Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Des comptes influents pilotés depuis l’étranger ? Une fonctionnalité de X sème le doute

T'es où ?

Des comptes influents pilotés depuis l’étranger ? Une fonctionnalité de X sème le doute

Une nouvelle fonctionnalité de X présentant les informations de création et de localisation des comptes semble dévoiler l'ampleur de l'ingérence à l'œuvre derrière, notamment, les discussions MAGA et d'extrême droite. Mais les informations présentées par le réseau social restent à prendre avec des pincettes.

Le 24 novembre 2025 à 16h29

Le 21 novembre, X publiait une nouvelle fonctionnalité dédiée à fournir plus de transparence sur les usagers. Nommé « À propos de ce compte », l’outil permet, en cliquant ou survolant la date d’inscription d’un compte X, d’obtenir plus d’informations sur son nombre de modifications de nom d’utilisateur, via quel outil (web ou magasin d'applications) l’internaute se connecte, et, au moins théoriquement, la région du monde d’où il ou elle se connecte.

Dans les heures qui ont suivi sa mise en ligne, de nombreuses personnes se sont lancées dans la vérification de divers comptes très actifs sur le réseau social d’Elon Musk. Depuis les États-Unis, ceci a notamment permis de constater que certains comptes MAGA (Make America Great Again, le mouvement de soutien à Donald Trump) très suivis étaient localisés en Russie, en Inde ou au Nigeria. De même en France, des comptes d’apparence « patriote », ou d’extrême droite, parfois suivis par plusieurs dizaines de milliers de comptes, apparaissent localisés au Sénégal.

Pour autant, chacune de ces informations reste à prendre avec des pincettes. Comme le montrent nos tests réalisés sur les comptes de journalistes de la rédaction, le fonctionnement de l’outil déployé par X reste fragile.

Des VPN et des magasins d'applications

Commençons donc par le compte de Jean-Marc Manach. Depuis sa bio, nous apprenons qu’il a rejoint Twitter en 2008, qu’il utilise l’application téléchargée depuis un smartphone sous Android, et que son compte est basé en France. Jean-Marc souligne que dans les faits, il consulte « d’abord et avant tout X en mode desktop web ».

Le petit « i », pour « information », à la droite de sa géolocalisation ? En cliquant, nous obtenons le message suivant.

Capture d'écran des informations de localisation fournies par X : "Le pays ou la région dans lequel un compte est installé peut être touché par de récents voyages ou une relocalisation temporaire. Ces données peuvent être inexactes et changer périodiquement."

Le compte de l’autrice de ces lignes présente des informations un peu plus atypiques. D’une part, on y apprend que j'ai changé trois fois de handle. La localisation indique quant à elle « États-Unis », alors même que j’écris ces lignes depuis la France métropolitaine.

Ceci s’explique probablement par le fait que je ne recours à X que depuis mon navigateur, lui-même derrière un VPN (virtual private network) en France qui me permet d’accéder à différents outils de travail. À côté de la géolocalisation faussée, le symbole « information » n’est d’ailleurs plus entouré d’un simple cercle, mais d’un symbole de bouclier. Lorsqu’on clique, le message n’est pas exactement le même que dans le cas précédent.

Capture d'écran des informations de localisation fournies par X : "L'un de nos partenaires a indiqué que ce compte se connecter peut-être via un proxy - comme un VPN (...) Ces données peuvent être inexactes. Certains fournisseurs internet utilisent des proxies automatiquement, sans action de leurs utilisateurs. (...)"

Comptes d’extrême droite pilotés depuis l’extérieur ?

Malgré ces aléas, l’exposition des informations d’un autre compte a permis de suggérer que des comptes MAGA très suivis étaient pilotés depuis divers pays étrangers, à commencer par la Russie, l’Inde et le Nigeria. De fait, ces différents pays sont connus pour leurs opérations d’ingérence ou pour héberger des fermes à trolls, dont l’objet consiste à simuler des activités légitimes en ligne à des fins financières, politiques, ou les deux à la fois.

