Aller au contenu principal
 
Reset
logo logo
UNE QUESTION ? UNE RÉCLAMATION ?

Protégez vos données personnelles sur Internet !

Achats en ligne, souscription à une carte de fidélité, réponse à une offre commerciale ou à un sondage... En France ou dans un autre pays de l'Union européenne, vous communiquez quotidiennement vos données personnelles. Mais êtes-vous sûr que vos données sont toujours protégées ? Savez-vous qui est responsable de la confidentialité de vos données ? Comment mieux les protéger ? Toutes les infos sur le RGPD et la protection de vos données personnelles en Europe dans notre FAQ. 

La protection des données personnelles sur Internet
Le règlement général sur la protection des données (RGPD) protège vos données personnelles en Europe.

Questions-réponses

Une donnée personnelle, c'est toute information sur une personne physique identifiée ou identifiable.

Exemples : un nom, une adresse, un e-mail, une photo, un enregistrement vocal, une ADN, un mot de passe, une adresse IP...

Comme vos données sont personnelles, elles vous concernent et vous devez en avoir la maitrise. Depuis le Règlement Général sur la Protection des Données (RGPD) protège vos données personnelles en Europe. Ainsi, vous devez accepter la collecte, transfert, sauvegarde, utilisation de vos données par un professionnel. 

Oui. Vous avez le droit de savoir si vos données sont collectées, transférées, sauvegardées, modifiées...

Vous devez également connaître, entre autres, :

  • l'identité du responsable de la collecte de vos données.
  • les finalités de cette collecte.
  • les destinataires de vos données.
  • la durée de conservation de vos données.
  • votre droit d’introduire une réclamation auprès d’une autorité de contrôle. 

Les professionnels ont l’obligation de désigner une personne chargée de la protection des données personnelles. Au sein de leur entreprise ou administration, cette personne est appelée « délégué à la protection des données ». Si vous souhaitez connaître l'utilisation qui sera faite de vos données, contactez directement ce délégué. Son adresse mail est souvent disponible dans les conditions générales de vente ou directement sur le site internet.

Assurez-vous que vous payez votre commande sur un site utilisant une connexion sécurisée. L'adresse du site doit commencer par « https:// » et un cadenas fermé doit apparaitre.

Pour éviter le piratage de vos données bancaires, vous pouvez privilégier l’utilisation d’une carte bancaire à usage unique. Vérifiez si votre banque ou émetteur de carte bancaire propose ce service. Elle vous communiquera alors un code à usage unique afin de payer. Vous ne pourrez pas utiliser ce code une seconde fois.

Attention ! Votre vendeur en ligne peut vous demander un justificatif d’identité ou une copie de votre carte bancaire.  Cela peut arriver lorsque la livraison n’est pas au nom du titulaire de la carte de paiement par exemple. N’envoyez jamais une copie recto verso ! Assurez-vous d’avoir masqué une partie du numéro de votre carte afin de bien protéger vos données bancaires.

Oui mais seulement si vous y avez consenti expressément en cochant une case. Accepter simplement les conditions générales de vente ou passer par une case pré-cochée ne suffit pas.

Vous pouvez à tout moment contacter le professionnel afin de demander la suppression de vos données bancaires.

Attention ! Soyez extrêmement vigilant si vous effectuez des achats à partir d’ordinateurs accessibles par des tiers (cybercafé...). Pensez toujours à vous déconnecter. Si vous avez des enfants, faites attention à ce qu'ils ne valident pas des commandes à votre insu !

Cela dépend du contexte et de la finalité de la demande.

Dans certains cas précis, la loi autorise, voire impose, de demander et de conserver une copie de votre carte d’identité. Il peut aussi s’agir de seulement certaines informations, comme le numéro de la pièce d’identité.

Exemple : une banque doit vous demander une pièce d’identité lors de l’ouverture d’un compte bancaire. Ou un commerçant peut vous demander votre carte d’identité si vous payez par chèque.

En cas de "doute raisonnable" sur votre identité, un professionnel peut vous demander des informations permettant de prouver votre identité.

Toutefois, les données personnelles collectées doivent être strictement nécessaires à l’objectif poursuivi. Un vendeur ne doit pas réutiliser ces données à des fins commerciales notamment.

