Articles

RGPD : Qu’est-ce que le droit à la rectification ?

Avec l’augmentation exponentielle des données collectées en ligne , le RGPD arrive à point nommé et vient apporter des limites claires au processus de traitement des données à caractère personnel tout en renforçant les droits des personnes concernées. Le droit à la rectification constitue sans doute l’un des plus importants d’entre eux. Il vous permet de demander la rectification des informations inexactes ou incomplètes vous concernant. Cela garantit qu’une entreprise ou une entité publique n’utilise ou ne diffuse de fausses informations sur vous.
Mais quelles sont les conditions nécessaires pour mettre en œuvre ce droit ? Quelles sont les étapes à suivre ? Tour d’horizon sur le droit à la rectification comme le conçoit le RGPD.

Le droit à la rectification : définition

L’article 16 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».
En résumé, le droit à la rectification vous permet de corriger les données inexactes vous concernant (nom, âge, adresse…), ou de compléter les données en rapport avec la finalité du traitement. Et quand le responsable du traitement reçoit une demande de rectification, il est tenu d’apporter les modifications nécessaires dans les plus brefs délais. Le but est d’éviter une mauvaise utilisation des données.
Notez que la modification des données d’une personne décédée est possible. Le droit d’en faire la demande appartient aux héritiers du défunt. La majorité des informations nominatives peuvent être modifiées : nom, prénom, photos du visage, date de naissance, adresse électronique…

Quelles sont les conditions à respecter pour exercer le droit à la rectification ?

L’exercice du droit à la rectification est soumis à plusieurs conditions. Tout d’abord, pour que la demande soit validée par le responsable du traitement, la personne concernée doit apporter la preuve de son identité. Après, elle doit prouver que les données la concernant sont bien incomplètes, équivoques, périmées ou inexactes.
Une fois que le responsable du traitement a confirmé l’inexactitude des données et l’identité de la personne concernée, il doit procéder à la rectification et apporter la preuve que les modifications nécessaires ont bien été faites. La demande de confirmation doit être adressée au demandeur (Conseil d’État, 10ème et 9ème sous-sections réunies, 21/05/2008, 301 178).

Comment exercer le droit à la rectification dans la pratique ?

Si vous voulez modifier une donnée personnelle erronée vous concernant, la première chose à faire est d’identifier l’organisme à contacter : le premier responsable du traitement. Pour identifier ce dernier, rendez-vous dans certaines pages du site où vos informations sont exposées : politique de confidentialité, politique vie privée, mention légale… Une fois que vous aurez identifié le responsable du traitement, adressez-lui une requête. Vous trouverez des exemples de requêtes sur le site de la CNIL.
Vous pouvez faire votre demande de rectification par voie électronique (formulaire, adresse mail…) ou par courrier. Notez que le responsable du traitement peut très bien demander des documents prouvant votre identité s’il a des doutes raisonnables sur votre identité. Malgré tout, il lui est interdit de demander des pièces justificatives non indispensables pour la réalisation de votre demande.
Si le responsable du traitement n’apporte pas les modifications nécessaires suite à votre demande de rectification, vous avez la possibilité de porter votre affaire auprès de la CNIL. Afin de préparer cette procédure, veillez à conserver une copie des démarches que vous avez réalisées auprès du responsable du traitement (capture d’écran, copie du courriel si demande faite par voie électronique, accusé de réception du courrier…). Attention, il est important de rappeler que l’exercice du droit de rectification est gratuit. Toutes les charges reviennent aux responsables du traitement et aux sous-traitants.

Le droit à la rectification est limité

Comme pour les autres droits prônés par le RGPD, sachez que le droit à la rectification est limité. Ainsi, il est impossible de l’exercer pour certaines données : données journalistiques, données littéraires ou artistiques. À part cela, ce droit ne peut également pas être exercé si le traitement porte sur des fichiers de police, de renseignement, de gendarmerie et de FICOBA (Fichier National des comptes bancaires et assimilés).
Si vous désirez modifier ces types de données, vous devrez passer par la CNIL. La CNIL réalisera les démarches de demande de rectification à votre place. Le droit d’accès indirect via la CNIL a été mis en place pour assurer la confidentialité des enquêtes et le droit de certains responsables du traitement à garder des informations.

Qu’est-ce qu’une donnée sensible et quelles sont les règles relatives à leur traitement ?