Tous n’ont pas nécessairement une très forte audience. Mais quelques-uns, comme le compte @MAGANationX, suivi par plus de 392 000 comptes, ou @IvankaNews_, suivi par plus d’un million de comptes, attirent particulièrement l’attention. Créé en avril 2024, le premier serait localisé en Europe de l’Est, « (hors de l’Union européenne) », selon les informations présentées par X. Vieux de 15 ans, le second serait quant à lui installé au Nigeria.

Dans le même ordre d’idées, @America_First0, suivi par plus de 67 000 comptes X, a beau donner l’image d’une Américaine convaincue par Trump, ses informations le localisent au Bangladesh.

Après ces premiers exemples, la pratique d’exposition des informations de compte s’est répandue à toute vitesse, comme une de ces tendances (trends) classiques des cultures numériques. Elle a donné lieu à des passes d’armes pleines d’insinuations entre, par exemple, le « lobby américain pro-israël » AIPAC et divers internautes. À ses 187 000 followers, le premier publie l’information selon laquelle le compte @palestine serait installé en Australie, avec pour simple légende « Oh. ». En réponse, de petits comptes comme @crawlings13 répondent, ironiquement : « Vous ne devinerez jamais la raison pour laquelle tant de comptes palestiniens sont situés en dehors de la Palestine. »

En France, de même, quantité d’utilisateurs explorent les comptes des uns et des autres. D’après X, « @cestpasdeslol_x » (84,3 K abonnés) est par exemple basé au Maroc. Autodécrit comme « spécialisé dans les faits divers en France », le profil est qualifié de « compte favori de la patriosphère xénophobe » par le maître de conférences spécialiste des cultures numériques Tristan Mendès-France, qui s’amuse de sa potentielle localisation outre-Méditerranée. Plus radical, le compte @Henri2Turenne, suivi par plus de 20 000 personnes et affichant les drapeaux français, russe et du Vatican, a été pris à parti après que X a indiqué sa localisation au Sénégal. Ce 24 novembre, le compte avait été supprimé, quand bien même divers utilisateurs plaidaient son possible recours à un VPN.

Directeur produit chez X, Nikita Bier décrivait le 22 novembre au soir le déploiement de la fonction « à propos de ce compte » comme « un premier pas important pour sécuriser l’intégrité de cet espace public mondial ». Dans les jours qui précédaient le lancement de la fonctionnalité, divers défenseurs des droits numériques avaient critiqué le projet de X, considérant le nouvel outil comme une attaque contre les internautes qui recouraient à la plateforme depuis des VPN.

Mais plutôt que de se pencher sur cette question, nombreux sont les usagers qui se sont emparés de la fonctionnalité pour tenter de démontrer l’ampleur des ingérences étrangères dans leurs débats en ligne. Tant que la stabilité de l’outil n’est pas assurée, cela dit, difficile de dresser des conclusions solides.

Alors que plusieurs usagers se plaignaient de l’inexactitude des informations relatives à leur compte, Nikita Bier convenait d’ailleurs que « les informations ne sont pas 100 % exactes pour les vieux comptes » et prévoyait que certains dysfonctionnements devraient être résolus « d’ici mardi », c’est-à-dire, a priori, ce 25 novembre.

Il précise par ailleurs : « Si des données sont incorrectes, elles seront mises à jour périodiquement en s’appuyant sur les meilleures données disponibles. » Un processus qu’il déclare organisé de manière « différée et aléatoire », pour « préserver la vie privée ».

Commentaires (45)

votre avatar
Mais quel intérêt a X de partager ces informations ?
votre avatar
Prouver que les "ennemis" (non Maga) ne sont pas américains ? Ou pour Musk de saboter le mouvement Maga ?

Est-ce qu'il y a encore sincèrement des gens qui cherchent à comprendre se qui se passe chez X (et dans la tête de Musk) ?
votre avatar
Ceci s’explique probablement par le fait que je ne recours à X que depuis mon navigateur, lui-même derrière un VPN (virtual private network) en France qui me permet d’accéder à différents outils de travail.
Si ce VPN est professionnel et lié au télétravail permanent, ce VPN va vers le réseau de Moji (où est hébergé l'IT de Next) qui est lui-même en France. Je ne vois pas en quoi cela expliquerait une localisation aux USA.
votre avatar
Ça dépend probablement de leur fournisseur de données de géolocalisation (GeoIP ?).