Dans d’autres situations, un professionnel peut avoir besoin de conserver temporairement votre pièce d’identité pour exécuter un service précis.

Exemple : vous demandez à une agence de voyage de réserver des billets d’avion en votre nom.

Dans la plupart des cas, une simple présentation de votre pièce d’identité suffit, sans que le professionnel ait besoin de la conserver. Par exemple, si un livreur vous demande de prouver votre identité pour vous remettre un colis en mains propres, il suffit de lui montrer votre carte d’identité. Un scan ou une photocopie du document ne sont en principe pas justifiés.

Conseil :
N’hésitez pas à demander pourquoi votre pièce d’identité est requise, combien de temps elle sera conservée et à quelle fin. Conformément au RGPD, le vendeur doit toujours avoir un motif légitime pour collecter une copie de votre document d’identité.

Si selon sa réponse, vous estimez que la conservation du document n’est pas justifiée, vous pouvez vous y opposer. Exigez la suppression du document si vous lui aviez déjà envoyé une copie. En l’absence de réponse de sa part, vous pouvez saisir l’autorité de protection des données compétente. Il s’agit de la CNIL en France.

Plus d'informations dans notre article "Prouver son identité pour valider un achat : est-ce légal ?"

Pour protéger votre vie privée, paramétrez l’accès à vos photos et à votre profil. Vérifiez régulièrement le paramétrage de confidentialité de votre compte.

Evitez de répondre aux questions de géolocalisation si cela n’est pas indispensable. Surtout, ne répondez pas aux messages adressés par des individus que vous ne connaissez pas.

Laissez également le strict minimum concernant vos coordonnées et évitez d’y détailler votre vie privée. Vous resterez ainsi à l’abri de personnes malintentionnées.

Si vous résidez en France, vous pouvez adresser une plainte à la Commission Nationale Informatique et Libertés. La CNIL est l'autorité compétente en cas de violation de vos droits. Elle se chargera d’en informer l’autorité chef de file. Il s'agit de l’autorité nationale de protection des données personnelles du pays dans lequel le professionnel/le réseau social est établi. Cette autre autorité décidera par la suite de traiter elle-même la réclamation ou d’en laisser le soin à la CNIL.

Exemples : en Allemagne, l'autorité de contrôle est la Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. En Irlande, il s’agit du Data Protection Commissioner. Consultez les coordonnées des autorités de contrôles en Europe.

Non pas automatiquement.  Ce n’est pas parce que vous ne vous êtes pas connecté à votre compte sur un réseau social depuis plusieurs années qu'il a supprimé vos données personnelles et ne les exploite plus. Renseignez-vous bien quant au devenir du compte que vous n’utilisez plus sur un réseau social.

Les autorités de protection des données personnelles dans l’Union européenne recommandent aux différents réseaux sociaux de supprimer les comptes restés inactifs pendant une certaine période. Mais ils ne respectent pas toujours ces recommandations. 

Veillez donc à supprimer votre compte. Le réseau social doit effacer l’ensemble de vos données. Si vous ne recevez aucune réponse à votre demande de suppression de compte, contactez la CNIL. Si le réseau social n'a pas son siège en France, contactez l’autorité chargée de la protection des données du pays européen où il est basé.

Pas sans votre consentement car la majorité numérique en France est à 15 ans. En Europe, chaque pays fixe sa « majorité numérique » entre 13 et 16 ans. Cela veut dire que tout professionnel doit obtenir en France le consentement d'un des titulaires de l’autorité parentale. Cela concerne aussi les réseaus sociaux qui collectent des données personnelles de mineurs jusqu’à leur 15 ans.

Avec l’entrée en vigueur à venir de la loi du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne, tout réseau social devra également :

  • informer les enfants de moins de 15 ans et leurs parents des risques liés aux usages numériques ainsi que les moyens de prévention.
  • permettre à au moins un des parents de demander la suspension du compte de leur enfant de moins de 15 ans.
  • activer, lors de l’inscription, un dispositif de contrôle du temps passé en ligne.

Bon à savoir ! L'Allemagne fixe la majorité numérique à 16 ans, l'Espagne à 14 ans, la Belgique à 13 ans par exemple.

Que faire si vos données personnelles ont été dérobées sur le site d’un tiers (hacking) ?

