Articles

L’exploitation des données personnelles des citoyens européens est régie par le règlement général sur protection des données ou RGPD. Ce règlement a été mis en place pour consolider les droits des personnes (droit à l’oubli, portabilité…), responsabiliser tous les acteurs réalisant du traitement de données personnelles et améliorer la régulation des données surtout sur le plan international.
Les dispositions du RGPD ont vocation à s’appliquer à toute organisation manipulant des données personnelles de résidents européens ou de personnes sur le territoire de l’UE. Et les collectivités territoriales n’échappent pas à cette règle. Pourtant, les derniers chiffres mettent en relief qu’un bon nombre de communes ne respectent pas encore le RGPD.

Plus de la majorité des communes dans l’illégalité

Toutes les dispositions du RGPD sont pleinement applicables depuis mai 2018. Malgré tout, si l’on en croit une étude récente de la CNIL, plus de la moitié des communes françaises sont encore dans l’illégalité. En effet, les chiffres de cette autorité de contrôle montrent que 60 % des communes n’ont pas encore nommé de DPO. Il s’agit plus précisément de 22 257 communes sur 35 000.
Pourquoi ces chiffres ? D’une part, bon nombre d’élus considèrent cette obligation comme anodine. Pourtant, c’est le premier pas à franchir pour une mise en conformité. Il faut rappeler qu’au sein des organisations où sa nomination est obligatoire, le DPO a pour principales missions d’encadrer la politique de protection des données personnelles et d’assurer la communication avec la CNIL. D’autre part, force est de constater que la mise en application du RGPD nécessite desfonds. Budget que bon nombre de communes n’ont pas encore prévus !

Les communes, particulièrement concernées par le RGPD

Malgré ces chiffres décevants, les communes restent particulièrement concernées par les dispositions du RGPD. Et pour cause, elles génèrent au quotidien une quantité importante de données personnelles (état civil, listes électorales, inscriptions scolaires, vidéoprotection…). En outre, avec le développement de l’administration électronique, les collectivités recourent de plus en plus aux technologies et aux usages numériques (open data, compteurs communiquants, lecture automatique de plaques d’immatriculation…).
Or, ce phénomène implique une exposition plus importante au risque de cyberattaque et donc aux abus et aux fuites de données. Dans une certaine mesure, le RGPD tombe à point nommé. Tout d’abord, il augmente les responsabilités des communes en matière de traitement et de protection des données personnelles. Ensuite, il les oblige à intégrer les principes de protection des données dès la conception des traitements de ces dernières. Enfin, il rend plus facile et plus simple la gouvernance des données en supprimant le régime déclaratif.

Les municipales, soumises à un encadrement spécifique du RGPD

D’après le calendrier électoral, les élections municipales se tiendront le 15 et 22 mars 2020. À l’approche de ces dates, la gestion des données des électeurs constitue une question cruciale. Il est important de garder à l’esprit qu’aucune campagne électorale ne peut se faire sans traitement de données (utilisation des listes électorales précédentes, gestion de base de données de sympathisants, prospection en ligne…).
Si c’était avant, récupérer le nom ou le prénom d’un électeur au cours d’un meeting ou d’un porte-à-porte ne serait pas un grand problème. Aujourd’hui, avec l’application du RGPD, de telles pratiques doivent se faire dans le respect de certaines règles. Par exemple, si l’on se base sur l’article 12 du RGPD, les candidats doivent au moment de récupérer des données personnelles auprès des personnes concernées mentionner l’objectif pour lequel ces données ont été collectées et surtout respecter cette finalité.

Position de la CNIL

Pour rappel, en France, la CNIL est le régulateur des données personnelles. Sa mission s’articule autour de 4 points : informer et protéger les droits, accompagner et conseiller les organisations dans le processus de mise en conformité, anticiper et innover, contrôler et sanctionner en cas d’écart.
Face à la passivité des communes, la CNIL n’a pas encore engagé de procédure contentieuse contre les collectivités en illégalité. Elle prône au contraire l’accompagnement. Toutefois, dans ses dernières communications, la CNIL a affirmé se « montrer vigilante sur l’utilisation des données pendant les campagnes municipales ». Une forte sensibilisation des nouveaux élus est aussi en prévision après la tenue des élections.