À une époque, les abonnés d'OVH étaient considérés comme Russes (ou d'un autre pays de l'Est), vu qu'OVH avait acheté la plage IP et que les bases n'étaient pas à jour. Ils n'avaient pas accès à certains services de replay…
votre avatar
La divulgation de ces informations est-elle bien conforme avec le RGPD ?

La seule raison de ce traitement serait à chercher dans les intérêt légitimes, mais je n'en vois pas qui seraient supérieur au droit à la vie privée en particulier pour la localisation.
En particulier,
fournir plus de transparence sur les usagers
ne me semble pas une raison valable pour indiquer d'où ils communiquent.
votre avatar
La divulgation de ces informations est-elle bien conforme avec le RGPD ?
Pour avoir posé une question similaire à une autorité compétente: les données de géolocalisation sont considérées comme des données à caractère personnel SEULEMENT SI elles permettent l'identification de la personne par recoupement avec d'autres données collectées.

Avec une géolocalisation à l'échelle d'un pays, je doute qu'on puisse identifier un individu avec seulement le nom de son compte et la date de création.
votre avatar
Pour une personne identifiée par son compte, on sait quand elle se déplace dans tel ou tel pays et cela est une information privée. C'est le sens de ma question en particulier par rapport au principe de minimisation des données traitées. Il n'y a pas de justification à rendre public une telle information.

Ta question était différente de la mienne.
votre avatar
De mon point de vue, il y a trois aspects dans ton message:
1. La collecte/traitement de données à caractère personnel.
2. La justification de la collecte/traitement.
3. La divulgation de cette donnée à la vue de tous.

Pour le 1, voir ma réponse précédente: c'est permis si ca ne permet pas l'identification de l'individu.

Pour le 2, la collecte/traitement de l'adresse IP est utilisée par les sites web pour détecter de potentiels abus/usurpations. Ex: si qqn se connecte à votre compte google.com depuis une nouvelle adresse IP, vous recevez une alerte/email pour vous avertir.

Donc pour 1+2 ca me semble conforme et justifié.

Pour le 3, je peux comprendre le sentiment de perte d'anonymat. Mais dans les faits ca ne permet pas de t'identifier. Donc c'est plutôt un niveau de transparence auquel on n'est pas habitué: on reste anonyme, mais on peut moins mentir sur celui qu'on prétend être.

Je sais que le X/Musk bashing c'est viscéral pour certains, mais là ca me semble être une fonctionnalité qui va dans le bon sens. Et perso je trouve ca marrant de voir que les patriotes US soient en fait des Bangladais. :D
votre avatar
Attention à ne pas confondre données identifiante et donnée à caractère personnel.
Article 4 du RGPD :
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable
Donc, le pays à partir duquel on utilise X est une information personnelle si l'on est identifiable et sur X, on est identifiable au moins par son identifiant X (c'est "un identifiant en ligne" comme l'appelle le RGPD qui dit que c'est un moyen d'identification dans ce même paragraphe).
"des données de localisation" est un moyen cité pour pouvoir identifier une personne dans ce même paragraphe, mais ce n'est pas le sujet de mon interrogation. C'était par contre ton interrogation auprès de l'autorité que tu avais interrogée.

C'est le 3 qui pose problème Et c'est ce traitement là dont je parle : la divulgation de donnée privée associée à une identification par le compte. Rappel : un pseudo est un identifiant. Les comptes des 2 journalistes de Next cités les identifient : leur nom apparaît clairement. Il y a plein de gens qui sont connus par leur nom sur X.

Rien ne justifie de diffuser le pays à partir duquel ils utilisent X. On peut savoir où ils passent leurs vacances par exemple, s'ils vont souvent dans un pays, peut-être pour y acheter de la drogue...

