​Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur aujourd’hui

[ewok]

Vous avez reçu depuis plusieurs semaines des avalanches de mails pour des mises à jour de CGV/CGU, des demandes de confirmation d’inscription à des mailing lists, et tout cela en préparation du jour J qui marque l’entrée en vigueur du RGPD.

C’est un document long et complexe et il faudra sans doute du temps pour voir quelle sera sa portée et l’impact de son application aux entreprises de toutes tailles et qui traitent des données diverses et variées.

Cet acte juridique de l’Union européenne s’applique dès aujourd’hui et offre une protection à l’ensemble des citoyens européens. Le règlement s’applique y compris lorsque les données sont collectées et traitées par une entreprise établie en dehors de l’UE, comme les GAFA.

Si l’on parle beaucoup des grandes entreprises qui collectent des montagnes de données, ce règlement prévoit des obligations pour toutes les entreprises qui collectent des informations, y compris les TPE et PME.

Parmi les nouveaux grands principes qu’il pose, il y a maintenant l’obligation de recueillir le consentement de l’utilisateur avant la collecte et le traitement de ses données, via un système d’opt-in.

S’il n’y a pas de limites aux différents types de données qui peuvent être collectées, les entreprises doivent maintenant s’astreindre à recueillir le minimum nécessaire au service. Ainsi si l’adresse postale doit être recueillie pour livrer un colis, la date de naissance ou la nationalité ne sera a priori pas nécessaire.

Toutes les données recueillies et traitées devront faire l’objet d’une sécurisation accrue.

S’ajoute à cela une obligation générale de transparence, sur les données collectées de façon directe et indirecte (cookies, croisement de données, etc.) et leur utilisation, la durée de conservation de ces données, l’éventuelle transmission des données à un tiers, et la signalisation des cas de fuites et de vols de données. L’utilisateur peut demander à consulter les données qui ont été collectées sur lui et aura désormais la possibilité de récupérer et transférer ses données d’un service à un autre.

Ces dernières années, les plafonds des amendes pouvant être prononcées pour la CNIL ont été progressivement relevés, passant de 150 000 € à 3 millions €. Avec ce nouveau texte l’amende maximale passe à 20 millions € ou 4% du chiffre d’affaire mondial de l’entreprise, le montant le plus élevé étant retenu.

C’est donc un texte très complet (complexe qui entre aujourd’hui en vigueur et ces quelques lignes ne dressent ici qu’un aperçu très rapide de quelques uns des points qu’il contient.

L’avenir dira si ce texte changer fondamentalement la façon dont nos données sont traitées, mais ce qui restera vrai partout sur internet, c’est que si c’est gratuit, c’est que vous êtes le produit.

[Sgt.Pepper]

La mise en place de la conformité au RGPD pose un problème particulier à nombre d'entreprises.

Ce n'est pas tant de se mettre en conformité sur leur site WEB, par exemple, en mettant en place les options de choix de l'utilisateur, que de permettre la gestion par ce dernier de ses propres données par la suite.

Dans nombre de cas, en effet, nul besoin de créer un compte pour confier ses données (email, par exemple) à une entreprise. L'utilisateur n'a donc pas accès physiquement à ses données et doit effectuer, pour ce faire, une demande explicite auprès de l'entreprise. C'est là que ça va être un joyeux merdier à gérer.

[Sgt.Pepper]

Autre problème :

Pas mal d'entreprises se précipitent pour envoyer un mail invitant le "client" à son consentement explicite pour être maintenu dans leur base de données.

Or, soit elles disposaient de ces données préalable en toute légalite (auquel cas cette démarche est au mieux inutile), soit ce n'était pas le cas, auquel cas il est marrant de considérer qu'une entreprise dans l'illégalité (ayant obtenu votre adresse sans votre consentement), vous sollicite... pour avoir votre consentement !

[jt_69.V]

Aucune chance pour que ça change quoi que ce soit au niveau du spam par email je suppose ?
Les entreprises qui font ça sont de toutes façon déjà dans l'illégalité, donc un peu plus un peu moins...

[Lionel]

Aucune chance pour que ça change quoi que ce soit au niveau du spam par email je suppose ?
Les entreprises qui font ça sont de toutes façon déjà dans l'illégalité, donc un peu plus un peu moins...

Il suffit que le serveur de départ soit en dehors de l'UE ce qui est déjà souvent le cas.

[Sgt.Pepper]

Aucune chance pour que ça change quoi que ce soit au niveau du spam par email je suppose ?
Les entreprises qui font ça sont de toutes façon déjà dans l'illégalité, donc un peu plus un peu moins...