Le RGPD a été mis en place pour offrir aux usagers une meilleure protection de leurs données personnelles. Certaines de ces dernières jouissent d’une protection plus accrue, il s’agit des données sensibles. Le principe est que le traitement des données sensibles est interdit. La raison ? Leur traitement présente un risque plus important pour les droits et libertés des personnes concernées. Malgré tout, cette notion est limitée. En fait, le RGPD prévoit dans ses articles 9 et 10 des exceptions à cette interdiction de traitement.

Données sensibles : définition

Les données constituent une catégorie particulière de données à caractère personnel. Elles révèlent des informations liées à une personne concernée :

  • L’origine ethnique ou raciale ;
  • Les convictions religieuses ou philosophiques ;
  • Le traitement des données génétiques ;
  • Les opinions politiques ;
  • L’appartenance syndicale ;
  • La santé ;
  • La vie sexuelle ou l’orientation sexuelle ;
  • Les données biométriques qui permettent l’identification d’une personne ;
  • Les données sur les infractions ou condamnations

Cette liste a la vertu de définir clairement le périmètre des données sensibles. Toutefois, en cas de doute, il suffit de garder à l’esprit que les données sensibles sont des données dont le traitement peut entrainer un risque important pour les personnes concernées. De ce fait, le mieux est d’en faire une interprétation large pour une meilleure protection et pour éviter tout écart à la loi (CJCE, 6 nov. 2003, Comm. com. élec. 2004).

Traitement d’une donnée sensible : une interdiction de principe

Le RGPD est très clair : le traitement des données sensibles est interdit. C’est-à-dire qu’il est interdit de recueillir et d’utiliser ces données. Cette interdiction de principe s’applique même dans le cadre de traitements temporaires (conservation temporaire, enregistrement temporaire, extraction temporaire…).

Les exceptions au principe d’interdiction du traitement des données sensibles

L’interdiction de traitement des données sensibles est un principe dont les exceptions sont prévues par le paragraphe 2 de l’article 9 du RGPD. Ce paragraphe énumère 10 exceptions. Ainsi, le traitement des données sensibles est autorisé :

  • Si la personne concernée a donné son consentement exprès. Ce consentement doit être écrit et la personne doit avoir été informée au préalable. En outre, le responsable du traitement doit pouvoir en apporter la preuve ;
  • Si le traitement est indispensable à l’exécution des obligations ou des droits propres au responsable du traitement ou à la personne concernée pour les matières liées au droit du travail, la sécurité sociale et la protection sociale
  • Si le traitement est nécessaire pour la sauvegarde de la vie de la personne concernée ou d’une autre personne, surtout dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • Si les traitements concernent les membres et adhérents d’une fondation, de tout organisme à but non lucratif ou une association ethnique, religieuse, politique, philosophique ou syndicale ;
  • Si les données ont été rendues publiques par la personne concernée ;
  • Si les données sont nécessaires à la contestation ou à la défense d’un droit devant la justice ;
  • Si l’utilisation des données présente un intérêt public important et autorisé par la CNIL ;
  • Lorsque le traitement est nécessaire pour la médecine préventive ou du travail et concerne directement la capacité d’une personne à travailler, les diagnostics médicaux, la prise en charge sociale, la prise en charge sanitaire ou la gestion des systèmes et des services de santé ou de protection sociale ;
  • Lorsque le traitement est justifié par des motifs d’intérêt public dans le domaine de la santé publique (protection contre les menaces sanitaires transfrontalières, garantir des normes élevées de qualité et de sécurité de soins de santé…) ;
  • Si le traitement présente un intérêt public à des fins de recherches historiques, scientifiques ou statistiques ;

 

Droit au déréférencement : comment supprimer des informations sur les moteurs de recherche ?

Le droit au déréférencement constitue l’un des droits prônés par le RGPD. Sommairement, ce droit permet à toute personne concernée de demander à un moteur de recherche qu’un contenu qui lui porte préjudice ne lui soit plus associé lors d’une recherche d’un internaute. Mais comment mettre en œuvre le droit au déréférencement ? Comment supprimer des informations sur les moteurs de recherche ?

Qu’est-ce que le droit au déréférencement ?

Le droit au déréférencement est la possibilité pour une personne de demander à un moteur de recherche de supprimer certains résultats (généralement, des informations préjudiciables) de recherche liés à son nom et son prénom. Il a été validé par un arrêt de la CJUE en date du 13 mai 2014, cela dans le but de répondre aux inquiétudes des citoyens européens quant au sort des données qui les concernent circulant sur le web. Des préoccupations bien fondées car avec l’augmentation démesurée des pages web mises en ligne, il devient de plus en plus difficile de maîtriser son image.