Et je ne pose la question que pour l'UE en parlant du RGPD. Mais comme d'habitude les sociétés US conçoivent une fonctionnalité sans penser aux différentes législations et après, pleurent parce qu'elles se font sanctionner.
votre avatar
C'est le 3 qui pose problème Et c'est ce traitement là dont je parle : la divulgation de donnée privée associée à une identification par le compte. Rappel : un pseudo est un identifiant. Les comptes des 2 journalistes de Next cités les identifient : leur nom apparaît clairement. Il y a plein de gens qui sont connus par leur nom sur X.
Pour moi, le vrai nom du journaliste c'est une donnée volontairement diffusée au public par le possesseur du compte. Ce n'est pas une donnée collectée par X qui serait leaké sans son consentement.

Le fait que le journaliste soit identifiable ne peut donc pas être reproché à X.
Et le fait qu'il soit "identifiable ET localisable" non plus.

(cf la geoloc des militaires sur l'appli de fitness Strava)
votre avatar
On se fiche que le fait qu'il soit identifiable soit le fait de X ou pas. Il est identifiable, donc sa localisation (même au niveau du pays) est une donnée personnelle et elle doit avoir une base légale de traitement (ici la divulgation par X). C'est X qui décide tout seul de rendre cette donnée personnelle disponible.

Quelle est donc cette base légale parmi les 6 listées à l'article 6 ?
Et cette base légale est-elle solide ?
Les intérêts légitimes sont très rarement reconnus comme une base légale par les autorités de contrôle et je ne vois pas quelle autre cause pourrait être invoquée, d'où mon fort doute.
votre avatar
On se fiche que le fait qu'il soit identifiable soit le fait de X ou pas. Il est identifiable, donc sa localisation (même au niveau du pays) est une donnée personnelle
La localisation devient une donnée personnelle si X a collecté d'autres données qui permettent l'identification de l'individu. Ce qui n'est pas le cas.

X n'a pas collecté le vrai nom du titulaire du compte.
C'est le titulaire du compte qui divulgue sa (prétendue) identité via X.

Note qu'il aurait pu la divulguer cette (prétendue) identité via une autre plateforme:
"hey, le compte ae54fa8ef sur X en fait c'est moi, Jean Dupond".
votre avatar
J'ai cité le RGPD pour confirmer mes dires. Ce que tu dis n'est pas écrit dans le RGPD.
J'arrête là.
votre avatar
J'ai cité le RGPD pour confirmer mes dires. Ce que tu dis n'est pas écrit dans le RGPD.
C'est exact. Comme dit dans mon premier commentaire c'est la réponse d'une autorité compétente sur une question similaire.
votre avatar
C’est globalement totalement n’importe quoi.
La donnée est ici manifestement une DCP puisqu’est rattaché à un compte. Qui lui est une DCP. Et le RGPD n’a JAMAIS imposé qu’on doive identifier l’utilisateur pour que ça soit une DCP, mais uniquement qu’il soit identifiable (article 4). Ce qu’est un pseudonyme.
La CJUE a même d’ailleurs ajouter que l’information d’identification n’avait pas à être détenu par le détenteur de la donnée elle-même mais qu’elle pouvait être ailleurs (au pif : ton FAI, une réquisition des flics, etc)
votre avatar
Mais les données de trafic des jets privés sont quand même publiques (intérêt légitime…).

Ici je suis mitigé. La donnée n’est pas en temps réel, c’est une moyenne (je suppose, on n’a pas d’infos là-dessus) de ce qui s’est passé dans les derniers temps. L’article montre qu’il y a un intérêt légitime fort à ce que cette donnée soit connue : en fait, c’est même la meilleure mesure du niveau d’ingérence / influence externe que j’ai pu voir depuis ces dernières années.

Donc pour moi, en réflexion rapide, la balance penche plutôt en faveur de la publication (ce n’est pas temps réel, ça reste une donnée non localisante, il y a un intérêt à la rendre publique).
votre avatar
Que ça soit public ne veut pas dire que c'est légal. Ça serait même tout à fait contestable en justice.
Ça avait été le cas par exemple des registres de transparence européens
next.ink Next

L'« intérêt légitime » au sens RGPD est très strict, et ne s'applique pas ici dans le cas de X.
votre avatar
La donnée est ici manifestement une DCP puisqu’est rattaché à un compte. Qui lui est une DCP. Et le RGPD n’a JAMAIS imposé qu’on doive identifier l’utilisateur pour que ça soit une DCP, mais uniquement qu’il soit identifiable (article 4). Ce qu’est un pseudonyme.
Dire dans un commentaire de Next (ou dans un champ de mon profil Next) que je suis "Lenny Kravitz" ne me rend pas identifiable. Ou alors vous êtes tous très crédules...