Ah, mais ça change tout, au contraire ! en te sollicitant (illégallement, donc) pour te demander ton assentiment, elles t'apportent la preuve explicite de leur illégalité.

S'agissant de certains gouniafiers, je ne dis pas que cela changerait quoi que ce soit, mais je parle aussi d'entreprises "bien de chez nous" qui, ce faisant (en toute bonne foi) ne mesurent pas le guêpier dans lequel elles se mettent.

[johnstone]

Autre problème :

Pas mal d'entreprises se précipitent pour envoyer un mail invitant le "client" à son consentement explicite pour être maintenu dans leur base de données.

Or, soit elles disposaient de ces données préalable en toute légalite (auquel cas cette démarche est au mieux inutile), soit ce n'était pas le cas, auquel cas il est marrant de considérer qu'une entreprise dans l'illégalité (ayant obtenu votre adresse sans votre consentement), vous sollicite... pour avoir votre consentement !

Exact! De plus, le mass mailing utilisant ces adresses pour demander le consentement est considéré comme une opération marketing et donc interdit... sans le consentement des clients. On peut s'en sortir à partir du moment où on a (par exemple) un contrat de service et que, dans le cadre de ce contrat, on a besoin d'avoir des données personnelles pour communiquer avec les clients (par ex pour envoyer des factures, des enquêtes...) Mais bon, ce n'est qu'une toute petite partie de l'iceberg. La mise en place des DPO, la mise en conformité, la gestion des risques sont des problématiques plus complexes à mettre en oeuvre, surtout pour les PME/TPE.

[yponomeute]

Autre problème :

Pas mal d'entreprises se précipitent pour envoyer un mail invitant le "client" à son consentement explicite pour être maintenu dans leur base de données.

Or, soit elles disposaient de ces données préalable en toute légalite (auquel cas cette démarche est au mieux inutile), soit ce n'était pas le cas, auquel cas il est marrant de considérer qu'une entreprise dans l'illégalité (ayant obtenu votre adresse sans votre consentement), vous sollicite... pour avoir votre consentement !

On peut avoir récupéré les données en toute légalité d'une manière non conforme à la nouvelle réglementation. L'obtention d'un nouveau consentement est alors nécessaire. De même si l'on n'a pas la preuve de l'obtention du consentement (un simple champ dans opt-in dans une base de données ne constitue pas une preuve) il faut l'obtenir à nouveau.

Cette règlementation concerne le traitement des données personnelles quel que soit le support d'enregistrement des données. Cela inclut donc les données stockées sur un support papier. Conserver des cartes de visites constitue un traitement de données personnelles.
Tous les professionnels sont concernés, cela va du boulanger du quartier qui offre une carte de fidélité à la plus imposante des multinationales.
Les établissements scolaires et les enseignants sont concernés. Si vous êtes enseignant et que vous avez demandé à vos élèves de remplir une fiche de renseignement en début d'année, un conseil : brûlez les ! Vous n'avez surement pas la preuve matérielle que les parents ont consentis à ce que vous récoltiez ces informations.

Ce message a été modifié par yponomeute - 25 May 2018, 10:32.

[Sgt.Pepper]

On peut avoir récupéré les données en toute légalité d'une manière non conforme à la nouvelle réglementation. L'obtention d'un nouveau consentement est alors nécessaire. De même si l'on n'a pas la preuve de l'obtention du consentement (un simple champ dans opt-in dans une base de données ne constitue pas une preuve) il faut l'obtenir à nouveau.

Oui, bien sûr, lorsqu'on évoque le meilleur des cas.

Je t'assure que certaines entreprises avec lesquelles je bosse sont globalement en free style sur ces choses.

Un script lançant une action masquée (te glissant dans une liste de diffusion) sur un formulaire dont le seul objet est une demande de contact, voilà comment on peut se mettre dans l'illégalité sans que les décideurs/responsables de l'entreprise en aient été seulement informés. C'est pour ça que je dis, en substance, que les TPE et PME, plutôt que de se précipiter à faire n'importe quoi sous prétexte de conformité, feraient bien d'auditer sérieusement.

Ce message a été modifié par Sgt.Pepper - 25 May 2018, 10:36.

[yponomeute]

Je t'assure que certaines entreprises avec lesquelles je bosse sont globalement en free style sur ces choses.

Je n'en doute point

Mailjet a fait un excellent dossier, avec des explications très claires sur le sujet : https://fr.mailjet.com/rgpd/ (attention on y trouve aussi de la pub pour les solutions de mailjet)

[marc_os]

Et MacBidouille, n'êtes-vous pas vous même concernés ?

