Protection de vos données

Bases légales en France.

Depuis un an, vous avez dû entendre parler du Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai 2018, sans forcément comprendre ce que ça voulait dire. Vous avez vu tous les sites vous demander (sans vous forcer, ça jamais…) de bien vouloir accepter les cookies qu’ils utilisent.

On ne pouvait pas ne pas se fendre dans ce blog d’une explication un peu plus détaillée que la moyenne.

Il est fondamental de comprendre le RGPD, car la protection des données à caractère personnel fait partie de la protection de l’individu.

Il s’agit bien du nouveau texte de référence dans l’Union européenne concernant les données personnelles, en raison de l’explosion du numérique, de l’apparition de nouveaux usages, et la mise en place de nouveaux modèles économiques. Il implique une harmonisation des législations dans l’espace communautaire afin qu’un seul et même cadre s’applique parmi les Etats membres.

Ce règlement repose sur 3 axes majeurs :  le renforcement quantitatif et qualitatif des droits des personnes, une nouvelle logique de responsabilisation de l’ensemble des acteurs des traitements de données, et le renforcement des pouvoirs de sanction des CNIL européennes.

Concentrons nous sur le cadre français et européen.

En effet, la France y a joué un rôle moteur et a inspiré le RGPD suite à certains événements survenus dans les années 1970.

En 1973, le gouvernement français a mis en oeuvre le projet SAFARI, il permettait de recenser dans une base décentralisée l’ensemble des informations détenues sur chacun des citoyens par les pouvoirs publics. Dévoilé en 1974 par le journal Le Monde, il a suscité l’indignation générale.

En 1978, suite aux événements précédents, la loi dite “Informatique et libertés” est née et a créé une autorité de contrôle indépendante : la CNIL.

Aujourd’hui, le droit français de la protection des données personnelles est composé de la loi de 1978 et du RGPD du 27 avril 2016 entré en application le 25 mai 2018.

A partir de mai 2018, on comptait en moyenne près de 12 000 plaintes par mois en Europe au titre du RGPD.
La CNIL française a prononcé sa première sanction à ce titre le 21 janvier 2019, en infligeant à Google une amende de 50 millions d’euros “pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité”.

Nous pouvons constater que la quantité de données générées n’a cessé d’augmenter depuis les années 1970. En peu de temps, la société a basculé dans l’ère numérique, les données personnelles sont devenues le carburant du marketing et n’ont plus de frontières. Les géants du Net exploitent des milliards d’informations sur les individus. Il y a une multiplication exponentielle des traces informatiques (développement des objets connectés, techniques de profilage, outils de contrôle et algorithmes…).

Les données personnelles sont à la base du développement de l’économie numérique. Les entreprises tendent à en collecter et à en produire toujours plus (pour affiner leur connaissance de leurs clients et prospects, améliorer et personnaliser leurs produits et services et leurs actions de ciblage publicitaire,…).

Passons maintenant aux informations sur le contenu du RGPD :

  • Champ d’application matériel :

Les données personnelles peuvent être contenues sur divers supports, que ce soit une note sur un post-it ou une vidéo. Il va s’agir de donnée quelconque pouvant être rapportée à une personne physique directement (nom, photo, devis,…) ou indirectement (lorsqu’elles sont associées à une autre base de données → pseudo, numéro de sécurité sociale,…).
Certaines informations ne permettent pas à elles seules d’identifier directement ou indirectement une personne, mais la combinaison de plusieurs de ces informations peut permettre une réidentification, en prenant par exemple en compte le lieu de résidence, le sexe, le lieu de naissance, la date de naissance, le nom de l’employeur, le fait que la personne soit fan de séries tv et pratique le tennis…

  • Champ d’application territorial :

Le RGPD s’applique pour le responsable du traitement ayant son établissement sur le territoire de l’Union, que le traitement ait lieu ou non ici, et au responsable du traitement qui n’est pas établi sur le territoire de l’Union mais qui offre des biens ou services à des personnes s’y trouvant.
Cela place sur un pied d’égalité les acteurs européens et internationaux qui sont en situation de concurrence.