Il peut arriver qu'un site Internet sur lequel vous avez renseigné des données personnelles soit victime de hacking. Voici comment réagir en cas de fuite de vos données.

  • Contactez la CNILPlaintes | CNIL et cybermalveillance.gouv.fr, même si en principe l’entreprise doit effectuer la démarche.
  • Demandez à l’entreprise des informations détaillées sur l’incident : date et contexte exact, origine de l’attaque... Quelles données le hacker a-t-il exactement dérobées (identité, coordonnées, informations financières, numéro de sécurité sociale...) ? Quels documents a-t-il récupérés (copie de la carte d’identité, des fiches de salaires, justificatifs bancaires….) ? Est-ce que l'entreprise victime a bien fait une déclaration à la CNIL ?

Réagissez à temps, afin d'anticiper une potentielle usurpation d'identité via les données volées !

Plus d'informations sur Comment réagir en cas de fuite ou violation de données personnelles ? - Assistance aux victimes de cybermalveillance

Pour payer moins de 50 €,  dans de nombreux pays européens, vous n’avez plus besoin d’insérer la carte de paiement. C'est grâce à la technologie d’échange de données à distance appelée Near Field Communication (NFC). Votre carte dispose d’une puce permettant le paiement sans contact. Toutefois, à l’aide de cette technologie, une personne mal intentionnée peut capter votre nom. Mais aussi la liste des transactions réalisées avec votre carte, votre numéro de carte bancaire et sa date d’expiration. Pour que cela fonctionne, elle doit être proche de vous. Et elle doit être équipée d’un lecteur NFC indépendant ou intégré à un smartphone standard.

Vous pouvez désactiver la fonction de paiement sans contact sur votre carte bancaire. Mais la puce de la carte reste en principe quand même active et vos données bancaires toujours récupérables. Pour éviter un tel risque, vous devez posséder une carte bancaire non équipée NFC. Ou demandez à votre banque la désactivation de la puce NFC.

Les cartes de fidélité permettent aux professionnels de fidéliser leurs clients. Grâce aux données personnelles collectées, elles permettent de dresser des profils de clients pour adapter leur programme de fidélité, leurs produits vendus, leur publicité... Le magasin collecte toute sortes de données : âge, adresse, e-mail, dépense moyenne dans l’établissement, habitudes d’achat...

Les magasins peuvent aussi vendre ces informations à prix d'or à des sociétés partenaires en vue d'une prospection commerciale.

Conseil : Lorsque vous prenez une carte de fidélité auprès d’un commerçant, n’hésitez pas à lui demander à quoi vont servir vos données. Renseignez-vous pour savoir s'il va les communiquer à des tiers, mais aussi qui contacter pour les modifier ou les effacer.

Non. Aucune jeu concours ne peut conditionner votre participation au fait que vous acceptiez de recevoir une prospection commerciale, ou de communiquer vos coordonnées à des partenaires de l’organisateur du jeu. Vous devez pouvoir participer au jeu concours de manière libre. De la même manière, l’organisateur du jeu ne peut prévoir de vous accorder des chances supplémentaires au tirage au sort du jeu concours à condition que vous acceptiez de recevoir une prospection commerciale.

Le professionnel ne peut utiliser les informations recueillies que dans le cadre du jeu et de la remise du lot en cas de gain, sauf si vous avez consenti à recevoir de la prospection. Vous devez clairement écrire votre consentement. Par exemple, via une case à cocher spécifique et non pas un consentement déduit de l’acceptation du règlement du jeu.

Vous devez avoir vu les mentions « informatiques et libertés » sur le formulaire de participation ainsi que le règlement du jeu dans lequel doit figurer une rubrique « vie privée ».

Depuis le RGPD, l’organisateur du jeu concours doit prévoir une case à cocher spécifique pour chaque consentement.

Exemple : une première case à cocher s’il souhaite vous envoyer une prospection commerciale et une seconde case à cocher pour communiquer vos coordonnées à ses partenaires.

Ne donnez aucune information personnelle et bancaire sans avoir vérifié la provenance du courriel.  Des faux e-mails demandant des informations personnelles, appelés phishing, se multiplient sur Internet.

