RGPD, La transition numérique s’est accélérée

Et ce n’est pas sans risque pour
vos données personnelles !

 

Que vous soyez des inconditionnels du « tout numérique » ou beaucoup plus réticents à multiplier vos échanges en mode « digital », nous assistons depuis plusieurs années à une véritable révolution. Elle avait déjà beaucoup transformé les relations avec les autres citoyens, avec les professionnels ou les administrations.

Mais avec la crise sanitaire, le changement s’est accéléré de façon exponentielle. Et peu importe que les consommateurs, les citoyens, soient prêts ou qu’ils ne le soient pas. Internet a pris une place incontournable dans tous les foyers, entraînant dans son sillage les dangers particuliers que ce mode d’échanges induit. Il est plus qu’urgent de veiller à vos données personnelles et de protéger votre vie privée.

Pour cette protection, vous disposez déjà de textes qui encadrent la collecte et le traitement de vos données personnelles, des textes nationaux, des textes européens… Ainsi vous avez des droits ! Vous devez les connaître et vous les approprier pour les défendre mais sans baisser la garde. Car il ne faudra pas accorder trop facilement votre « consentement » en cas de collecte quand il vous sera si souvent, demandé. Voyons de plus près quels textes encadrent le sujet ? quelles sont les données dont nous parlons ? quels sont vos droits ? Et quels sont les recours possibles en cas d’alerte.

Une réglementation, des textes.

En France, le souci de la « protection des données » n’est pas récent, notre pays a même été un précurseur dans ce domaine. Dès la fin des années 1970, face à tous ces fichiers qui permettaient désormais de brasser et de croiser un nombre incalculable de données, les citoyens français s’étaient alarmés. Une saine résistance qui avait abouti à une réflexion de fond et permis l’adoption de :

La loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés ». Elle créera notamment la Commission Nationale Informatique et Liberté (CNIL), autorité de contrôle indépendante. La loi évoluera au fil du temps, avec la loi pour une économie numérique de 2014, et plus récemment avec la loi du 20 juin 2018 venue l’adapter aux dispositions.

• Du Règlement Général sur la protection des données (RGPD) applicable partout en Europe depuis le 25 mai 2018. Ce texte, le RGPD, vous en avez forcément entendu parler. C’est le nouveau cadre juridique qui renforce les droits de chaque citoyen européen sur la protection de ses données personnelles et responsabilise les acteurs qui les traitent. Le RGPD s’applique aux traitements des données quand le responsable ou le sous-traitant est établi sur le territoire de l’Union Européenne (organismes privés ou publics, associations…) ou aux organismes qui « ciblent » des personnes qui se trouvent sur le territoire de l’UE.

De nouvelles sanctions, plus dissuasives sont prévues pour ces organismes. Deux plafonds sont prévus selon les manquements, cela peut aller jusqu’à 10 millions ou 2 % du chiffre d’affaires mondial (le plus élevé des deux !) ou 20 millions ou 4 % du chiffre d’affaires mondial.

Que sont précisément vos données personnelles ?

Selon le RGPD, ce sont toutes les informations qui se rapportent à « une personne physique identifiée ou identifiable, directement ou indirectement ». Autant dire que le champ d’application est vaste. Le nom, le prénom, l’adresse, le téléphone, l’adresse IP, la profession, l’image (photo, vidéo), l’enregistrement d’une voix, mais aussi la géolocalisation, vos paiements en ligne, vos consommations d’énergie… Et bien d’autres.

Certaines données sont dites « sensibles » et leur collecte est en principe interdite. La collecte sera possible exceptionnellement. Pour les collecter il est obligatoire que vous donniez votre consentement. Il s’agit de vos opinions politiques, de votre appartenance syndicale, de votre origine ethnique, de votre santé.