Mais que l’on ne s’y trompe pas, le droit au déréférencement est limité puisque le contenu original reste inchangé. C’est-à-dire que l’on pourra toujours y accéder en utilisant d’autres mots-clés ou en se rendant directement auprès du site où l’information est diffusée.

Qui peut demander le déréférencement ?

Vous l’aurez sans aucun doute deviné, le droit au déréférencement ne s’applique que suivant certaines conditions. Pour faire une demande de déréférencement auprès d’un moteur de recherche, le demandeur doit :

  • Être un citoyen européen ;
  • Être une personne physique ;
  • Justifier sa demande par des motifs bien fondés ;
  • Prouver son identité ;

Attention, si l’on en croit l’arrêt de la CJUE du 13 mai 2014, ce droit ne s’applique pas aux entreprises ! Toutefois, ses collaborateurs peuvent exercer ce droit s’ils sont personnellement visés par un contenu.

Comment exercer son droit au déréférencement ?

Si vous désirez exercer votre droit au déréférencement, vous devrez passer par plusieurs étapes. La première consiste à rechercher sur le site officiel du moteur de recherche (dans la page centre d’aide). Généralement, les principaux moteurs de recherche mettent à disposition des internautes un formulaire de demande de suppression de résultats de recherche. Attention, pour que le déréférencement se fasse, adressez votre demande auprès d’un maximum de moteur de recherche.

Pour faire suite à votre demande, le moteur de recherche peut demander des preuves de votre identité. Il ne peut néanmoins le faire que s’il a d’importants doutes. En outre, sachez que le moteur de recherche ne peut pas vous demander des pièces justificatives non pertinentes ou non adéquates à votre demande.

En cas de refus :

Il peut arriver que le moteur de recherche ne donne pas suite à votre demande de déréférencement. Dans ce cas-là, portez votre affaire auprès de la CNIL. Attention, elle ne sera recevable qu’avec les pièces prouvant que vous avez fait des démarches auprès du moteur de recherche. Notez également que même si vous sollicitez la CNIL, rien ne garantit que votre demande obtienne une réponse favorable.

 

CCPA vs RGPD : quelles sont les différences ?

Aux Etats-Unis, plus précisément, dans l’État de Californie, une loi portant sur la protection des données fait depuis quelque temps parler beaucoup d’elle : la California Consumer Privacy Act ou CCPA. À sa lecture, on comprend assez vite qu’elle est fortement inspirée du RGPD.

CCPA : généralité

Depuis l’avènement du numérique et la numérisation des processus au sein des entreprises, ces dernières ont exploité avec plus d’intérêt les informations personnelles des consommateurs afin d’augmenter leurs ventes.

C’est pour protéger les droits des consommateurs californiens, promouvoir le respect de la vie privée et forcer les entreprises à être plus transparentes que la California Consumer Privacy Act (CCPA) a été mise en place. Elle permettra aux consommateurs d’avoir un plus grand contrôle sur leurs données personnelles et offrira la possibilité de demander des comptes aux entreprises qui les manipuleront. Pour synthétiser, la CCPA garantit aux Californiens les droits suivants :

  • Le droit à l’information : les personnes concernées ont le droit de savoir quelles informations personnelles les concernant sont collectées ;
  • Le droit d’accès : un accès facilité aux informations personnelles et la possibilité d’exiger leur effacement ;
  • Le droit de demander l’interdiction de la vente des informations personnelles ;
  • Le droit de profiter d’un service de même qualité à un même prix ;

En plus de promouvoir ces droits, la CCPA interdit aux entreprises de commercialiser les informations personnelles des consommateurs dont l’âge est compris entre 13 et 16 ans sans leur accord express. Pour ce qui est des mineurs de moins de 13 ans, il faudra obtenir le consentement de leurs parents ou de leur tuteur avant de pouvoir vendre leurs informations personnelles.

