| Publié dans Actualités et normes du monde financier

RGPD : mais que deviennent mes données personnelles ?

Vous avez une préférence pour les achats en ligne mais en avez assez de recevoir des emailings commerciaux plus d’une fois par mois ? Vous devez de plus en plus renseigner des données personnelles lors d’une commande et vous ignorez totalement ce que deviennent les éléments fournis ? Vous ne souhaitez pas que vos données soient exploitées à des fins commerciales, surtout si elles sont transmises aux divers partenaires de la plateforme d’où votre commande est effectuée ? Des nouvelles obligations relatives au RGPD entreront bientôt en vigueur. Restez connectés !

 

RGPD : que deviennent vos données personnelles ?

RGPD : définition et rôle

RGPD est le sigle du Règlement Général pour la Protection des Données. Comme son nom l’indique, cette directive européenne se focalise sur les données personnelles véhiculées par les consommateurs. Sa dernière directive, publiée en 2016, rentrera en vigueur, dans les États Membres de l’Union Européenne, le 25 mai 2018 prochain.

Quels sont les thèmes principaux de cette dernière directive européenne ?

  • La portabilité des données personnelles du consommateur / client
  • La responsabilisation des dépositaires de ces données personnelles
  • Le renforcement dans la sécurité et le contrôle des données personnelles

 

Du côté des entreprises et e-commerçants, les pratiques commerciales et marketing jusque-là déployées, sont au cœur de ces bouleversements. En effet, de nouvelles obligations vont contraindre les procédés actuels.

Du côté des consommateurs / clients, c’est :

  • plus de transparence dans le traitement et exploitation des données: stockage, usage, etc ;
  • plus de choix accordé au consommateur / client dans l’exploitation de ses données personnelles.

 

Qu’est-ce qu’une donnée personnelle ?

 

RGPD : définition d'une donnée personnelle

 

Une donnée personnelle – ou donnée à caractère personnel – est une information qui permet d’identifier un individu directement ou indirectement. Voici, ci-après, quelques exemples :

  • Nom et prénom
  • Date de naissance
  • Adresses (postale, email, IP)
  • Numéro de téléphone
  • Numéro de Sécurité Sociale
  • Numéro d’immatriculation
  • Photographie
  • Empreintes digitales
  • Voix
  • Identifiant de connexion informatique, etc.

RGPD : ce à quoi les entreprises doivent se plier

Dans le but de renforcer les grandes lignes de la Loi Informatique et Liberté du 6 janvier 1978, le RGPD – 40 ans après – met en exergue un nouveau mode de régulations des données personnelles récoltées.

  • De nouveaux outils (analyses d’impact, registre, référentiels, «pack TPE-PME », ateliers de sensibilisation, etc.) et de nouvelles ressources (délégués à la protection des données) permettront aux Responsables de Traitements une meilleure gestion des données collectées.
  • De nombreuses formalités de la loi 1978 devront laisser place à celles de 2018.
  • Les pouvoirs de contrôle de la CNIL ou Commission Nationale de l’Informatique et des Libertés restent, quant à eux, inchangés.

 

A ce propos, la CNIL devra faire la différence entre :

–  les principes fondamentaux qui, non respectés, seront d’office sanctionnés.

– les nouvelles obligations résultant du RGPD. Les entreprises qui coopéreront seront, dans un premier temps, accompagnées à comprendre et à appliquer les textes de loi. Les premières sanctions, se verront, dans les faits, après cette phase d’appropriation.

L’accompagnement de la CNIL

Afin de protéger les données personnelles et d’accompagner l’innovation tout en préservant les libertés individuelles, la CNIL a publié un guide [https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles] mettant en avant la mise en œuvre systématique de précautions élémentaires. Quelles sont-elles ?

  1. Sensibiliser les utilisateurs
  2. Authentifier les utilisateurs
  3. Gérer les habilitations
  4. Tracer les accès et gérer les incidents
  5. Sécuriser les postes de travail
  6. Sécuriser l’informatique mobile
  7. Protéger le réseau informatique interne
  8. Sécuriser les serveurs
  9. Sécuriser les sites web
  10. Sauvegarder et prévoir la continuité d’activité
  11. Archiver de manière sécurisée
  12. Encadrer la maintenance et la destruction des données
  13. Gérer la sous-traitance
  14. Sécuriser les échanges avec d’autres organismes
  15. Protéger les locaux
  16. Encadrer les développements informatiques
  17. Chiffrer, garantir l’intégrité ou signer

 

RGPD : ce que peuvent réclamer les consommateurs

Comme dit précédemment, l’avis des clients sur l’usage de leurs données personnelles est au cœur des nouvelles dispositions du RGPD.

  • Consentement expressément défini du consommateur. Les entreprises se doivent d’informer les utilisateurs de l’usage des données transmises. L’utilisateur, peut, s’il le désire, accepter, refuser partiellement ou totalement l’utilisation des données renseignées. Ce consentement doit être dépourvu de toute ambiguïté: clarté et précision sont de rigueur.

Un exemple concret. Un internaute, afin de finaliser sa commande en ligne, a dû créer un compte en renseignant son nom, prénom, adresse postale – pour la livraison – et email – pour la confirmation de commande. S’il souhaite que les informations renseignées ne soient utilisées que pour son achat, il peut refuser les autres usages dont il a été informé par le site marchand.

 

  • Droit à la portabilité des données. Ce droit permet à un individu la récupération de ses données pouvant être réutilisées et transférées à une tierce personne.

Un exemple concret. Un client abonné à X souhaite changer d’opérateur mobile tout en conservant son numéro de téléphone. Ce transfert est possible.

NB : pour ce cas de figure,  il y a déjà plusieurs années que c’est effectif. Il existe sûrement d’autres types de données qui ne l’étaient pas avant mais qui le seront dorénavant.

 

  • Droit des enfants. La mention relative aux traitements des données doit être très claire et très simple pour les enfants de moins de 16 ans – voire, dans certains cas et pour certains pays, de moins de 13 ans. Une fois la majorité passée, il est possible à cette même personne d’exiger le retrait et l’effacement des données préalablement consenties à l’exploitation.

 

  • Actions collectives. A l’instar des associations protégeant les consommateurs, il sera possible, de recourir à des actions collectives dans le cadre de litiges entravant la protection des droits et libertés des personnes en matière de protection des données personnelles.

 

  • Droit à réparation des dommages matériel ou moral. Des dommages et intérêts seront versés à toute personne lésée – moralement ou matériellement – en cas de violation du RGPD dès sa mise en vigueur. Ce droit de réparation sera dédommagé par l’auteur du préjudice subi : le Responsable du Traitement ou le sous-traitant.

 

Le droit à l’oubli

 

RGPD : droit à l'oubli

 

Existant depuis l’arrêt du 13 mai 2014, la Cour de Justice de l’Union Européenne permet aux particuliers le droit à l’oubli. Demande exclusive sur Internet, les internautes ressortissants de l’Union Européenne ont la possibilité de demander la suppression des résultats de recherche Google de liens vers des pages mentionnant des informations personnelles les concernant.

Attention :

  • Toutes les demandes ne sont pas favorables.
  • Tout dépendra du type de contenu et de l’ancienneté du contenu : examen au cas par cas.
  • Depuis juillet 2015, la suppression des données ou « déférencement » n’est possible que sur la version européenne de ces pages (.fr, .es, .pt, etc.).

 

Parce-que Google a des devoirs de transparence sur certains chiffres, voici ce qui en ressort, depuis juillet 2014 :

  • 645 808 demandes de suppression d’informations, dont plus de 140 000 en France.
  • 2 436 778 URL recensées, dont 500 000 en France.
  • 900 000 URL effacées, dont 200 000 en France.

 

Voilà, maintenant, vous êtes avisés. Bien que ces mesures semblent être à votre avantage, nous vous conseillons tout de même de :

  • faire attention à qui vous transférez vos données personnelles ;
  • limiter la diffusion de vos informations à caractère personnel ;
  • rester informés sur ce genre de problématiques qui vous concernent directement. Il se peut que des évolutions textuelles apparaissent progressivement.

 

 

Source principale : site de la CNIL

Sources sur le droit à l’oubli : droit-finances.commentcamarche.com et Nextinpact.com

 

Étiquettes : , , , , , , , ,