPD, mais le problème, c’est plutôt qu’il n’a jamais été prévu pour ça et que son application est ainsi incertaine. Mais comme les autorités de protection des données personnelles sont généralement laxistes, il n’y a pas de risque de condamnation, et de toute façon je crois qu’elles réalisent une demande de mise en conformité d’abord.