Les différences du CCPA et du RGPD

Même si la CCPA et le RGPD portent sur un même objet, la protection des données personnelles, ces deux textes diffèrent sur plusieurs points :

La portée juridique

Le RGPD a une portée juridique très large. Il s’applique non seulement aux entreprises européennes, mais également aux entreprises étrangères situées hors de l’UE manipulant des données de résidants européens. La CCPA ne concerne que les entreprises exerçant leurs activités en Californie et qui remplissent au moins une des conditions suivantes :

  • Un chiffre d’affaires brut annuel dépassant les 20 millions de dollars ;
  • La possession de données personnelles de plus de 50 000 consommateurs, ménages ou appareils ;
  • 50 % des revenus annuels issus de la commercialisation de données personnelles ;

En fin de compte, la CCPA a une portée beaucoup plus réduite. Mais cela n’est pas sans avantage puisqu’elle permet aux entreprises de petite taille d’éviter de supporter des obligations souvent difficiles à respecter faute de moyens et de temps.

Les sanctions

Les sanctions prévues par les deux textes sont complètement différentes. Celles prévues par le RGPD sont plus sévères : une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel global ou 20 millions d’euros. La CCPA quant à elle ne peut sanctionner qu’à hauteur d’une amende dont le montant maximal ne doit pas dépasser 7 500 dollars.

Autre différence, la CCPA ne s’applique que pour les cas de violation de données découvertes par les personnes concernées. Ici, le contraste est assez fort puisque dans le RGPD, une entreprise peut toujours être sanctionnée même lorsqu’une violation de données n’a pas été constatée par le propriétaire des données. Pour illustration, le RGPD permet à une autorité de contrôle de sanctionner une entreprise dont le traitement des données n’est pas conforme aux exigences de la nouvelle règlementation, même si aucune plainte n’a été formulée par les propriétaires des données en cause.

Il ressort de tout cela que le RGPD offre une protection plus poussée pour les citoyens que la CCPA. Notez toutefois que tout citoyen californien dont les données ont été violées peut attaquer l’entreprise responsable directement. Une chose impossible dans le cadre du RGPD parce que ce dernier oblige le citoyen dont les données ont été violées à passer par un organisme de contrôle comme la CNIL.

La qualification juridique

Le RGPD ne prend en compte qu’une personne physique. La CCPA quant à elle offre une protection au consommateur, au ménage et aux entités identifiables. De ce fait, elle peut par exemple donner la possibilité à un couple d’agir ensemble pour la même raison.

 

RGPD : Combien de temps peut-on conserver les données ?

La limitation de la durée de conservation des données constitue l’un des grands principes prônés par le RGPD. Le nouveau règlement considère cette limitation temporelle comme un principe fondamental dans la protection des données. Si l’on résume, ce principe peut être scindé en 2 points : les données doivent être conservées sous un format permettant d’identifier la personne concernée, de plus, les données ne peuvent être conservées que le temps de réalisation de la finalité du traitement. Bien évidemment, dans la pratique, la mise en application de ce principe connaît de nombreuses subtilités.

Description du principe de limitation de la durée de conservation

Le principe de la limitation de la durée de conservation est un principe simple : « la durée de conservation des données doit être limitée au strict minimum ». Corolaire, une fois que la finalité du traitement pour lequel les données ont été collectées a été réalisée, la conservation des données n’a plus lieu d’être.

Il faut néanmoins noter qu’il existe de nombreux cas où cette durée est fixée par une loi, un règlement ou par une recommandation de la CNIL. Ce n’est qu’en cas d’imprécision que la durée de conservation des données sera déterminée suivant la situation de fait (le temps de la réalisation de la relation commerciale, le temps de l’opération). Ainsi, avant de fixer des délais de conservation, tout responsable devrait vérifier si des dispositions légales ou règlementaires précisent les délais qu’ils doivent respecter pour le type de traitement réalisé.

Quand supprimer les données ?

Le principe est qu’une fois la finalité du traitement réalisée, le responsable du traitement doit supprimer les données. Il doit également supprimer certaines des données qu’il traite suite à une demande en règle de l’exercice du droit à l’effacement.

Le principe de la limitation de la durée de conservation des données connaît néanmoins de nombreuses exceptions.