De nombreux outils sont facteurs de collecte : votre ordinateur, votre téléphone, vos compteurs ou les objets connectés que vous possédez  (ex : une montre qui relève votre activité sportive…). Vous êtes inscrits sur des réseaux sociaux ? Vous fournissez des données. Même quand vous remplissez un bulletin « papier » pour participer à un jeu, dans un magasin, vous confiez des données.

Et vous êtes « suivis ». Vous connaissez « les cookies » ? Ce sont ces petits fichiers que dépose un site visité sur votre ordinateur. Cela permet de suivre votre navigation et de l’analyser pour connaître  vos habitudes de consultation ou de consommation. Certains sont nécessaires (ceux qui mémorisent votre « panier » par exemple) et d’autres ne le sont pas, (ceux qui ont vocation à vous adresser des publicités ciblées, par exemple). Le site doit vous informer, de façon claire et synthétique, de ce à quoi ils vont servir : publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux. Alors n’acceptez pas tout.

Quelle protection renforcée des données depuis le RGPD ?

Le RGPD exige que vous soyez informés loyalement de la collecte et du traitement de vos données. La collecte doit être transparente et elle doit être licite. Accorder votre consentement rend la collecte licite. Le message qui vous informera de la collecte et du traitement de vos données doit être clair, concis, lisible. Donc le professionnel ne doit pas vous « noyer » dans les précisions, il s’agira d’une formule qui vous renverra à un autre support, plus exhaustif et facile d’accès. À vous de faire l’effort de le consulter.

Mais vous devez bien disposer dès le début, des éléments essentiels d’information que sont le fondement juridique de la collecte, la finalité (pour quoi faire ?), les catégories de données concernées, le nom et les coordonnées du responsable de traitement (afin notamment de pouvoir exercer vos droits), les destinataires potentiels de ces données, la durée de conservation et les différents droits associés.

Le RGPD exige que le professionnel ne collecte que le minimum de données, simplement celles qui lui sont nécessaires, qu’il les actualise (car elles doivent être justes) et qu’il les supprime quand le temps est venu ou que la personne concernée le demande et qu’aucun motif légitime ne s’y oppose. C’est votre droit à l’oubli. Et enfin, la protection passe par la sécurité, qu’il doit garantir. Pour certaines collectes, votre consentement sera requis. Il doit être explicite et libre. Le professionnel ne devra pas pré-remplir la case « accepter » en vous laissant l’opportunité de décocher pour refuser. Car la méthode revient à décourager l’internaute qui va être tenté d’« accepter » pour «aller plus vite». Et votre consentement ne doit pas être global. Pour chaque finalité différente, une case doit être prévue. Mieux vaut ouvrir l‘œil car il y a encore beaucoup à dire, malheureusement. Vous avez le droit de demander un droit d’accès, de rectification ou de suppression et tout professionnel doit répondre « sans tarder » et au plus tard, dans un délai d’un mois à compter de la réception de votre demande. Si une réponse ne peut être apportée, le professionnel doit obligatoirement indiquer les motifs du refus.

Le RGPD a créé un droit nouveau (art 20-1) Vous pouvez récupérer vos données personnelles, dans un « format structuré, couramment utilisé et lisible par machine », pour un usage personnel ou pour les transférer à un autre organisme. C’est le droit à la portabilité. Par exemple, si vous changez de messagerie électronique, vous pourrez récupérer tous vos messages, tout votre carnet d’adresses etc.
Autre droit important à l’ère du « tout numérique » : vous pouvez désormais demander que les décisions fondées sur un traitement automatisé de vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs. Ça peut être le cas, d’une demande de prêt qui vous aurait été refusée. Vous avez le droit d’exprimer votre avis et de contester.

La CNIL, autorité administrative indépendante.