Les données sont au cœur du fonctionnement des territoires. Chaque jour, les collectivités en produisent et consultent (état civil, gestion des déchets…) afin de mener à bien leurs missions, d’évaluer les politiques mises en œuvre et bien évidemment, de faire fonctionner les services urbains (transports, vie culturelle, politique sociale…).
À partir de 2007, un mouvement est apparu pour promouvoir l’ouverture de certaines informations publiques afin que tout le monde puisse les exploiter, les réinterpréter et en faire des services pratiques. Ce mouvement, aussi connu sous le nom d’« open data », ne concerne pas seulement les administrations mais quasiment toutes les organisations manipulant des données (associations, entreprises, fondations caritatives…). En quoi consiste-t-il réellement et est-ce compatible avec le RGPD ?

Open data : kesako ?

L’open data ou “données ouvertes”, est un mouvement consistant à mettre en ligne des données (non personnelles, c’est-à-dire, ne comportant aucune information sur des individus) pour en faciliter l’exploitation par tous. Une donnée est ouverte à partir du moment où elle remplit plusieurs critères :
– Techniques : les données sont fournies dans des conditions permettant leur réutilisation, leur redistribution et leur mélange de manière aisée avec d’autres ensembles de données ;
– Juridiques : tout le monde est libre d’accéder, de modifier, de combiner et de partager les données, même à des fins commerciales. Il ne doit pas y avoir de discrimination concernant les fins d’utilisation ;
– Économiques : les données sont accessibles gratuitement ou mise à disposition à un très faible coût. Idéalement, le prix des données ne devrait pas excéder le coût de production de la donnée demandée ;

Quels sont les avantages de l’open data ?

L’open data offre divers avantages. Pour les pouvoirs publics, il implique :
Une augmentation de la qualité des données : avec l’open data, le service public est encouragé à améliorer la qualité des données qu’il met à disposition du public grâce à des mécanismes de feedback ;
Un renforcement de la légitimité : étant donné que les informations gérées par les organisations sont utilisées à d’autres fins, cela apporte de la transparence et une plus grande confiance des administrés ;
Une plus grande ouverture des administrations sur l’extérieur : l’open data oblige l’administration à interagir davantage avec des partenaires externes ;
Pour l’économie, selon la Commission européenne, l’open data apporterait plus de 40 milliards d’euros de bénéfices par an à l’Europe. Le potentiel économique ne se limite pas seulement à la réutilisation et à la réexploitation des informations du secteur public pour la création de nouveaux produits et services, mais également dans le gain de productivité et d’efficacité des services publics.
Enfin, l’open data présente de nombreux avantages pour les citoyens et la démocratie. Il encourage notamment la participation citoyenne puisque la mise à disposition des données permet de mieux analyser les choix politiques, d’examiner les faits et donc développer des opinions.

Open data et RGPD : une conciliation formelle

L’open data semble à première vue, inconciliable avec les principes prônés par le RGPD étant donné que le premier encourage le partage des données alors que les derniers renforcent leur protection, et donc leur confinement. Pourtant, une analyse de la législation en vigueur sur l’open data met en relief l’existence d’une conciliation formelle avec les principes du RGPD.
En effet, dans les faits, la loi Lemaire et l’article L.321-1-2 du CRPA semblent avoir anticipé les principes du RGPD en imposant que les données soient dépourvues des mentions à caractère personnel avant leur mis à disposition au public. En d’autres mots, les open data doivent être anonymisées.

L’anonymisation des données et les risques qu’elle engendre

S’il est donc clair que les open data doivent être anonymisées avant d’être mis à disposition du public, force est de constater que cette conciliation formelle soulève quelques problématiques. En effet, l’application des principes du RGPD conduit à une certaine occultation des données publiques ainsi qu’à un ralentissement de leur mise à disposition.
À part cela, l’anonymisation des données réduira toujours dans une certaine mesure la qualité des données. Au point de les rendre inutiles ? Quel serait l’intérêt de consulter des données nettoyées de toutes informations personnelles ? Bref, à l’heure où l’on parle, si open data et RGPD sont formellement conciliés, un long travail reste encore à faire pour trouver le parfait équilibre entre les deux notions. Cela est impératif dans la mesure où l’on ne peut nier aujourd’hui la nécessité de renforcer la sécurité des données mais également l’utilité de l’ouverture de certaines données à tous.

Actuellement, on entend de plus en plus parler de « Health data hub » lorsqu’il est question de problème de santé numérique. Le Health data hub est une plateforme d’exploitation des données de santé créée dans le but de faciliter l’exploitation de ces dernières, pour les mettre « pleinement au service du plus grand nombre dans le respect de l’éthique et des droits fondamentaux des citoyens ».