Les atténuations au principe de la limitation de la conservation des données

La loi prévoit qu’il est possible, voire obligatoire, pour le responsable du traitement de ne pas procéder à la suppression des données dans des situations particulières :

  • Le traitement est justifié par l’intérêt public, scientifique, historique ou statistique à des fins archivistiques ;
  • Le traitement a reçu le consentement de la personne concernée ;
  • Il existe une obligation légale qui contraint le responsable du traitement à prolonger la durée de conservation des données (durée de prescription légale qui impose l’archivage intermédiaire des données) ;

Outre ces exceptions légales, la CNIL précise dans ses délibérations qu’il est possible de conserver les données au-delà de la durée légale dans certaines circonstances et si des garanties appropriées sont mises en place. Ainsi, la CNIL distingue 3 niveaux d’archivage :

  • L’archivage en base active : la durée de conservation des données correspond à la durée nécessaire à la réalisation de la finalité du traitement ;
  • L’archivage intermédiaire : les données peuvent être conservées au-delà de la durée nécessaire pour la réalisation si la loi prévoit une durée de conservation plus longue, si les données présentent un intérêt administratif (utilité en cas de contentieux, prescription…) et si le traitement présente un intérêt public, historique, scientifique ou statistique ;
  • L’archivage définitif : en raison de leur nature, certaines données ne peuvent faire l’objet d’une destruction. Pour entrer dans un processus d’archivage définitif, les données doivent présenter un intérêt public, statistique, historique ou scientifique important. Les données faisant l’objet d’un archivage définitif sont généralement gérées par les services des archives territorialement compétentes et relèvent du Code du patrimoine ;

L’anonymisation : une autre option à la suppression des données

Une fois que la durée de conservation est passée ou lorsque l’intérêt administratif n’a plus lieu d’être, les données doivent être supprimées ou faire l’objet d’une anonymisation. Le RGPD définit les données anonymes comme :

  • Toutes données ne concernant pas une personne physique identifiée ou identifiable ;
  • Toutes données personnelles ayant fait l’objet d’une opération d’anonymisation ;

Attention, la procédure d’anonymisation doit être efficace. L’efficacité est mesurée par plusieurs critères :

  • L’utilisation des moyens permettant d’identifier la personne concernée ;
  • Les coûts de l’identification et le temps nécessaire à celle-ci, tout en prenant en considération les technologies disponibles au moment du traitement ;
  • L’individualisation : la possibilité d’isoler une partie ou la totalité des informations sur une personne dans un amas de données ;
  • La corrélation : la possibilité de mettre en lien au moins 2 informations se rapportant à une personne ou à un même groupe ;
  • L’inférence : la possibilité de déduire des données identifiantes grâce à la mise en relation de plusieurs données anonymisées ;

Pourquoi le marketing est un élément dans la mise en conformité RGPD ?

Depuis sa mise en vigueur, le RGPD a apporté d’importants changements dans de nombreux secteurs professionnels. Certains secteurs, comme le marketing, sont plus concernés que d’autres. En effet, la nouvelle règlementation sur la protection des données oblige tous les marketeurs à revoir leurs pratiques habituelles. En fait, il n’est pas faux de dire que le marketing constitue un élément principal dans la mise en conformité avec le RGPD. Découvrez pourquoi !

Un état de fait : les marketeurs gèrent constamment des données personnelles

Avant le RGPD, le souci principal des services marketing était d’adapter la stratégie de communication de l’entreprise avec les nouveaux modes de consommation et aux nouvelles méthodes de communication.

Après la mise en place du RGPD, outre la performance, la confidentialité des données traitées devient un élément qu’il est impératif de prendre en considération avant même la conception d’une stratégie marketing. La raison ? Au sein d’une entreprise, ce sont les marketeurs qui gèrent le plus de données personnelles (clients, prospects, fournisseurs…) afin d’établir une stratégie qui génèrera plus de demandes.

Certains experts vont même jusqu’à dire que « gérer des données personnelles est une seconde nature chez les marketeurs ». Corolaire : le rôle du marketeur dans la protection des données client n’est pas à prendre à la légère.

Département marketing : celui qui concentre la quasi-totalité des données traitées par l’entreprise

Pour les besoins de ses missions (augmenter la présence de l’entreprise sur différents canaux de communication, identifier et anticiper les besoins des consommateurs, développer une stratégie commerciale efficace…), les départements marketing sont souvent en possession des données clients et des données prospects de l’entreprise.

Ces données sont généralement stockées dans des outils de marketing automation et dans le Cloud. La procédure d’intégration demande souvent l’aval des départements informatiques afin de respecter les exigences de sécurité acceptées par l’entreprise. Les directions marketing sont de plus en plus conscientes de l’importance d’un système de sécurité offrant une meilleure protection des données et sont également plus informées du cadre légal relatif à leur utilisation ; bien que l’on déplore que beaucoup d’entreprise ne soient pas encore conformes au RGPD.

Service marketing : là où les risques de fuites sont importants

Mais tous les membres d’un service marketing ne gèrent pas les données personnelles. Ainsi, certains marketeurs travaillant en filiale peuvent parfois avoir des stratégies de génération de la demande, certes efficace, mais non conformes à la nouvelle règlementation sur la protection des données.

