Ce dimanche 28 janvier marque la 12e édition de la Journée européenne de la protection des données, plus couramment appelée Data Privacy Day. L'occasion de faire un sain rappel sur ce qu'est la protection des données, et d'évoquer l'arrivée imminente du RGPD - le Règlement général sur la protection des données.
Chaque 28 janvier depuis 2007, plusieurs États (dont la France) célèbrent le Data Privacy Day. Initié par le Conseil de l'Europe, cet événement international vise à sensibiliser le grand public à l'importance de la protection des données personnelles.
Beaucoup de nos informations personnelles, telles que nos coordonnées et nos habitudes de consommation, circulent en effet à chaque instant sur Internet. Ces données forment le « nerf de la guerre » et ont une véritable valeur marchande pour de nombreuses entreprises : une excellente raison (s'il en fallait une...) pour se renseigner sur ses droits en la matière !
Les 5 principes de la protection des données
Comme l'indique la Commission nationale de l'informatique (CNIL), l'autorité de référence en matière de droits des personnes sur Internet - mais pas que -, la protection des données personnelles repose sur cinq grands principes que toute entreprise ou institution se doit de respecter.
1. Finalité des données
Lorsqu'une entité décide de mettre en place un système de collecte de vos données privées - quelle qu'elles soient -, elle est tenue de vous expliquer l'objectif de cette collecte. L'exemple le plus courant est celui des cookies : tout le monde a déjà rencontré des dizaines de fois ces bandeaux qui vous demandent de donner votre consentement pour collecter des informations sur votre navigation, généralement dans le but de proposer des contenus et publicités personnalisés.
Bandeau d'avertissement de l'utilisation de cookies sur le site de la CNIL (cliquer dessus pour agrandir)
La notion de consentement est essentielle dans la protection des données. Comme le rappelle la CNIL sur sa page « Cookies & traceurs : que dit la loi ? », le consentement de l'internaute doit être manifeste : en cas de conflit, ce sera au responsable du traitement des données de prouver que l'internaute avait clairement et activement consenti à la collecte de ses informations privées. Un consentement doit également pouvoir être retiré à tout moment par l'internaute.
2. Pertinence des données
La CNIL recommande de ne pas collecter plus de données qu'il n'est nécessaire par rapport à la finalité annoncée. C'est le principe de « minimisation ». Par exemple, ce principe voudrait que lorsqu'une marque vous demande de remplir un formulaire pour participer à un jeu-concours, les seules informations demandées soient celles qui permettent de vous envoyer le lot et de vous contacter en cas de souci. Votre date de naissance, votre sexe ou votre âge ne devraient donc pas vous être demandés.
3. Conservation des données
Une fois qu'elles ont été utilisées (pour reprendre notre exemple, une fois que votre lot vous a été envoyé dans le cadre du jeu-concours), vos données personnelles doivent normalement être supprimées ou archivées sur un support distinct car elles n'ont plus à être utilisées dans le cadre de la finalité originale pour laquelle vous avez donné votre consentement. C'est le principe du fameux « droit à l'oubli ».
Pour les cookies, la CNIL recommande aux éditeurs d'un site web de renouveler la demande au moins tous les 13 mois pour s'assurer que l'internaute donne toujours activement son consentement à la collecte de ses données. Conformément à cette demande, les cookies sont conservés 13 mois sur Clubic. Cependant, chaque site peut décider lui-même de la durée de conservation des cookies qu'il enregistre. Cette information peut généralement être trouvée dans les Mentions Légales ou les Conditions Générales d'Utilisation du site.
4. Droits des personnes
Tout internaute doit être informé clairement et lisiblement de ses droits en termes d'accès et de rectification de ses données privées. Cela se traduit, sur une très grande majorité de sites, par ce petit message que vous avez déjà probablement croisé de nombreuses fois :
« Conformément à la loi Informatique et Libertés du 6 janvier 1978, vous disposez d'un droit d'accès, de rectification et de suppression des données vous concernant. »
Ce bout de texte doit être suivi d'une adresse physique ou e-mail à contacter pour exercer votre droit. Ainsi, à tout moment, vous avez le droit de contacter une entreprise ou une institution pour demander la correction ou la suppression des données que cette dernière possède sur vous. Quelques exceptions existent pour les cas où vos données sont absolument nécessaires pour vous faire bénéficier d'un service que vous souhaitez continuer à utiliser, par exemple.
5. Sécurité des données
Les entités qui collectent des données privées ont l'obligation de les conserver de façon confidentielle et sécurisée, de façon à ce que vos informations personnelles ne se retrouvent pas en accès libre sur Internet.
Une mauvaise sécurisation ou une faille de stockage sont généralement à l'origine des « fuites de données » que nous relayons parfois dans les actualités Clubic, comme celle vécue par Instagram fin 2017.
RGPD : Qu'est-ce qui change en mai 2018 ?
Le 25 mai 2018 va voir entrer en application le « Règlement général sur la protection des données », plus communément appelé RGPD. Une véritable révolution pour les entreprises, qui doivent se mettre au pas sur leurs nouvelles obligations en matière de collecte et de conservation des données privées.
Le RGPD a pour principal objectif de donner plus de visibilité et de pouvoir aux internautes quant à l'utilisation qui peut être faite de leurs informations personnelles. Les droits d'accès, de rectification et de suppression doivent notamment être renforcés. Ce nouveau règlement va mettre en place le concept de « portabilité des données », soit la possibilité pour un internaute de demander à ce que ses données soient transmises d'une entreprise à une autre sans avoir à réaliser de démarches supplémentaires de son côté.
Aux entreprises, également, de s'organiser pour pouvoir déréférencer un lien des moteurs de recherche s'il porte atteinte à la vie privée d'une personne. En cas de problème avec les données stockées (un piratage, par exemple - la fameuse « fuite »), les entreprises auront désormais 72 heures pour en informer les internautes concernés.
Enfin, le RGPD est particulièrement strict sur les sanctions encourues par les entités qui essaieraient de contourner leurs devoirs en termes de collecte et d'utilisation des données personnelles : aux avertissements, mises en demeure et suppression des données, sanctions qui existent déjà à l'heure actuelle, viennent s'ajouter des amendes d'un montant pouvant atteindre 4% du chiffre annuel mondial de l'entreprise. Voilà qui devrait en dissuader un certain nombre de jouer avec les données de leurs clients !
Mais que cela ne vous fasse pas oublier que meilleur moyen de protéger vos données personnelles reste la prudence : ne communiquez pas vos informations à n'importe qui pour n'importe quelle raison !
Maryne
Chef de rubrique sur Clubic, et parfois j'écris aussi.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