Et c'est surement la raison pour laquelle X affiche la localisation, pour que les gens crédules puissent déceler la supercherie.
votre avatar
Encore une fois, la question n’est pas ce que toi tu vas déclarer mais ce que quelqu’un peut déclarer sur toi. Et encore une fois, le RGPD n’a jamais imposé d’être lié à l’identité civile. Le seul fait que ça identifie une personne (nommée ou non, on s’en fout) suffit à classer en DCP.

Sur une réquisition judiciaire, les flics peuvent demander à X (ou à Next) tes données de connexion, et ensuite aller voir ton FAI pour lever ton anonymat. C’est fait régulièrement, et c’est bien la preuve que tes données X (ou Next) sont des DCP.

Bref, si tu ne maîtrises pas la législation en vigueur, évite de propager des conneries dans des commentaires d’un journal sérieux sur le sujet. Tu ne maîtrises absolument pas la notion de DCP et en propage des erreurs juridiques monstrueuses qui peuvent laisser à penser des choses aux lecteurs ici qui pourraient en mettre en œuvre des traitements illicites.

De manière très générale, toute information qui pourrait être utilisée par les flics pour t’incriminer d’une quelconque manière est automatiquement une DCP.

https://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=FR#point43


43 Dans la mesure où ce considérant fait référence aux moyens susceptibles d’être raisonnablement mis en œuvre tant par le responsable du traitement que par une « autre personne », le libellé de celui-ci suggère que, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel » au sens de l’article 2, sous a), de ladite directive, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne.

45 Il convient cependant de déterminer si la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée.

47 Or, si la juridiction de renvoi précise dans sa décision de renvoi que le droit allemand ne permet pas au fournisseur d’accès à Internet de transmettre directement au fournisseur de services de médias en ligne les informations supplémentaires, nécessaires à l’identification de la personne concernée, il semble toutefois, sous réserve des vérifications à effectuer à cet égard par cette juridiction, qu’il existe des voies légales permettant au fournisseur de services de médias en ligne de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.
votre avatar
Encore une fois, la question n’est pas ce que toi tu vas déclarer mais ce que quelqu’un peut déclarer sur toi. Et encore une fois, le RGPD n’a jamais imposé d’être lié à l’identité civile. Le seul fait que ça identifie une personne (nommée ou non, on s’en fout) suffit à classer en DCP.
C'est dans l'autre sens.

SI la donnée se rapporte à une personne identifiée ou identifiable, ALORS c'est une donnée à caractère personnel.

Et comme je suis d'accord sur le fait d'éviter de propager des erreurs juridiques monstrueuses, je vais citer le règlement:

-----------
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL

préambule, considérant
(26) Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable.

Article 4, Définitions
(1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable
-----------

Le RGPD n'est pas un texte pour garantir l'anonymat. A l'inverse, c'est un texte pour garantir la confidentialité des données d'une personne physique identifiée ou identifiable. De rien, ca me fait plaisir.
votre avatar
La citation de l'article 4 est celle que j'ai faite ici

Merci d'enfin admettre que j'avais raison.

Remarque : un préambule dans un texte de loi, ça explique pourquoi on a écrit quelque chose dans la partie qui légifère. Ça peut apporter un éclairage sur le pourquoi on a décidé des choses, mais seuls les articles d'un règlement européen créent le droit.
votre avatar
Bah j'ai pas dit que t'avais tort sur ce point. C'est sur celui d'après.
Tu dis à deux commentaires d'intervalle:
"données de localisation" est un moyen cité pour pouvoir identifier une personne
Il est identifiable, donc sa localisation (même au niveau du pays) est une donnée personnelle
Faut choisir ta bataille.
- Soit c'est une donnée qui peut servir à l'identification (c'est ce que dit le RGPD).
- Soit c'est une donnée personnelle car la personne est déjà identifiée/able.