Le cas le plus courant est ce nouveau salarié qui apporte les fichiers clients de son ancien employeur afin de démarrer une nouvelle campagne. La mise en place d’un processus interne aux normes permet d’éviter ce genre de situation. Toutefois, dans la vie réelle, de telles pratiques sont courantes au sein des entreprises.

Tout cela illustre le fait que le RGPD doit passer par une sensibilisation de tous les collaborateurs, surtout ceux affectés à des missions en lien direct avec le traitement des données. Cette sensibilisation portera sur les enjeux de la nouvelle règlementation, les bonnes pratiques à adopter et les sanctions auxquelles l’entreprise s’expose en cas de non-conformité.

Les marketeurs : acteur majeur de la mise en conformité

En contact permanent avec des données personnelles, les marketeurs devraient donner l’exemple en matière de traitement des données. En fait, les marketeurs devraient être « les champions de la protection et de la gestion des données ».

Des données bien protégées ne signifient pas seulement une conformité le RGPD, cela signifie aussi qu’il y a peu de risque pour que les données de l’entreprise tombent entre les mains de la concurrence. Dans une certaine mesure, la mise en place d’un système de protection des données efficace constitue un gage de performance.

Mais pour devenir « l’acteur majeur de la mise en conformité » au sein de l’entreprise, les marketeurs doivent travailler de concert avec les équipes informatiques et juridiques. Le but sera pour eux de comprendre les subtilités de la règlementation sur la protection des données et ses incidences sur la manière de faire du marketing.

Ils vont également travailler avec le DPO bien entendu en amont de tous projet dans le cadre du Privacy by design.

 

Smartphone, comment protéger au mieux votre vie privée ?

De nos jours, un smartphone contient de nombreuses informations personnelles parfois sensibles ! Documents bancaires, fichiers confidentiels, conversations privées ou encore contenus à caractère sensible, autant d’informations qui peuvent transiter par cet appareil, et peuvent se retrouver entre de mauvaises mains à la suite d’une inattention ou d’un vol.

Fort heureusement, il existe de actions pour protéger efficacement les données confidentielles présentes sur un smartphone et protéger au mieux sa vie privée.

Bien régler la géolocalisation

Saviez-vous qu’environ 30 % des applications mobiles utilisent la géolocalisation, souvent plusieurs fois par minute ? À première vue, informations semblent anodines. Sachez pourtant qu’elles peuvent servir à déterminer vos habitudes et même votre manière de vivre (lieux de vie, restaurant préféré…) et être potentiellement réutilisées à des fins commerciales.

Pour limiter la transmission de votre géolocalisation, le mieux est de paramétrer la géolocalisation de votre smartphone suivant vos besoins. En d’autres mots, désactivez cette fonctionnalité lorsque vous n’en avez pas besoin. La procédure à suivre diffère suivant le système de votre mobile.

Désactiver le suivi publicitaire

Il faut savoir que les données de localisation ainsi que de nombreuses autres informations collectées depuis votre smartphone via les applications que vous utilisez servent à personnaliser des messages publicitaires. Ces messages sont basés sur un identifiant publicitaire contenu dans votre smartphone et qui permet de vous identifier.

Si vous ne renouvelez pas cet identifiant régulièrement, les acteurs de la publicité accumuleront beaucoup plus d’informations sur vos habitudes et pourraient ainsi vous cibler davantage. La procédure à suivre pour renouveler cet identifiant est simple car il existe de nombreux tutoriels en ligne.

Effacer l’historique de navigation

Google garde toujours une trace de vos agissements sur son moteur de recherche. De plus, avec le rachat de Youtube, même les vidéos que vous avez consultées sont enregistrées. Pour une protection maximale de ses données, le mieux reste donc de supprimer votre historique de navigation.

Sur Android, rendez-vous dans « Paramètres Google », puis dans « Historique du compte ». Là, sélectionnez les options que vous désirez désactiver.

Sur iOS, rendez-vous dans « Paramètres », puis cliquez sur « Safari ». Dans le sous-ensemble « Confidentialité et Sécurité », activez l’option « Ne pas me suivre ». Après, appuyez sur « Effacer historique, données de site ».

Arrêter les applications en tâche de fond

Même lorsqu’une application n’est pas utilisée, sachez qu’elle transmettra toujours des informations vous concernant si elle fonctionne en tâche de fond. Il est donc essentiel de les arrêter.