Sachez qu'aucune banque ou organsime public ne demande des informations importantes par mail. Consultez le site de votre banque ou assurance, vous y trouverez sûrement des informations concernant les cas de phishing. Elle montre généralement le format de ces e-mails, et liste les informations qu’elle ne vous demanderait en aucun cas par courriel. Renseignez-vous sur le mode de prise de contact traditionnel de votre banque. Certaines proposent également un interlocuteur à laquelle vous pouvez faire parvenir une copie du faux e-mail.

En cas de doute, contactez la société prétendue sur son site internet ou via votre interlocuteur direct ou conseiller afin de vous assurer de l'origine de l’e-mail.

Si un e-mail suspect mentionne un site, sollicitez l'avis d'un expert sur le site phishing initiative.

Pour suivre votre navigation sur un site Internet, le serveur du site visité dépose des témoins de connexion. Ces "cookies" s’installent automatiquement sur votre disque dur et permettent de tracer votre parcours sur le site et de vous reconnaître lorsque vous y retournez. Les cookies servent ainsi à analyser les audiences et fréquentations des sites afin d’améliorer leur qualité. 

Un des rôles des cookies est également de cibler vos centres d’intérêts et vous attribuer un profil spécifique en tant qu'acheteur. C'est comme ça que vous pouvez voir apparaitre en surfant sur Internet une publicité en lien direct avec le produit recherché sur un site précédent.

Les sites doivent recueillir au préalable votre consentement avant de déposer un cookie vous concernant. Ils doivent vous indiquer la finalité du cookie et les moyens mis à votre disposition pour vous opposer au dépôt du cookie. Ce message apparaît en principe lors de votre première visite sur le site. Votre consentement est valable 13 mois. Au-delà de cette période, ils doivent vous demander un nouveau consentement.

Vous pouvez cependant désactiver l’utilisation des cookies en modifiant les paramètres de votre navigateur. Le risque est toutefois que cela empêche l’utilisation de certaines fonctionnalités sur plusieurs sites. Vous pouvez toutefois bloquer les cookies des sites tiers (encart publicitaire sur un site) si vous souhaitez limiter le traçage de notre navigation.

Conseil : Il existe des logiciels (par exemple "Cookieviz" en France), vous permettant d‘identifier en temps réel les cookies transmettant des informations vous concernant à d’autres sites.

Plusieurs pays européens autorisent ce type de tests génétiques dit récréatifs et proposés sur Internet. C'est le cas au Danemark, à Chypre, en Finlande, en Allemagne, en Italie, au Luxembourg ou aux Pays-Bas. Mais la France interdit ces tests. Vous ne pouvez effectuer un test que sur demande d'un tribunal dans le cadre de certains procédures (recherche de paternité, fins médicales ou de recherche). L'interdiction vaut en France quand bien même vous commanderiez le test à une société établie un pays européen qui l'autorise.

En demandant l’analyse de votre ADN, vous transmettez au laboratoire une information sensible protégée par la loi car elle permet l’identification d’une personne physique. Il s'agit donc de données personnelles pour lesquels vous avez des droits comme le droit à l’information, le droit d’accès et le droit à l’oubli de vos données génétiques.

Plus d'informations dans notre article sur l'achat d'un test ADN sur Internet.

La société Meta pratiquait sur ses plateformes Facebook et Instagram une politique de traitement des données personnelles jugée non conforme au Règlement Général sur la Protection des Données (RGPD). En conséquence,  l’autorité nationale irlandaise de protection des données personnelles l'a condamnée en janvier 2023 à une amende à hauteur de 390 millions d’euros.

L'autorité reprochait notamment à Meta d’obliger ses utilisateurs à donner leur consentement à l’exploitation de leurs données personnes pour accéder à ses services.

Meta a donc décidé depuis novembre dernier de proposer une offre payante pour accéder à Facebook et Instagram, en alternative à la version gratuite. En acceptant de s’abonner à la version payante, les consommateurs ne réceptionneront plus de publicités. Le réseau n'exploitera plus leurs données personnelles à des fins de publicité ciblées, contrairement à la version gratuite.

En proposant cette version payante, Meta espère notamment se conformer en RGPD en revendiquant l’existence d'une alternative équitable à la version gratuite, pour laquelle l’utilisation de traçeurs (cookies) est prévue.

Il reste à savoir si l’offre payante de Meta peut réellement consister en une alternative permettant aux utilisateurs ayant refusé la version gratuite, d’accéder à ces réseaux sociaux, et si ces derniers ont donc un véritable choix, notamment au vu du tarif de l’abonnement payant.