Et je suis d'accord pour dire que instinctivement ca a l'air d'une donnée personnelle puisque ca peut servir à identifier... Et l'autorité a qui j'ai posé la question m'a fait à peu près la remarque que je viens de faire à aeris22: "Cher monsieur, c'est dans l'autre sens. C'est parce que l'individu est identifiable que c'est une donnée personnelle. Est-ce que vous êtes capables d'identifier l'individu ? Non ? alors ce n'est pas une donnée personnelle."
votre avatar
Ça peut être les 2 :

- C'est une donnée personnelle si tu es identifiable (par un autre moyen)
- Ça peut permettre de t'identifier par tes déplacements. On peut savoir où tu habites et où tu travailles assez facilement par tes déplacements. À partir de là, si tu es le seul de ton lieu d'habitation à travailler à cet endroit, on sait qui tu es. Si vous êtes plusieurs, il faudra un autre déplacement pour de distinguer d'une autre personne : par exemple la salle de sport où tu vas.
votre avatar
Ça peut être les 2
Hmm... y a forcément une poule et un oeuf. Comme tu disais, si c'est collecté c'est qu'il y a un intérêt légitime à le collecter. Du coup on sait a-priori si c'est l'un ou l'autre.

Mais j'ai pas posé la question car je n'étais pas dans ce cas là. Je dois refaire une fournée de questions à l'autorité dans le cadre du EU Data Act cette fois. J'essaierai de glisser la question.
votre avatar
Non. Si c’est collecté, c’est peut-être que X viole la législation et n’a aucune base légale valide pour la collecter.

Spoiler : les lignes directrices du CEPD sur l’intérêt légitime font 37 pages.
Lis bien le II(C)
Lignes Directrices 01/2024 CEPD intérêt légitime

Je t’invite aussi à lire ceci et en particulier le §3 sur la balance des droits et l’impossibilité de l’intérêt légitime en cas d’intrusion sur les droits des personnes concernées.
Lignes directrices CNIL intérêt légitime

Tu touches à un des concepts les plus complexes et les plus mal compris du RGPD.

Spoiler bis : tu parles actuellement à quelqu’un qui fait parti de ça
Groupe de soutien d’experts auprès du CEPD
votre avatar
Ah, super. Je vais donc pouvoir te poser la question qui me taraude depuis longtemps. Quand est-ce que vous mettez une branlée aux constructeurs automobiles pour leur collecte massive, dénuée de tout intérêt légitime, des données d’utilisation des véhicules, qui sont tellement facilement réidentifiables que ce sont manifestement des données personnelles ? Parce que là, on est sur du beaucoup plus lourd que ce qui est décrit dans l’article…
votre avatar
Le SPE ne sont que des experts appelables au soutien du CEPD en cas de besoin. On n’a aucune capacité d’action propre. Le CEPD lui-même n’en a pas vraiment. C’est exclusivement les Autorités de Contrôle qui peuvent le saisir, la CNIL en France donc. Qui a aquaponey.
votre avatar
Faut choisir ta bataille.
- Soit c'est une donnée qui peut servir à l'identification (c'est ce que dit le RGPD).
- Soit c'est une donnée personnelle car la personne est déjà identifiée/able.

Non, ça c’est toi qui le dit et pas la loi.

La loi dit même que ton « déjà » du 2nd point est faux, puisque ce n’est pas l’état à date qui compte mais que la possibilité potentielle d’une identification future (par exemple sur réquisition judiciaire) caractérise déjà le fait que tu es en train de traiter de la DCP.

Il n’y a donc qu’un seul cas, le 1. Et qui est même plus large que ce que tu dis, puisqu’il faut pas que la donnée elle-même permette l’identification, mais seulement se rapporte à une personne identifiée ou identifiable.
Dit autrement : toute donnée associée avec ton compte X est de facto une DCP, puisque ton compte X est identifiable.
votre avatar
Il dit qu’il n’a plus de genou.
Tu confirmes exactement ce que je dis : une donnée est à caractère personnelle SI elle SE RAPPORTE à une personne identifiée OU IDENTIFIABLE.