  • Principes de la protection des données :

Le traitement doit être licite, loyal et transparent. Une des principales nécessités est le consentement de la personne concernée. Le RGPD le définit comme une “manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne accepte par une déclaration ou par un acte positif clair”.

Les finalités du traitement doivent être déterminées précisément, être explicites et être légitimes.

Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, ce sont les informations dont on a seulement strictement besoin. Cela concerne également l’exactitude et l’actualité des données  : il existe un principe d’intégrité et de confidentialité des données.

Les données ne doivent être conservées que tant qu’elles sont utiles à la finalité du traitement, et doivent être conservées en toute sécurité.

Les données à risque bénéficient d’une protection particulière (données telles que l’orientation sexuelle, données génétiques, opinions politiques, numéro de sécurité sociale, données personnelles relatives aux condamnations pénales, infractions et mesures de sûreté,…).

Des informations doivent être fournies aux personnes concernées, telles que l’identité et les coordonnées du responsable du traitement, la finalité du traitement, etc.

Le RGPD affirme aussi différents droits pour les personnes concernées : le droit d’accès et de vérification, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité des données (faire transférer vos données d’un responsable de traitement à un autre), le droit d’opposition et le droit de demander une intervention humaine.

  • Au niveau de la responsabilité :

Lorsqu’il y a plusieurs responsables du traitement (organisme pour lequel le traitement est mis en oeuvre), la responsabilité est conjointe/solidaire.

Lorsque des infractions graves liées à la mauvaise application ou au non-respect du RGPD sont constatées, des amendes plus importantes que celles abordées plus haut sont possibles : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Le responsable du traitement doit notifier à l’autorité de contrôle (la CNIL en France) une violation de données à caractère personnel dont il a été victime, dans les meilleurs délais et si possible 72h au plus tard après en avoir pris connaissance.

Les multinationales ne sont pas nécessairement les plus exposées, même si ce sont elles qui risquent les amendes les plus élevées. En effet, elles ont bon nombre de juristes et d’experts qui ont travaillé sur le sujet avant l’entrée en vigueur du RGPD. Le risque est donc plus grand pour les plus petites entités.

Un délégué à la protection des données est obligatoire dans certains cas. Il informe et conseille l’organisme, il contrôle la conformité et il joue un rôle d’interface entre l’organisme, la CNIL et les personnes concernées.

  • De nouveaux principes sont issus du RGPD.

Le principe de déclaration a disparu au profit du principe d’accountability (responsabilisation). Le responsable du traitement doit mettre en oeuvre des mécanismes de contrôle du respect de principes internes, de fonctionnement de l’entreprise.
Des amendes administratives sont encourues en cas de mauvais traitement, ainsi qu’une sanction psychologique (l’atteinte à l’image de marque).

La protection des données doit être prise en compte dès la conception d’un produit ou d’un service, c’est la privacy by design.
Quant à la privacy by default, il s’agit de limiter au minimum la quantité de données collectées, la diversité des finalités, la durée de conservation et le nombre de personnes habilitées à accéder aux données personnelles.

Un haut niveau de protection de l’individu et de ses données est donc prôné en Europe, alors que les européens accordent de moins en moins leur confiance aux entreprises. En théorie, cette protection est importante, mais en pratique elle n’est pas toujours facilement et correctement appliquée.

Avec Adequa, vous n’avez pas à fournir de données personnelles à travers les cookies, vos données sont anonymisées et vous ne pouvez pas être réidentifié. Nous ne récoltons pas vos données personnelles.

POUR UN INTERNET PLUS TRANSPARENT, PLUS JUSTE ET PLUS PROPRE, REJOIGNEZ LA RÉVOLUTION ADEQUA.

Photo by Thought Catalog on Unsplash

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.