Le Comité européen de la protection des données (CEPD) pourrait prochainement se positionner sur cette question.

Non. Un réseau social n’a pas le droit de se baser sur un profilage ni d’utiliser les données personnelles d’une personne mineure pour lui adresser de la publicité, dès lors qu’il a la certitude raisonnable qu’il a affaire à une personne mineure.

Cette règle provient du règlement européen Digital Services Act (DSA) qui s’impose à toutes les autres plateformes en ligne européennes ou visant des consommateurs européens depuis février 2024.

Depuis le 6 mars 2024, le règlement européen Digital Markets Act (DMA)s’impose à certaines grandes plateformes désignées par la Commission européenne. Ce règlement prévoit notamment que ces grandes marketplaces ne pourront pas collecter vos données personnelles suite à des achats de produits ou services que vous auriez effectués par leur intermédiaire afin de vous adresser directement de la publicité.

Une seule exception : si vous y avez expressément consenti. Mais si vous consentez à la réception de telles publicités, vous pouvez toujours retirer votre consentement par la suite.

Toute marketplace qui enfreindra ce règlement sera passible d’une amende allant jusqu’à 10% de son chiffre d’affaires annuel mondial, voire 20% en cas d’infractions répétées.

Vers plus de protection de nos données personnelles avec le règlement e-privacy

Le nouveau règlement e-privacy, actuellement en discussion dans l’UE, complète et précise le RGPD. Le consentement de l’utilisateur reste une condition préalable avant le traitement de tout type de données provenant des ordinateurs ou des smartphones. Mais il propose en outre des moyens plus faciles de l’exprimer. Ainsi, l’internaute pourrait paramétrer son navigateur Internet et interdire par exemple globalement les cookies non nécessaires. Ce sont les petits fichiers traceurs qui s’installent sur votre ordinateur à chaque ouverture de sites Internet, sans pour autant perturber l’affichage du site. A l’heure où WhatsApp impose ses nouvelles conditions d’utilisation, le règlement e-privacy pourrait également renforcer le respect de notre vie privée en limitant lors de nos communications électroniques (via e-mails, les réseaux sociaux ou des objets connectés) la collecte de données telles que la géolocalisation, les heures de début et de fin des communications ou encore les informations sur les destinataires. 

A noter que le règlement prévoit des exceptions lorsque la sécurité nationale ou la santé publique est en jeu. Par exemple, pour les applications de suivi de l’évolution des pandémies.

En discussion depuis 2018 et enfin approuvé en février 2021 par le Conseil de l'Union européenne, le règlement e-privacy entre dans sa dernière phase de négociation entre le Parlement européen, le Conseil et la Commission. Il pourrait donc voir le jour prochainement dans l’UE, avant une application obligatoire deux ans plus tard dans tous les Etats membres.

Données personnelles sécurisées dans l'UE
Vos données personnelles ont une valeur marchande et sont utilisées comme contrepartie pour certains services.

L'Europe reconnait la valeur marchande des données personnelles

Dans une directive qui est entrée en application en janvier 2022, l'Europe reconnait que les données personnelles sont une contrepartie indirecte au service fourni par un professionnel et que les consommateurs qui payent les applications et services numériques par leurs données personnelles doivent avoir des droits. 

Ainsi, vous bénéficiez par exemple d'une garantie légale de conformité sur tout contenu ou service numérique, même gratuit. Cela vous permet de demander la réparation ou l'échange d'une application, d'un logiciel ou d'un abonnement à une plateforme gratuite de streaming en cas de défaut du service. 

Financé par l'Union européenne. Les points de vue et les opinions exprimés n'engagent toutefois que leur(s) auteur(s) et ne reflètent pas nécessairement ceux de l'Union européenne ou du Conseil européen de l'innovation et de l'Agence exécutive pour les petites et moyennes entreprises (EISMEA). Ni l'Union européenne ni l'autorité subventionnaire ne peuvent en être tenues pour responsables.

Logo de Facebook
Icône YouTube
Icône LinkedIn
Icone Instagram
Icône newsletter du CEC
Icône podcasts du CEC
Cet article vous a-t-il été utile ?
Oui Non Oui, Mais
Merci
Merci d'avoir pris le temps.