[Sgt.Pepper]

Et MacBidouille, n'êtes-vous pas vous même concernés ?

Évidemment.

MacG prend le sujet au sérieux, par exemple.

[yponomeute]

Et MacBidouille, n'êtes-vous pas vous même concernés ?

Évidemment.

Je dirais que non selon l'article 18.

Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

[johnstone]

Et MacBidouille, n'êtes-vous pas vous même concernés ?

Excellente question! A partir du moment où des données personnelles sont stockées (par ex: des adresses email) MacBidouille est concerné.

[Sgt.Pepper]

Je ne suis pas certain qu'une adresse email soit systématiquement considérée comme "une donnée personnelle", dans la mesure où la terminologie "données personnelles" est définie ainsi : " toute information concernant une personne physique identifiée et identifiable " (directive du 24 octobre 1995, article 2).

En effet, MB n'est pas nécessairement concerné, de ce point de vue. Mais bon... je ne suis pas expert.

[yponomeute]

Le texte parle de "données à caractère personnel" et non pas de "données personnelles", la nuance est importante comme dans tout texte de loi.

Et la CNIL explique ce qu'est une donnée à caractère personnel https://www.cnil.fr/fr/cnil-direct/question/492

[johnstone]

Je ne suis pas certain qu'une adresse email soit systématiquement considérée comme "une donnée personnelle", dans la mesure où la terminologie "données personnelles" est définie ainsi : " toute information concernant une personne physique identifiée et identifiable " (directive du 24 octobre 1995, article 2).

En effet, MB n'est pas nécessairement concerné, de ce point de vue. Mais bon... je ne suis pas expert.

Le texte original parle de "Personal Data"

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Les seules adresses emails rentrent dans cette catégorie et donc MacB est concerné.

[Sgt.Pepper]

Le texte parle de "données à caractère personnel" et non pas de "données personnelles", la nuance est importante comme dans tout texte de loi.

Et la CNIL explique ce qu'est une donnée à caractère personnel https://www.cnil.fr/fr/cnil-direct/question/492

Pourtant, dans ce lien il est fait état de ceci :
A noter : pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, visages floutés, etc.


Dans le "etc." on peut mettre une adresse email qui ne désigne pas nommément une personne et qui ne permet pas, donc, son identification, il me semble.

Dans ce cas, difficile de considérer que l'adresse [email protected] est une "donnée à caractère personnel", non ?

[yponomeute]

Le texte original parle de "Personal Data"

Etant donné qu'il s'agit d'un texte de l'UE, sa version française est officielle et fait foi. Nul besoin de se référer à la version anglaise. Le terme français est bien "donnée à caractère personnel".

Dans ce cas, difficile de considérer que l'adresse [email protected] est une "donnée à caractère personnel", non ?

Oui là on peut dire que c'est anonyme. Par contre l'adresse [email protected], on sait que c'est toi

[Sgt.Pepper]

Dans ce cas, difficile de considérer que l'adresse [email protected] est une "donnée à caractère personnel", non ?

Oui là on peut dire que c'est anonyme. Par contre l'adresse [email protected], on sait que c'est toi

Ah non ! Moi c'est : sgttresbeaugossegrossescouillesbiteenorme100%[email protected]

/... Comment ça "j'l'ai dit ?".

Bon. Trop tard.

En tout cas, sérieux, je suis dubitatif pour MB.

Qu'en dit le Patron ?

Ce message a été modifié par Sgt.Pepper - 25 May 2018, 11:25.

[marc_os]

Et MacBidouille, n'êtes-vous pas vous même concernés ?

Évidemment.

Je dirais que non selon l'article 18.

Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

Est-ce qu'un site géré par plusieurs personnes peut être considéré comme une « personne physique » ?
S'il y a une association derrière MacBidouille, alors il s'agit d'une personne morale et l'article 18 ne s'applique pas.
Du coup j'ai cherché un ours et n'en ai pas trouvé.
Où est-il donc ? Quel est le statut légal de MacBidouille ?


NB : je ne fais que poser des questions.

[johnstone]

Le texte original parle de "Personal Data"

Etant donné qu'il s'agit d'un texte de l'UE, sa version française est officielle et fait foi. Nul besoin de se référer à la version anglaise. Le terme français est bien "donnée à caractère personnel".

Dans ce cas, difficile de considérer que l'adresse [email protected] est une "donnée à caractère personnel", non ?