La CNIL a plusieurs missions (chaque état européen a un équivalent). Tout d’abord une mission d’information, aussi vous trouverez sur son site de nombreuses ressources : fiches explicatives, modèle de lettres pour exercer les recours préalables auprès des organismes qui détiennent les données, jusqu’au dépôt de plainte auprès de la CNIL qui est possible en ligne. N’hésitez pas à vous rendre sur son site pour de plus amples informations : https://www.cnil.fr.
La CNIL émet des recommandations. Ce fut le cas, par exemple, le 17 septembre 2020 avec la recommandation
n° 2020-092 relative aux « cookies et autres traceurs » qui précise ainsi qu’« au sein de la présente recommandation, l’absence de consentement des utilisateurs est désignée par le terme « refus ». Toute inaction ou action des utilisateurs autres qu’un acte positif signifiant son consentement doit être interprété comme un refus de consentir … »
La CNIL peut faire des contrôles (à distance, sur place), elle peut exiger la suppression de données, exiger que le respect de vos droits à l’accès, la rectification, l’effacement soient respectés. Elle dispose depuis le RGPD de moyens d’agir renforcés. Elle peut adresser des mises en demeure, faire des rappels à l’ordre avec de possibles astreintes. Elle peut également prononcer d’importantes sanctions pécuniaires.
En cas de dommage lié à la violation du RGPD, vous disposez donc d’un droit de recours si vos premières démarches, auprès de l’organisme est sans effet. Vous pouvez déposer une réclamation auprès de la CNIL. Le site permet de déposer une plainte en ligne. Comme vous pourrez introduire une action collective en faisant notamment appel à une association nationale agréée de consommateurs, comme l’INDECOSA CGT, en cas de dommage persistant.

Les conseils d’INDECOSA-CGT pour protéger vos données.

Votre vigilance reste primordiale, car rien n’est possible sans vous. Aussi, soyez un véritable acteur de la préservation de vos données et de votre vie privée. Des précautions s’imposent sans lesquelles tous les textes du monde échoueraient à vous protéger efficacement. Distribuez vos données avec parcimonie. Vérifiez toujours le sérieux du site, sa politique de confidentialité.

Quand vous surfez sur un site qui n’affiche même pas ses conditions générales d’utilisation (CGU), un numéro pour les joindre, une adresse (quel pays), fuyez tout de suite ! Ne vous laissez pas promener par le biais de liens qui vous seraient envoyés, faites votre chemin vous-même. Ne répondez jamais favorablement à un interlocuteur qui vous demande des codes confidentiels, un code tombé sur votre smartphone. Méfiez-vous des messages alléchants qui souvent cachent des arnaques.

Choisissez de bons outils informatiques sécurisés, de bons navigateurs qui sont conçus pour protéger la vie privée et les données, en restant vigilants sur les traceurs ou les cookies. Vous penserez à paramétrer vos outils. Vous procéderez aux mises à jour qui vous sont suggérées, car elles servent à corriger les failles de sécurité. Les mots de passe que vous choisirez seront les plus protecteurs. ¨Pour les rendre robustes, vous suivrez les conseils de la CNIL : « Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux ».

Ne gardez pas vos mots de passe dans votre ordinateur et refusez toujours la solution de les « enregistrer » pour faciliter vos connexions futures. Ça peut paraître fastidieux mais c’est la clé de la sécurité. Et pour chaque site un peu sensible (votre banque, les réseaux sociaux.), choisissez des mots de passe différents les uns des autres. Et attention, si vous êtes fans de réseaux sociaux (Facebook, LinkedIn, twitter, WhatsApp, Tik Tok…), …à ne pas trop en dire. À ne pas trop partager.
À savoir : Des dispositions particulières du RGPD (art 8) s’appliquent aux offres « directe(s) de service de la société d’information » destinés à nos enfants. Il est question de « service presté normalement contre rémunération à distance, voie électronique… ». Le traitement n’est alors licite, en France, que si l’enfant est âgé de plus de 15 ans. À défaut, il faut le consentement de la personne qui détient l’autorité parentale.

 

Consom’Info N°67|15 mars 2021 | Fiche d’information| RGPD | La transition numérique – Données personnelles