Cacher ses fichiers

Si vous perdez votre smartphone, vos données personnelles tomberont certainement entre les mains d’un tiers. Pour éviter le pire, le mieux est de cacher les fichiers présents sur votre téléphone en créant des dossiers où les fichiers seront invisibles. La procédure est très facile sur Android. Il vous suffit d’utiliser un explorateur de fichier tel que File Explorer.

D’autres applications mobiles vous permettent également de cacher certains fichiers sur votre mobile. Parmi elles on peut citer : Galerie Coffre, Smart Hide Caculator, Hide it Pro, Keepsaf ou encore Andrognito.

D’autres réflexes à avoir

Pour protéger son mobile des risques d’espionnage et pour limiter la transmission des données, d’autres réflexes sont à adopter :

  • Mettre à jour régulièrement le logiciel système du smartphone et les applications qui y sont installées ;
  • N’installer que les applications développées par des éditeurs de confiance ;
  • Ne jamais cliquer sur des pièces jointes ou des messages suspects ;
  • Sauvegarder régulièrement ses données via la synchronisation avec un ordinateur ;
  • Installer des logiciels de protection pour échapper aux virus et aux logiciels espions ;
  • Crypter ses communications en utilisant des applications dédiées (FaceTime, SMSsecure, Telegram, Cyphr…) ;
  • S’offrir un smartphone sécurisé : certains smartphones sont plus performants que d’autres en matière de protection des données ;

 

Google désormais hors la loi à cause de son système publicitaire ?

Récemment, la commission irlandaise de la protection des données (DPC) a annoncé l’ouverture d’une enquête à l’encontre de Google. La raison ? Le géant du web ignorait les limites fixées par le RGPD dans le cadre de ses mécanismes de publicité ciblée. Si la probabilité d’une sanction est grande, l’issue de l’enquête est toujours incertaine puisque cette dernière n’en est qu’à ses débuts.

Pour rappel, en début d’année, la CNIL a déjà prononcé une sanction administrative de 50 millions d’euros à l’encontre de Google. Le cas du géant servira certainement d’exemple aux organisations réticentes à l’idée de se conformer au nouveau règlement.

Le système publicitaire de Google, non conforme au RGPD ?

Google Irlande fait depuis peu l’objet d’une enquête de la DPC, l’équivalent local de la CNIL. L’objet de l’enquête ne porte pas sur un simple détail. Si l’on en croit les dires de l’autorité de régulation, « l’objectif de l’enquête est d’établir si le traitement des données à caractère personnel effectué à chaque étape d’une opération publicitaire est conforme aux dispositions du RGPD. Les principes de transparence, ainsi que les pratiques de conservation des données de Google, seront examinés.

Il faut noter que dans cette affaire, la DPC ne s’est pas saisie d’elle-même. L’ouverture de cette enquête fait suite à un nombre relativement important de plaintes dont une en particulier a fait parler d’elle. Il s’agit de celle déposée par Johnny Ryan, du navigateur Brave.

Quel est l’objet de la plainte ?

C’est donc la plainte de Brave, le navigateur qui se veut être une alternative plus respectueuse de la vie privée que Google, qui a tout déclenché. Brave explique notamment qu’à chaque fois qu’un internaute visite un site et voit s’afficher dessus une publicité comportementale, c’est qu’ailleurs, ses données personnelles ont été diffusées à des entreprises spécialisées dans la technologie publicitaire. Outre le contenu consulté, des données personnelles peuvent être concernées : la géolocalisation, la description de l’appareil, l’adresse IP… Des données sensibles peuvent même être exposées : origine ethnique, courant politique, orientation sexuelle…

Quelle est la sanction possible ?

Puisque l’enquête de la DPC n’en est qu’à ses débuts, il est difficile de dire si Google sera sanctionné ou non. Il reste qu’en cas de condamnation, le RGPD donne la possibilité au DPC de prononcer des sanctions financières pouvant représenter 4 % du chiffre d’affaires mondial de l’entreprise incriminée. Une telle sanction ne serait pas minime, même pour Google dont le chiffre d’affaires annuel avoisine la centaine de milliards de dollars.

