RGPD : Questions pratiques

Le règlement (UE) 2016/679, dit Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018, l'occasion de se poser quelques questions pratiques sur son application dans la vie quotidienne.

Mise à jour : mai 2018

Le RGPD a renforcé la définition de la donnée personnelle. Elle est définie comme toute information vous concernant, en tant que personne physique identifiée ou identifiable "directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".

Votre adresse IP, si elle permet de vous identifier, peut être caractérisée comme une donnée personnelle.

Il s’agit de toute action se rapportant à vos données personnelles : collecte, enregistrement, organisation, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction.

Exemple : un vendeur en ligne traite vos données personnelles en collectant votre adresse et vos coordonnées bancaires dans le cadre de votre achat en ligne.

Il s’agit de la personne physique ou morale, de l’autorité publique, du service ou tout autre organisme qui détermine les finalités et moyens du traitement de vos données personnelles. Ce n’est pas forcément celui qui réalise directement le traitement, mais celui qui veille au respect des règles en matière de protection des données. Sur internet, il est généralement indiqué dans les déclarations de confidentialité ou mentions légales des sites internet et accessible en principe par le biais d’une adresse email. Dans le cas d’un vendeur en ligne, il peut s’agit de la direction de la société concernée ou d’un de ses services.

Oui. Vous avez le droit de savoir si vos données personnelles font l’objet d’un traitement et enfin d’être informé de l’utilisation qui est faite de vos données personnelles (identité du responsable du traitement, finalités du traitement, destinataires de vos données, durée de conservation de vos données, droit d’introduire une réclamation auprès d’une autorité de contrôle etc). La personne mettant en œuvre le traitement doit vous en informer dans la mesure du possible dès la collecte de vos données.

Assurez-vous en premier lieu que vous effectuez votre commande sur un site utilisant une connexion sécurisée. Il suffit alors de vérifier que l’adresse du site concerné commence bien par « https:// ».

Pour éviter le piratage de vos données bancaires, vous pouvez privilégier l’utilisation d’une carte bancaire à usage unique si votre banque ou émetteur de carte bancaire propose ce service. Un code à usage unique vous est alors communiqué sur votre demande afin de pouvoir effectuer votre transaction. Ce code ne pourra jamais être utilisé une seconde fois.

Attention ! Pour des raisons de lutte contre la fraude, certains vendeurs en ligne peuvent toutefois vous demander une copie d’un justificatif d’identité ou une copie de la carte bancaire (par fax, e-mail, ou courrier postal). Par exemple, lorsque la livraison n’est pas au nom de la personne titulaire de la carte de paiement ayant servi à la commande. Cela permet aux vendeurs de contrôler la conformité des données.

Important : n’envoyez jamais une copie de votre pièce d'identité ou de votre carte bancaire recto verso ! Assurez-vous d’avoir masqué une partie du numéro de votre carte afin de bien protéger vos données bancaires.

Si vous comptez effectuer des achats ultérieurement sur le même site internet, le responsable du traitement peut conserver vos données figurant sur votre carte bancaire pour faciliter vos achats futurs, seulement si vous y avez consenti expressément (case cochée et non simple acceptation des conditions générales de vente ou case pré-cochée).

Conseils : Soyez extrêmement vigilant si vous effectuez des achats à partir d’ordinateurs accessibles par des tiers. Pensez toujours à vous déconnecter. Si vous avez des enfants, faites aussi attention ! Sans s’en rendre compte, ils seraient susceptibles de valider des commandes à votre insu ! (voir notre article sur les achats par un mineur sur Internet).

Les risques d’atteinte à la vie privée ne sont pas inexistants si vous ne maîtrisez pas la publication de vos données ou si aucune mesure n’est mise en œuvre par les éditeurs de réseaux sociaux pour protéger vos données.

Paramétrez l’accès à vos photos et à votre profil, et vérifiez régulièrement le paramétrage de confidentialité de votre compte. Evitez de répondre aux questions de géolocalisation si cela n’est pas indispensable, et ne répondez pas aux messages adressés par des individus que vous ne connaissez pas. Laissez également le strict minimum concernant vos coordonnées et évitez d’y détailler votre vie privée, pour rester à l’abri de personnes malintentionnées.

Si vous résidez en France, vous pouvez adresser une plainte à la Commission Nationale Informatique et Libertés (CNIL) en cas de violation de vos droits. La CNIL se chargera d’en informer l’autorité chef de file (c’est-à-dire l’autorité nationale de protection des données personnelles du pays dans lequel le professionnel est établi, en l’occurrence le réseau social). En Allemagne par exemple, il s’agira du Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, en Irlande du Data Protection Commissioner.

Cette autre autorité décidera par la suite de traiter elle-même la réclamation ou d’en laisser le soin à la CNIL.

Vous pouvez demander l’effacement de vos données au réseau social dans les meilleurs délais, lorsque vos données ne sont par exemple plus nécessaires aux finalités du traitement de données, ou si vous retirez votre consentement que vous aviez donné au traitement effectué.

Le RGPD a mis en place ce nouveau droit, mais il prévoit également que le responsable du traitement peut refuser d’y donner suite si le traitement de vos données est encore justifié à des fins d’archives dans l’intérêt public, de recherches scientifiques, historiques ou statistiques, des motifs de santé publique ou l’exercice du droit à la liberté d’information et d’expression.

Le RGPD prévoit que tout responsable de traitement, y compris un réseau social, devra obtenir le consentement des titulaires de l’autorité parentale pour effectuer le traitement de données de personnes mineures, et ce jusqu’à un âge situé entre 13 et 16 ans. Le RGPD laisse le soin à chaque pays de fixer cette « majorité numérique ». En France, elle a été fixée à l’âge de 15 ans.

Non. Aucune participation à des jeux concours ne doit être conditionnée au fait que vous acceptez de recevoir une prospection commerciale, ou de communiquer vos coordonnées à des partenaires de l’organisateur du jeu. Vous devez pouvoir participer au jeu concours de manière libre. De la même manière, l’organisateur du jeu ne peut prévoir de vous accorder des chances supplémentaires au tirage au sort du jeu concours à condition que vous acceptiez de recevoir une prospection commerciale.

Les informations recueillies ne peuvent être utilisées que dans le cadre du jeu et de la remise du lot en cas de gain, sauf si vous avez consenti à recevoir de la prospection. Ce consentement doit être clairement écrit (case à cocher spécifique et non consentement déduit de l’acceptation du règlement du jeu).

Les mentions « informatiques et libertés » sur le formulaire de participation doivent vous avoir été remises ainsi que le règlement du jeu dans lequel doit figurer une rubrique « vie privée ».

A compter de l’entrée en vigueur du RGPD, l’organisateur du jeu concours doit prévoir une case à cocher spécifique pour chaque consentement (par exemple une première case à cocher s’il souhaite vous envoyer une prospection commerciale et une seconde case à cocher pour communiquer vos coordonnées à ses partenaires).

Oui. Le RGPD prévoit un droit à la portabilité de vos données, vous permettant de récupérer vos données soit pour un usage personnel (pour les stocker sur votre espace de cloud privé par exemple), soit pour les transférer à un autre organisme (données d’un réseau social par exemple, ou e-mails auprès d’un nouvel opérateur de messagerie e-mail).

Ce droit s’applique aux données que vous aurez fournies vous-même et qui sont traitées de manière automatisée. Vos données doivent pouvoir être extraites et/ou être réutilisées facilement par vous-même ou par l’organisme concerné.