Politique de confidentialité Panoramax

Bonjour à tous !

J’ai contribué quelques photos sur l’instance panoramax.openstreetmap.fr et me demande quelle politique de confidentialité s’applique aux photos elles mêmes et à leurs méta-données (e.g. Exif contenant des informations détaillées de mon appareil photo), toutefois que les informations sont affichées publiquement comme étant associées à mon compte OpenStreetMap, et donc liées à mon identité.

Je n’ai pas trouvé texte ou lien sur l’instance osm-fr, dois-je regarder ailleurs ?

Merci !
Dani CS.

Il faut en effet qu’on rédige un texte minimal à ce sujet, en attendant voici quelques éléments:

Aucune, elles sont librement réutilisables sous la licence choisie par l’instance que l’on accepte implicitement avant de verser non photos.

Par contre, le réutilisateur ne peut pas non plus faire n’importe quoi en matière de données à caractère personnelles et si ses traitements ont pour but par exemple de réidentifier une personne, il va falloir qu’il documente tout ça.

Elles sont liées à un pseudo, pas à une identité (que ni OSM et encore moins Panoramax ne connait).

En tout cas au niveau des instances Panoramax IGN et OSMFR, les données personnelles n’ont aucun intérêt pour nous et nous n’en faisons aucun traitement ou réutilisation autre que les besoins techniques basiques. Il n’y a aucun traceur, ou élément tiers et nous avons juste un Matomo qui permet d’avoir des stats suffisamment anonymes (pas de conservation de l’IP complète) pour ne pas casser les pieds à tout le monde avec un bandeau à accepter.

Nous sommes ici dans de la contribution volontaire, donc une divulgation volontaire d’une part de notre vie privée et ce choix va de pair avec une perte de confidentialité.
Il faut avoir conscience que nos contributions révèlent une part de nous même et si cela ne nous convient pas, je ne vois malheureusement pas d’autre choix que de ne pas contribuer.

Avant tout, je tiens à préciser que je n’ai aucune formation en droit. Par la force des choses j’ai été confronté à des sujets en rapport avec les données à caractère personnelle, et me permets de partager mon point de vue en tant qu’ « individu lambda qui a écouté des avocats parler du sujet », ni plus ni moins.

La licence concerne seulement les droits d’auteur, et n’a aucun rapport avec la question de la protection de données personnelles.

Il est déjà établi (dans la Privacy Policy de OSMF) que le pseudo OSM fait partie des « données à caractère personnel » (“personal data”).

Le lien entre une photo Panoramax et une identité OSM est visible directement à tous sur l’instance Panoramax, il n’y a aucune démarche à faire pour savoir e.g. que l’utilisateur OSM “toto123” utilise un appareil photo marque ABC, et qu’il se trouvait à l’endroit X à l’instant T.

Cette démarche peut se faire par n’importe qui sur Internet, sans filtre et sans avoir à s’identifier. À noter que l’article 25.2 RGPD met en garde contre les données à caractère personnel “rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.”

À ma compréhension, le fait de reconnaître que ces données personnelles n’ont aucun intérêt pour Panoramax constitue directement une obligation légale de ne pas les traiter (je regarde encore le petit 2 de l’article 25 RGDP).

Je proposerais, comme stricte minimum, que la Politique de Confidentialité Panoramax explique quels sont les données nécessaires pour ces besoins techniques basiques, ainsi que le rappel des droits RGPD et le moyen de les exercer.

Deux remarques :

  • Ne mélangeons pas l’aspect volontaire des contributions à OSM et à Panoramax, d’une part, et les obligations RGPD de chaque responsable d’instance Panoramax en tant que responsable du traitement (même s’il gère l’instance de façon volontaire).
  • Nul ne met en question le libre choix fait par les contributeurs. Le seul but de ma question initiale est où se trouve le document qui éclaire à ces contributeurs quelle est la “perte de confidentialité” qui résulte de ce libre choix. D’autres services autour d’OSM le fournissent déjà (iD, Mapillary, KartaView par exemple sont mentionnées dans la Privacy Policy d’OSM).

D’où la première phrase de ma réponse.

1 Like

Une option envisageable pour ne pas lier publiquement une photo à un contributeur serait de ne pas exposer ce lien dans le visionneuse ou via l’API.

Cela pourrait se régler globalement au niveau du compte du contributeur.

Je n’ai aucune idée de ce que ça impacterai sur le code, si c’est facile à implémenter ou pas.

On conserverai la traçabilité au sein de l’instance pour savoir qui a publié quelle photo, mais personne d’autre ne pourrait obtenir l’info… et donc un contributeur devrait du coup oublier à titre perso aussi le “BY” de la licence CC-BY-SA qu’on pourrait remplacer par un “Panoramax” générique.

J’avoue que je trouve tout cela très prise de tête (d’où le ton de ma réponse précédente) car le RGPD n’a quand même vraiment pas été conçu pour régler ce genre de problème complètement hypothétiques mais pour lutter contre la collecte bien plus industrielle et à notre insu de DCP.

Ceci me fait penser aux normes d’hygiène qui font qu’un restaurateur aujourd’hui aura moins d’ennuis en servant de la mayonnaise industrielle qu’en en faisant une vraie avec de vrais oeufs… sans parler des fromages au lait cru :wink:

1 Like