Oui là on peut dire que c'est anonyme. Par contre l'adresse [email protected], on sait que c'est toi

Oui, on peut continuer à martyriser les mouches encore et encore... Le terme "Données personnelles" est la plupart du temps utilisé à la place de "Données à caractère personnel" dans de nombreux documents (Wikipédia par exemple)

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

Avec un identifiant/email et les logs de connexion du serveur (adresse IP...) on peut remonter à l'identité personnelle (Indirect personal Data). Peut-être pas dans tous les cas (cas de sgt Pepper) mais ce n'est pas une raison pour s'affranchir des obligations du GDPR.

[Sgt.Pepper]

Avec un identifiant/email et les logs de connexion du serveur (adresse IP...) on peut remonter à l'identité personnelle (Indirect personal Data). Peut-être pas dans tous les cas (cas de sgt Pepper) mais ce n'est pas une raison pour s'affranchir des obligations du GDPR.

Euh... avec une IP, tu remontes à une géolocalisation, pas une identité (sauf par les autorités judiciaires, évidemment).

Pour le reste, c'est plutôt à Lionel de parler.

[iAPX]

Je ne suis pas certain qu'une adresse email soit systématiquement considérée comme "une donnée personnelle", dans la mesure où la terminologie "données personnelles" est définie ainsi : " toute information concernant une personne physique identifiée et identifiable " (directive du 24 octobre 1995, article 2).
...

Le texte du RGPD (GDPR) a modifié cela, une adresse IP, une adresse email sont des données personnelles permettant d'identifier des personnes, ce qui d'ailleurs était déjà utilisé par la Justice pour les adresses IP comme pour la joyeuse Hadopi par exemple.
L'adresse IP est utilisée depuis une décennie pour croiser des données normalement non-croisable, je citerais l'analyse d'image des smartTV Vizeo qui indiquent en temps-réel ce que les gens regardent et qui est après croisé avec les autres informations venu de la navigation sur le web depuis cette même adresse IP. Un pur bonheur!

Pour le reste bravo @Sgt.Pepper pour tes posts très clairs et tes commentaires sur le sujet, car il est vaste, je suis -aussi- en plein dedans, et comme tout a été fait à la va-vite (chez nous), il y a encore des points d'achoppement de notre coté (mais qui se règlent), et aussi à mon sens un manque d'information de nos clients et usagers.
Notamment sur les outils d'analyse et tout ce qu'ils stockent (une tuerie, on en a pour 600Go de DB, soit aux alentours de 200Ko par utilisateur).

J'attend de voir la suite, et je suis assez enthousiaste car ça va peut-être mettre un gros frein à l'abus généralisé actuel.

Ce message a été modifié par iAPX - 25 May 2018, 12:21.

[Webtourist]

Avec un identifiant/email et les logs de connexion du serveur (adresse IP...) on peut remonter à l'identité personnelle (Indirect personal Data). Peut-être pas dans tous les cas (cas de sgt Pepper) mais ce n'est pas une raison pour s'affranchir des obligations du GDPR.

Euh... avec une IP, tu remontes à une géolocalisation, pas une identité (sauf par les autorités judiciaires, évidemment).

Et encore, pour ceux qui passent par un VPN, la traçabilité de l'IP s'arrête aux serveurs du fournisseur VPN.

[iAPX]

Avec un identifiant/email et les logs de connexion du serveur (adresse IP...) on peut remonter à l'identité personnelle (Indirect personal Data). Peut-être pas dans tous les cas (cas de sgt Pepper) mais ce n'est pas une raison pour s'affranchir des obligations du GDPR.

Euh... avec une IP, tu remontes à une géolocalisation, pas une identité (sauf par les autorités judiciaires, évidemment).

Et encore, pour ceux qui passent par un VPN, la traçabilité de l'IP s'arrête aux serveurs du fournisseur VPN.

L'adresse IP est une adresse personnelle au sens du GDPR, permettant d'identifier les personnes: "IP addresses should be considered personal data as it enters the scope of ‘online identifiers’. ".

Le débat est clos et c'est logique, car même en utilisant un VPN, si tu vas sur un site où tu es identifié, et un autre où tu ne l'es pas, par croisement de données via l'adresse IP on va t'identifier, sans même parler des leak d'info réguliers dans le cas d'usage de VPN.
Tout cela n'est amené que par des personnes ne connaissant pas les mécanismes de croisement de données utilisés par les grands comme Google, qui utilisent tout, y compris la résolution de l'écran, de la fenêtre (si on ouvre plusieurs onglets en même temps comme moi ils ont tous la même taille donc même au sein d'une entreprise de 40 personnes on peut rapprocher!), le navigateur et sa version, l'OS et sa version, etc.

Ce message a été modifié par iAPX - 25 May 2018, 12:37.