Ta géolocalisation SE RAPPORTE à ton compte X, qui est lui-même IDENTIFIABLE par réquisition de police. C’est donc une DCP. Merci de la démonstration.
votre avatar
La loi dit même que ton « déjà » du 2nd point est faux, puisque ce n’est pas l’état à date qui compte mais que la possibilité potentielle d’une identification future (par exemple sur réquisition judiciaire) caractérise déjà le fait que tu es en train de traiter de la DCP.
Ta géolocalisation SE RAPPORTE à ton compte X, qui est lui-même IDENTIFIABLE par réquisition de police. C’est donc une DCP.
Lorsque le RGPD dit des "moyens raisonnablement susceptibles d'être utilisés pour identifier une personne physique", je ne pense pas qu'il parle des moyens qui sont à la seule disposition des autorités judiciaires. Mais je peux me tromper... ou pas.

----------------------------------------

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL
préambule, considérant

(26) Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci.
votre avatar
1) le RGPD s'applique aussi aux autorités judiciaires ainsi qu'à la police ou toute autre administration.
C'est pour cela qu'il faut un cadre légal pour le traitement de données personnelles par ces entités. C'est le e) du 1. de l'article 6 :
le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
Le RGPD n'interdit pas le traitement des données personnelle, il l'encadre.
L'article 4 définit ce qu'est une donnée personnelle pour tous ceux qui effectuent un traitement sur une telle donnée.

2) Un considérant comme le (26) que tu cites est là pour éclairer uniquement comme je l'ai déjà dit et il est très clair.
Les moyens décrits par @aeris22 sont tellement raisonnablement susceptibles d'être utilisés qu'ils le sont tous les jours par la justice qui fait des réquisitions auprès des plateformes ou des FAI.

Donc, oui, tu te trompes.
votre avatar
Lorsque le RGPD dit des "moyens raisonnablement susceptibles d'être utilisés pour identifier une personne physique", je ne pense pas qu'il parle des moyens qui sont à la seule disposition des autorités judiciaires. Mais je peux me tromper... ou pas.

Je t’ai cité au dessus un arrêt de la CJUE qui dit le contraire. Donc si, tu te trompes.



47 Or, si la juridiction de renvoi précise dans sa décision de renvoi que le droit allemand ne permet pas au fournisseur d’accès à Internet de transmettre directement au fournisseur de services de médias en ligne les informations supplémentaires, nécessaires à l’identification de la personne concernée, il semble toutefois, sous réserve des vérifications à effectuer à cet égard par cette juridiction, qu’il existe des voies légales permettant au fournisseur de services de médias en ligne de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.

48 Il semble ainsi que le fournisseur de services de médias en ligne dispose de moyens susceptibles d’être raisonnablement mis en œuvre afin de faire identifier, à l’aide d’autres personnes, à savoir l’autorité compétente et le fournisseur d’accès à Internet, la personne concernée sur la base des adresses IP conservées.

49 Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la première question que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’une adresse IP dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.


La CJUE a même été plus loin par la suite en disant que peu importe que les moyens soient légaux ou non, la possibilité d’identifier une personne (par exemple un OPJ qui outrepasserait ses droits pour taper allégrement dans TES, toute ressemblance avec l’actualité, tout ça…) suffit, que ce moyen soit légal ou non.
votre avatar
Il semble ainsi que le fournisseur de services de médias en ligne dispose de moyens susceptibles d’être raisonnablement mis en œuvre afin de faire identifier, à l’aide d’autres personnes, à savoir l’autorité compétente et le fournisseur d’accès à Internet, la personne concernée sur la base des adresses IP conservée
Ah, ok. Je ne savais pas que la CJUE avait statuée sur ce cas en des termes aussi clair.

Tous les sites web ayant accès à l'IP du visiteur, peut-on en déduire que tous les sites webs peuvent identifier les personnes par des moyens raisonnables ? Et donc que toute information se rapportant à un visiteur est une donnée à caractère personnelle ?

Ca me parait énorme en terme de périmètre !
votre avatar
De ce que je comprends du cas cité, c'était antérieur au RGPD (directive 95/46) mais ça ne change pas le raisonnement et il faut que le fournisseur de service enregistre l'adresse IP (considération 49). Il semble qu'il le faisait dans ce cas afin de pouvoir poursuivre un attaquant cyber.