Aux origines du Health data hub

En 2016, le système national des données de données de santé (SNDS) est créé. Il représente une avancée considérable pour analyser et améliorer la santé de la population. En le mettant en place le législateur a souhaité ouvrir à tout le monde l’accès aux données de santé collectées par les personnes publiques. Les finalités étant de contribuer à :

  • L’information sur la santé ;
  • La mise en œuvre des politiques de santé ;
  • Les connaissances de dépenses de santé ;
  • L’information des professionnels et des établissements sur leurs activités ;
  • L’innovation en matière de santé et de prise en charge médico-sociale ;
  • La veille à la sécurité sanitaire ;

Le Health data hub a été pensé pour enrichir le SNDS et l’harmoniser avec les principes prônés par le RGPD. En effet, actuellement, les données du SNDS sont encore partielles, car seules les données collectées par l’Assurance Maladie (base SNIIRAM) et les hôpitaux (base PMSI) sont disponibles. Les données (anonymisées) du Health data hub quant à elles pourront provenir de diverses sources : des établissements de santé publics ou privés et même des médecins de ville.

Health data hub : concrètement

Outre le recueil des données cliniques, l’Health data hub a pour objectif de faciliter l’exploitation des données du SNDS. Plus précisément, il s’agit de faciliter les interactions entre les producteurs des données de santé, les utilisateurs et les citoyens. Cela est possible grâce aux soutiens des projets innovants dans le domaine de la santé et au partage avec les différents acteurs du monde de la santé.
Plus concrètement, l’Health data hub se manifeste comme une plateforme technologique (une sorte de guichet unique), de mise à disposition des données de santé et dont l’accès est contrôlé.

Où en est-on aujourd’hui ?

L’objectif final du Health data hub est de développer un réseau de Hub locaux à l’échelle du territoire français. En 2018, plusieurs appels à projets ont été lancés pour exécuter le programme. Ils étaient basés sur 4 thématiques : la recherche, l’information et la prise en charge du patient, l’appui aux professionnels de santé et enfin le système de santé.
Les résultats de ces appels à projets ont été publiés le 16 avril 2019 et sur les 189 projets proposés, 10 ont été choisis sur la base de la maturité, du caractère innovant, du retour sur investissement, de la contribution au catalogue des données du hub et de l’importance du retour sur investissement. Malgré tout, les retombées concrètes de ces projets restent encore à voir.

Avec l’augmentation exponentielle des données collectées en ligne , le RGPD arrive à point nommé et vient apporter des limites claires au processus de traitement des données à caractère personnel tout en renforçant les droits des personnes concernées. Le droit à la rectification constitue sans doute l’un des plus importants d’entre eux. Il vous permet de demander la rectification des informations inexactes ou incomplètes vous concernant. Cela garantit qu’une entreprise ou une entité publique n’utilise ou ne diffuse de fausses informations sur vous.
Mais quelles sont les conditions nécessaires pour mettre en œuvre ce droit ? Quelles sont les étapes à suivre ? Tour d’horizon sur le droit à la rectification comme le conçoit le RGPD.

Le droit à la rectification : définition

L’article 16 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».
En résumé, le droit à la rectification vous permet de corriger les données inexactes vous concernant (nom, âge, adresse…), ou de compléter les données en rapport avec la finalité du traitement. Et quand le responsable du traitement reçoit une demande de rectification, il est tenu d’apporter les modifications nécessaires dans les plus brefs délais. Le but est d’éviter une mauvaise utilisation des données.
Notez que la modification des données d’une personne décédée est possible. Le droit d’en faire la demande appartient aux héritiers du défunt. La majorité des informations nominatives peuvent être modifiées : nom, prénom, photos du visage, date de naissance, adresse électronique…

Quelles sont les conditions à respecter pour exercer le droit à la rectification ?

L’exercice du droit à la rectification est soumis à plusieurs conditions. Tout d’abord, pour que la demande soit validée par le responsable du traitement, la personne concernée doit apporter la preuve de son identité. Après, elle doit prouver que les données la concernant sont bien incomplètes, équivoques, périmées ou inexactes.
Une fois que le responsable du traitement a confirmé l’inexactitude des données et l’identité de la personne concernée, il doit procéder à la rectification et apporter la preuve que les modifications nécessaires ont bien été faites. La demande de confirmation doit être adressée au demandeur (Conseil d’État, 10ème et 9ème sous-sections réunies, 21/05/2008, 301 178).

Comment exercer le droit à la rectification dans la pratique ?

Si vous voulez modifier une donnée personnelle erronée vous concernant, la première chose à faire est d’identifier l’organisme à contacter : le premier responsable du traitement. Pour identifier ce dernier, rendez-vous dans certaines pages du site où vos informations sont exposées : politique de confidentialité, politique vie privée, mention légale… