Protégez vos données personnelles sur Internet !
Achats en ligne, souscription à une carte de fidélité, réponse à une offre commerciale ou à un sondage... Que ce soit en France ou dans un autre pays de l'Union européenne, vous êtes quotidiennement amené à communiquer vos données personnelles. Mais êtes-vous sûr que vos données sont toujours protégées ? Savez-vous qui est responsable de la confidentialité de vos données ? Comment mieux les protéger ? Toutes les infos sur le RGPD et la protection de vos données personnelles en Europe dans notre FAQ.
Questions-réponses
Une donnée personnelle, c'est toute information sur une personne physique identifiée ou identifiable.
Exemples : un nom, une adresse, un e-mail, une photo, un enregistrement vocal, une ADN, un mot de passe, une adresse IP...
Comme vos données sont personnelles, elles vous concernent et vous devez en avoir la maitrise. Depuis le 25 mai 2018 et le règlement (UE) 2016/679, dit Règlement Général sur la Protection des Données (RGPD), vos données personnelles sont protégées en Europe. Ainsi, vous devez accepter la collecte, transfert, sauvegarde, utilisation de vos données par un professionnel.
Oui. Vous avez le droit de savoir si vos données sont collectées, transférées, sauvegardées, modifiées...
Vous devez également être informé, entre autres, :
- de l'identité du responsable de la collecte de vos données,
- des finalités de cette collecte,
- des destinataires de vos données,
- de la durée de conservation de vos données,
- de votre droit d’introduire une réclamation auprès d’une autorité de contrôle.
Conseil : Les professionnels ont l’obligation de désigner une personne chargée de la protection des données personnelles au sein de leur entreprise ou administration, appelé « délégué à la protection des données ». Si vous souhaitez connaître l'utilisation qui sera faite de vos données, contactez directement ce délégué. Son adresse mail est souvent disponible dans les conditions générales de vente ou directement sur le site internet.
Assurez-vous que vous payez votre commande sur un site utilisant une connexion sécurisée : l’adresse du site doit commencer par « https:// » et un cadenas fermé doit apparaitre.
Pour éviter le piratage de vos données bancaires, vous pouvez privilégier l’utilisation d’une carte bancaire à usage unique si votre banque ou émetteur de carte bancaire propose ce service. Un code à usage unique vous est alors communiqué afin de payer. Ce code ne pourra jamais être utilisé une seconde fois.
Attention ! Si votre vendeur en ligne vous demande un justificatif d’identité ou une copie de votre carte bancaire (lorsque la livraison n’est pas au nom du titulaire de la carte de paiement par exemple), n’envoyez jamais une copie recto verso ! Assurez-vous d’avoir masqué une partie du numéro de votre carte afin de bien protéger vos données bancaires.
Oui mais seulement si vous y avez consenti expressément en cochant une case et non en acceptant simplement les conditions générales de vente ou via une case pré-cochée.
Vous pouvez à tout moment contacter le professionnel afin de demander la suppression de vos données bancaires.
Attention ! Soyez extrêmement vigilant si vous effectuez des achats à partir d’ordinateurs accessibles par des tiers (cybercafé...). Pensez toujours à vous déconnecter. Si vous avez des enfants, faites attention à ce qu'ils ne valident pas sans s'en rendre compte des commandes à votre insu !
Pour protéger votre vie privée, paramétrez l’accès à vos photos et à votre profil, et vérifiez régulièrement le paramétrage de confidentialité de votre compte.
Evitez de répondre aux questions de géolocalisation si cela n’est pas indispensable, et ne répondez pas aux messages adressés par des individus que vous ne connaissez pas.
Laissez également le strict minimum concernant vos coordonnées et évitez d’y détailler votre vie privée, pour rester à l’abri de personnes malintentionnées.
Si vous résidez en France, vous pouvez adresser une plainte à la Commission Nationale Informatique et Libertés (CNIL) en cas de violation de vos droits. La CNIL se chargera d’en informer l’autorité chef de file (c’est-à-dire l’autorité nationale de protection des données personnelles du pays dans lequel le professionnel/le réseau social est établi). Cette autre autorité décidera par la suite de traiter elle-même la réclamation ou d’en laisser le soin à la CNIL.
Exemples : en Allemagne, l'autorité de contrôle est la Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. En Irlande, il s’agit du Data Protection Commissioner. Consultez les coordonnées des autorités de contrôles en Europe.
Non pas automatiquement. Ce n’est pas parce que vous ne vous êtes pas connecté à votre compte sur un réseau social depuis plusieurs années que vos données personnelles ont bien été supprimées et ne peuvent plus être exploitées. Renseignez-vous bien quant au devenir du compte que vous n’utilisez plus sur un réseau social.
Les autorités de protection des données personnelles dans l’Union européenne recommandent aux différents réseaux sociaux de supprimer les comptes restés inactifs pendant une certaine période mais ces recommandations ne sont pas toujours respectées.
Veillez donc à supprimer votre compte. Le réseau social doit effacer l’ensemble de vos données. Si vous ne recevez aucune réponse à votre demande de suppression de compte, contactez la CNIL si le réseau social est établi en France ou à défaut l’autorité chargée de la protection des données du pays européen où il est basé.
Pas sans votre consentement car la majorité numérique en France est à 15 ans. En Europe, le RGPD a laissé le soin à chaque pays de fixer sa « majorité numérique » qui doit être entre 13 et 16 ans. Cela veut dire que tout professionnel, y compris un réseau social, devra obtenir le consentement des titulaires de l’autorité parentale pour collecter des données personnelles de mineures jusqu’à leur majorité numérique.
Bon à savoir : En Allemagne, la majorité numérique est à 16 ans, 14 ans en Espagne, 13 ans en Belgique par exemple.
Non. Aucune participation à un jeu concours ne peut être conditionnée au fait que vous acceptiez de recevoir une prospection commerciale, ou de communiquer vos coordonnées à des partenaires de l’organisateur du jeu. Vous devez pouvoir participer au jeu concours de manière libre. De la même manière, l’organisateur du jeu ne peut prévoir de vous accorder des chances supplémentaires au tirage au sort du jeu concours à condition que vous acceptiez de recevoir une prospection commerciale.
Les informations recueillies ne peuvent être utilisées que dans le cadre du jeu et de la remise du lot en cas de gain, sauf si vous avez consenti à recevoir de la prospection. Ce consentement doit être clairement écrit (case à cocher spécifique et non consentement déduit de l’acceptation du règlement du jeu).
Les mentions « informatiques et libertés » sur le formulaire de participation doivent vous avoir été remises ainsi que le règlement du jeu dans lequel doit figurer une rubrique « vie privée ».
Depuis le RGPD, l’organisateur du jeu concours doit prévoir une case à cocher spécifique pour chaque consentement.
Exemple : une première case à cocher s’il souhaite vous envoyer une prospection commerciale et une seconde case à cocher pour communiquer vos coordonnées à ses partenaires.
Pour payer moins de 50 €, dans de nombreux pays européens, vous n’avez plus besoin d’insérer de carte de paiement dans le terminal. Avec la technologie d’échange de données à distance appelée Near Field Communication (NFC), votre carte est effectivement équipée d’une puce permettant le paiement sans contact. A l’aide de cette technologie, votre nom, la liste des transactions réalisées à l’aide de votre carte, votre numéro de carte bancaire et sa date d’expiration sont toutefois susceptibles d’être captées par toute personne mal intentionnée proche de vous et équipée d’un lecteur NFC indépendant ou intégré à un smartphone standard.
Vous pouvez désactiver la fonction de paiement sans contact sur votre carte bancaire, mais la puce de la carte reste en principe quand même active et vos données bancaires toujours récupérables. Pour éviter un tel risque, vous devez posséder une carte bancaire non équipée NFC ou demander à votre banque la désactivation de la puce NFC.
Les cartes de fidélité permettent aux professionnels de fidéliser leurs clients et grâce aux données personnelles collectées (âge, adresse, e-mail, dépense moyenne dans l’établissement, habitudes d’achat...), de dresser des profils de clients pour adapter leur programme de fidélité, leurs produits vendus, leur publicité...
Toutes ces informations peuvent aussi être vendues à prix d'or à des sociétés partenaires en vue d'une prospection commerciale.
Conseil : Lorsque vous prenez une carte de fidélité auprès d’un commerçant, n’hésitez pas à lui demander à quoi vont servir vos données, si elles vont être communiquées à des tiers, qui contacter pour les modifier ou les effacer...
Ne donnez aucune information personnelle et bancaire sans avoir vérifié la provenance du courriel. Des faux e-mails demandant des informations personnelles, appelés phishing, se multiplient sur Internet.
Sachez qu'aucune banque ou organsime public ne demande des informations importantes par mail. Consultez le site de votre banque ou assurance, vous y trouverez sûrement des informations concernant les cas de phishing ou montrant le format de leurs e-mails, listant les informations qu’elles ne vous demanderaient en aucun cas par courriel, vous informant de leur mode de prise de contact traditionnel. Certaines proposent également un interlocuteur à laquelle vous pouvez faire parvenir une copie du faux e-mail.
En cas de doute, contactez la société prétendue sur son site internet ou via votre interlocuteur direct ou conseiller afin de vous assurer de l'origine de l’e-mail.
Si un site est mentionné dans un e-mail suspect, sollicitez l'avis d'un expert sur le site phishing initiative.
Plus d'informations dans notre article sur le phishing.
Pour suivre votre navigation sur un site Internet, des témoins de connexion, appelés plus communément "cookies", sont fréquemment déposés par le serveur du site visité. Les cookies s’installent automatiquement sur votre disque dur et permettent de tracer votre parcours sur le site et de vous reconnaître lorsque vous y retournez. Les cookies servent ainsi à analyser les audiences et fréquentations des sites afin d’améliorer leur qualité.
Un des rôles des cookies est également de cibler vos centres d’intérêts et vous attribuer un profil spécifique en tant qu'acheteur. C'est comme ça que vous pouvez voir apparaitre en surfant sur Internet une publicité en lien direct avec le produit recherché sur un site précédent.
Les sites doivent recueillir au préalable votre consentement avant de déposer un cookie vous concernant, vous indiquer la finalité du cookie et les moyens mis à votre disposition pour vous opposer au dépôt du cookie. Ce message apparaît en principe lors de votre première visite sur le site. Votre consentement est valable 13 mois. Au-delà de cette période, un nouveau consentement doit vous être demandé.
Vous pouvez cependant désactiver l’utilisation des cookies en modifiant les paramètres de votre navigateur. Le risque est toutefois que cela empêche l’utilisation de certaines fonctionnalités sur plusieurs sites. Vous pouvez toutefois bloquer les cookies des sites tiers (encart publicitaire sur un site) si vous souhaitez limiter le traçage de notre navigation.
Conseil : Il existe des logiciels (par exemple "Cookieviz" en France), vous permettant d‘identifier en temps réel les cookies transmettant des informations vous concernant à d’autres sites.
Ce type de tests génétiques dit récréatifs proposés sur Internet aux consommateurs sont autorisés dans plusieurs pays européens comme au Danemark, à Chypre, en Finlande, en Allemagne, en Italie, au Luxembourg ou aux Pays-Bas mais interdits au Portugal et en France, où il ne peut être réalisé que sur demande d'un tribunal dans le cadre de certains procédures (recherche de paternité, fins médicales ou de recherche). Ces tests restent interdits en France, quand bien même vous commanderiez le test à une société établie un pays européen où cela est autorisé.
En demandant l’analyse de votre ADN, vous transmettez au laboratoire une information sensible protégée par la loi car elle permet l’identification d’une personne physique. Il s'agit donc de données personnelles pour lesquels vous avez des droits comme le droit à l’information, le droit d’accès et le droit à l’oubli de vos données génétiques.
Plus d'informations dans notre article sur l'achat d'un test ADN sur Internet.
Si vous faites partie des 2 milliards d'utilisateurs de WhatsApp, vous avez reçu un message vous demandant d'accepter les nouvelles conditions d’utilisation de l'application avant le 15 mai 2021. Alors que WhatsApp indiquait l'arrêt progressif de l'application si vous n'acceptiez pas le transfert d'un certain nombre de données personnelles vers Facebook, maison mère depuis 2014, l’application de messagerie est finalement revenue sur sa décision. Vous pouvez refuser les nouvelles conditions d’utilisation sans conséquences a priori. Vous allez continuer à recevoir la demande de mise à jour des conditions d'utilisation mais sans conséquences sur les fonctionnalités de l'application.
Pas d'informations cependant sur le sort des données des utilsateurs ayant déjà accepté les nouvelles conditions. Est-ce bien légal de leur avoir alors imposé l'acceptation des nouvelles conditions d'utilisation ?
Dans l’Union européenne, vous devez donner votre accord de façon libre et éclairée pour que vos données personnelles soient collectées, enregistrées voire communiquées à des tiers. Cela consiste par exemple à vous indiquer quelle information sera traitée par le professionnel, dans quel but et de vous inviter à cocher une case pour formuler votre consentement sur le traitement de chaque donnée. C'est par exemple l'option qui vous est offerte à l'ouverture de nombreux sites Internet pour l'utilisation des cookies.
Le RGPD prévoit cependant que la collecte, l'enregistrement et le transfert des données personnelles peuvent être justifiés par un « intérêt légitime », le consentement de l'utilisateur n'étant alors pas nécessaire. C'est le cas par exemple des informations enregistrées pour lutter contre la fraude, pour assurer la sécurité physique des personnes ou des systèmes et réseaux informatiques, pour des fins historique, scientifique ou statistique etc.
WhatsApp invoque un intérêt légitime pour imposer ses conditions générales d'utilisation, à savoir l'amélioration et la sécurité de ses services. Il s'agirait entre autres de mieux repérer les spammeurs / fraudeurs entre les différentes entités de Facebook et d’utiliser les technologies de Facebook et des autres services du groupe pour améliorer l’application.