Que tirer de toute cette histoire ? Et bien, le cas de Google devrait inciter les entreprises non conformes à se mettre en conformité avec le RGPD. D’autant plus que depuis le début de l’année, les sanctions commencent à pleuvoir. Pour le cas de la France, la CNIL se montre de plus en plus sévère avec les contrevenants. Un choix compréhensible si l’on pense à l’augmentation du nombre de plaintes qu’elle a récemment reçues (plus de 11 000 plaintes en 2018, soit une augmentation de plus de 30 % par rapport à 2017).

 

RGPD : après la tolérance, les sanctions commencent à tomber

Le RGPD est entré pleinement en vigueur le 25 mai 2018. Après cette première année de mise en application, le constat est que beaucoup d’entreprises ne respectent pas encore les dispositions du nouveau règlement sur la protection des données. Cette première année a également été marquée par la tolérance des organes de contrôles.

Mais depuis le mois de mai, les sanctions commencent à tomber et elles sont de plus en plus importantes. La situation est la même dans tous les pays d’Europe, quoique certains, dont la France, sont plus sévères que d’autres.

Sanctions pour manquement au RGPD : une tendance généralisée

Un an après la mise en vigueur du RGPD, on constate qu’un peu partout en Europe, les sanctions pour manquement aux dispositions de la nouvelle réglementation commencent à tomber. Malgré tout, il y a des différences flagrantes quant à la sévérité des sanctions prononcées. Dans certains pays comme l’Autriche, le Portugal, la Pologne et les Pays-Bas, les amendes imposées au titre du RGPD ont été limitées.

Mais, à l’instar de l’Allemagne, la France a été plus sévère. Et pour cause, sur la dernière année, la CNIL a infligé d’importantes amendes notamment à l’encontre de grandes sociétés. Parmi ces dernières Bouygues Telecom qui a écopé d’une amende de 250 000 euros pour « manque de mesures techniques sécurisant les données des clients ». D’autres entreprises comme Uber, Optical Center ou encore Dailymotion ont été également sanctionnées. Mais, l’amende la plus conséquente a été prononcée à l’encontre de Google. Le géant du web a écopé d’une amende de 50 millions d’euros pour non-respects des obligations imposées par le RGPD liées à la confidentialité des données. Notons que les sanctions touchent également les petites et moyennes entreprises.  En outre une amende de 20K€ a été dernièrement infligée à une TPE de 9 salariés.

Quelles sanctions pour manquement au RGPD ?

Au niveau européen, malgré l’abondance des sanctions, leur montant reste souvent modeste. Mais cette situation est amenée à changer dans un avenir proche puisque le nombre d’incidents liés au non-respect du RGPD a grandement augmenté. Si l’on en croit une étude de Decideo, plus de 95 000 plaintes ont été déposées depuis mai 2018 auprès des autorités de contrôle.

Ces éléments nous permettent de dire que c’est le moment de se pencher sérieusement sur la mise conformité de son organisation. Cela vous évitera les sanctions. Pour rappel, le RGPD a instauré 2 niveaux de sanctions administratives :

  • Une amende correspondant à 2 % du chiffre d’affaires, ou 10 millions d’euros d’amende peuvent être appliqués dans les cas suivants :
    • manquement aux obligations incombant au responsable du traitement et au sous-traitant
    • manquement aux obligations incombant à l’organisme de certification
    • manquement aux obligations incombant à l’organisme chargé du suivi des codes de conduite
  • Une amende correspondant à 4 % du chiffre d’affaires pour les entreprises ou 20 millions d’euros d’amende en cas de :
    • manquements liés au principe du consentement de la personne concernée;
    • manquement aux droits des personnes concernées;
    • manquement concernant le transfert des données
    • non-respect d’une injonction… ;
  • Outre les amendes, on oublie souvent que le non-respect des dispositions du RGPD est souvent nuisible pour la réputation d’une entreprise. Une situation qui peut facilement entraîner une perte de confiance des clients et un manque de compétitivité face à la concurrence.

Mise en demeure par la CNIL dans le cadre du RGPD : signification et suites possibles

En France, c’est la CNIL qui est chargée de protéger le consommateur contre tout usage abusif des données informatiques le concernant. Dans le cadre du RGPD, elle dispose d’une chaîne répressive complète qui lui permet de contrôler et de sanctionner les organismes ne respectant pas les lois et règlements en vigueur sur la protection des données personnelles. Les sanctions qu’elle peut prendre varient en fonction de la gravité de l’infraction. Mais dans tous les cas, avant de prononcer une sanction, la CNIL adresse une mise en demeure à l’organisme contrevenant. La suite dépend de la réponse de cette dernière. Lire la suite