[johnstone]

Avec un identifiant/email et les logs de connexion du serveur (adresse IP...) on peut remonter à l'identité personnelle (Indirect personal Data). Peut-être pas dans tous les cas (cas de sgt Pepper) mais ce n'est pas une raison pour s'affranchir des obligations du GDPR.

Euh... avec une IP, tu remontes à une géolocalisation, pas une identité (sauf par les autorités judiciaires, évidemment).

Pour le reste, c'est plutôt à Lionel de parler.

Je pense qu'il attendait que MacG prenne les devants

[yponomeute]

Le texte original parle de "Personal Data"

Etant donné qu'il s'agit d'un texte de l'UE, sa version française est officielle et fait foi. Nul besoin de se référer à la version anglaise. Le terme français est bien "donnée à caractère personnel".

Dans ce cas, difficile de considérer que l'adresse [email protected] est une "donnée à caractère personnel", non ?

Oui là on peut dire que c'est anonyme. Par contre l'adresse [email protected], on sait que c'est toi

Oui, on peut continuer à martyriser les mouches encore et encore... Le terme "Données personnelles" est la plupart du temps utilisé à la place de "Données à caractère personnel" dans de nombreux documents (Wikipédia par exemple)

Il ne s'agit pas de sodomiser les diptères. On parle de textes de lois et chaque mot a son importance (et ce qui est publié sur wikipédia n'a pas aucune valeur juridique).

Est-ce qu'un site géré par plusieurs personnes peut être considéré comme une « personne physique » ?
S'il y a une association derrière MacBidouille, alors il s'agit d'une personne morale et l'article 18 ne s'applique pas.
Du coup j'ai cherché un ours et n'en ai pas trouvé.
Où est-il donc ? Quel est le statut légal de MacBidouille ?


NB : je ne fais que poser des questions.

Pour tous les sites de type "communautaire", cet article prête à interprétation. Je n'ai pas encore trouvé de réponse claire sur ce sujet, l'essentiel des informations qu'on trouve actuellement se limite aux "entreprises du web".

Ce message a été modifié par yponomeute - 25 May 2018, 12:56.

[marc_os]

Est-ce qu'un site géré par plusieurs personnes peut être considéré comme une « personne physique » ?
S'il y a une association derrière MacBidouille, alors il s'agit d'une personne morale et l'article 18 ne s'applique pas.
Du coup j'ai cherché un ours et n'en ai pas trouvé.
Où est-il donc ? Quel est le statut légal de MacBidouille ?


NB : je ne fais que poser des questions.

Pour tous les sites de type "communautaire", cet article prête à interprétation. Je n'ai pas encore trouvé de réponse claire sur ce sujet, l'essentiel des informations qu'on trouve actuellement se limite aux "entreprises du web".

Je ne vois qu'une seule interprétation au terme personne physique, sa définition officielle :

Au sens du droit français, une personne physique est un être humain doté, en tant que tel, de la personnalité juridique.

A opposer à la personne morale.
Une « organisation » MacBidouille ne peut donc être une personne physique. Si elle a une existence légale, alors il s'agit d'une personne morale et le texte de la RGPD s'y applique. Mais si MacBidouille n'a aucune existence légale formelle, alors peut-être le site est-il considéré comme celui d'un particulier ?

Ce serait bien quand même qu'un responsable du site réponde.
D'autant plus que ça ne concerne pas que MacBidouille, la question est aussi d'ordre général car il y a quand même un certain nombre de sites pour lesquels on peut se poser la question. Non ?

Ce message a été modifié par marc_os - 25 May 2018, 13:19.

[Sgt.Pepper]

Le débat est clos et c'est logique [...]

Ben non. Cela réclame une précision que je n'ai pas.

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Cette définition décrit les informations en qualité de moyens (d'identification) mais pas en leur qualité de résultat.

Ainsi, je suis d'accord pour dire qu'une IP est un moyen d'identification. Mais si tu ne disposes pas de la compétence (juridique) pour l'utiliser à cette fin, peut-on dire que cette info a la même portée et que, du même coup, il s'agit d'une donnée personnelle ?

Ce que ne semble pas dire la loi, c'est si elle considère le potentiel intrinsèque du moyen d'identification ou sa réalité effective.

Quoi qu'il en soit, sur ce point, le débat n'est pas clos pour moi. Car cette précision est la définition-même du "plaidable" (ou pas) en cas de litige.

La réponse tient peut-être à la précision > donnée à caractère personnel. Ce qui tendrait à vouloir ne considérer que son potentiel, pas sa réalité objective (d'exploitation).
J'aimerais bien avoir une réponse définitive.

Ce message a été modifié par Sgt.Pepper - 25 May 2018, 13:32.