Donc, la réponse à ta question est oui, à partir du moment où l'on stocke l'adresse IP (avec horodatage, ici, on parlait d'adresse IP dynamique).

Mais, il y a plein d'autres moyens pour identifier un utilisateur, donc même sans le stockage de l'adresse IP, on peut dire la même chose.
votre avatar
Donc, la réponse à ta question est oui, à partir du moment où l'on stocke l'adresse IP (avec horodatage, ici, on parlait d'adresse IP dynamique).
Ok. Ca me parait tout de même énorme comme périmètre car il y a surement un log quelque part avec IP+heure. Mais bon, si la CJUE le dit j'en prend acte.
votre avatar
Quand je te dis que tu n’as aucune idée de ce que tu es en train de parler, ce n’est pas pour rien hein… 🤣
Oui, toute information même indirectement reliée à un visiteur est une DCP.

Et oui le périmètre du RGPD est énorme. Globalement c’est assez simple : tout est DCP ou presque.
votre avatar
Quand je te dis que tu n’as aucune idée de ce que tu es en train de parler, ce n’est pas pour rien hein… 🤣
il faut tout de même un arrêt de la CJUE pour statuer sur l'identification par IP qui entraine la caractérisation de la localisation en DCP... preuve que ca n'a rien d'évident à la lecture de la loi.
votre avatar
Cet arrêt date du 19 octobre 2016 donc avant le début de l'application du RGPD.

C'est pour cela que la CNIL (par exemple) considère depuis longtemps qu'une adresse IP est un donnée identifiante.

En France, la Cour de cassation a dit la même chose en novembre 2016 en s'appuyant sur la loi informatique et liberté du 6 janvier 1978.
Ça fait donc 9 ans que cela est connu par les avocats spécialisés. En cas de doute, il suffit de les interroger.
votre avatar
Que ce soit une donnée identifiante ca ne fait aucun doute, et ça n'en a jamais fait.

Ce qui est moins évident c'est que que, d'après la CJUE, on est tous capable d'identifier une personne physique à partir de son adresse IP par des moyens raisonnables.
votre avatar
C’est toi qui ajoute le « tous » dans la législation. La législation ne dit pas que tout le monde doit pouvoir, la législation dit qu’une seule personne le pouvant est suffisant.
votre avatar
Finalement, je ne suis pas le seul qui pense que ce n'est pas conforme au RGPD. Un avocat français est du même avis.

Je n'ai pas lu l'article de Marc Rees n'étant pas abonné à l'Informé.
votre avatar
Ceci s’explique probablement par le fait que je ne recours à X que depuis mon navigateur, lui-même derrière un VPN (virtual private network) en France qui me permet d’accéder à différents outils de travail.
Je le savais que @MathildeSaliou était une crypto-anarcho-terro-insérezDesTrucsEnOIci-iste !
votre avatar
Tout ça parce que Mathilde utilise les outils d’IA microsoft et openai non disponibles en Europe :D
votre avatar
Etre à l'étranger ne veut pas forcément dire faux. Des gens peuvent très bien quitter leur pays tellement déçus de ce qu'il est devenu et soutenir des nationalistes pour qu'il change et qu'ils puissent revenir.
Ils peuvent aussi utiliser un VPN pour se protéger de certaines lois qui interdisent certains propos nationalistes.
votre avatar
Des gens peuvent très bien quitter leur pays tellement déçus de ce qu'il est devenu et soutenir des nationalistes pour qu'il change et qu'ils puissent revenir.
C'est sûr que leur pays ira bien mieux comme ça (il y a une liste longue comme le bras de pays qui ont sombré dans le nationalisme et ont eu le plus grand mal à en sortir, après une longue descente aux enfers. Des fois, ça va plus vite, mais ça fait plus de dégâts, cf. nazisme).

Des comptes influents pilotés depuis l’étranger ? Une fonctionnalité de X sème le doute

  • Des VPN et des magasins d'applications

  • Comptes d’extrême droite pilotés depuis l’extérieur ?

Fermer