L'intérêt légitime invoqué par WhatsApp pose question au regard du RGPD. L'autorité de protection des données personnelles en Italie et du Land de Hambourg en Allemagne , jugeant peu claire la nouvelle politique de confidentialité de l'application, ont décidé de soulever la question devant le Comité Européen de la Protection des Données, composé des autorités nationales chargées de la protection des données (comme la CNIL en France) et du Contrôleur européen de la protection des données. Le commissaire à la protection des données et à la liberté d’information du Land de Hambourg a également émis une ordonnance d’urgence de trois mois pour empêcher Facebook de poursuivre le traitement des données des utilisateurs de WhatsApp en Allemagne.
Plus d'informations sur les nouvelles conditions de WhatsApp au regard du RGPD dans notre communiqué de presse du 19 janvier 2021.
Quelles sont les conséquences si vous n'avez pas accepté les nouvelles conditions de WhatsApp ?
Si vous faites partie des 2 milliards d'utilisateurs de WhatsApp, vous avez reçu un message vous demandant d'accepter les nouvelles conditions d’utilisation de l'application avant le 15 mai 2021. WhatsApp indiquait que si vous n'acceptiez pas le transfert d'un certain nombre de données personnelles vers Facebook qui a racheté l'application en 2014, vous ne pouviez plus utiliser WhatsApp.
L’application est finalement revenue sur sa décision : vous pouvez refuser les nouvelles conditions d’utilisation sans conséquencesa priori. WhatsApp va continuer à vous rappeler la mise à jour de ces conditions d'utilisation mais ne va pas vous limiter dans les fonctionnalités de son service. L'appllication n’évoque cependant pas le sort des données des utilisateurs ayant déjà accepté les nouvelles conditions.
Pour savoir si cette pratique est légal, consultez la dernière question de notre FAQ ci-dessous
Plus d'informations sur les nouvelles conditions de WhatsApp au regard du RGPD dans notre communiqué de presse du 19 janvier 2021.
Vers plus de protection de nos données avec le réglement e-privacy
Le nouveau règlement e-privacy, actuellement en discussion dans l’UE, complète et précise le RGPD. Le consentement de l’utilisateur reste une condition préalable avant le traitement de tout type de données provenant des ordinateurs ou des Smartphones mais il propose en plus des moyens plus faciles de l’exprimer. Ainsi, l’internaute pourrait paramétrer son navigateur Internet et interdire par exemple globalement les cookies non nécessaires, ces petits fichiers traceurs qui s’installent sur votre ordinateur à chaque ouverture de sites Internet, sans pour autant perturber l’affichage du site. A l’heure où WhatsApp impose ses nouvelles conditions d’utilisation, le règlement e-privacy pourrait également renforcer le respect de notre vie privée en limitant lors de nos communications électroniques (via e-mails, les réseaux sociaux ou des objets connectés) la collecte de données telles que la géolocalisation, les heures de début et de fin des communications ou encore les informations sur les destinataires.
A noter que des exceptions sont prévues dans le règlement lorsque la sécurité nationale ou la santé publique est en jeu (comme par exemple pour les applications de suivi de l’évolution des pandémies).
En discussion depuis 2018 et enfin approuvé en février 2021 par le Conseil de l'Union européenne, le règlement e-privacy entre dans sa dernière phase de négociation entre le Parlement européen, le Conseil et la Commission. Il pourrait donc voir le jour prochainement dans l’UE, avant une application obligatoire deux ans plus tard dans tous les Etats membres.
Plus d'informations dans notre communiqué de presse
L'Europe reconnait la valeur marchande des données personnelles
Dans une directive qui rentrera en application dans tous les pays de l'UE en janvier 2022, l'Europe reconnait que les données personnelles sont une contrepartie indirecte au service fourni par un professionnel et que les consommateurs qui payent les applications et services numériques par leurs données personnelles doivent avoir des droits.
Ainsi, à compter de 2022, vous bénéficierez par exemple d'une garantie légale de conformité sur tout contenu ou service numérique, même gratuit, qui vous permettra de demander la réparation ou l'échange d'une application, d'un logiciel ou d'un abonnement à une plateforme gratuite de streaming en cas de défaut du service.
Financé par l'Union européenne. Les points de vue et les opinions exprimés n'engagent toutefois que leur(s) auteur(s) et ne reflètent pas nécessairement ceux de l'Union européenne ou du Conseil européen de l'innovation et de l'Agence exécutive pour les petites et moyennes entreprises (EISMEA). Ni l'Union européenne ni l'autorité subventionnaire ne peuvent en être tenues pour responsables.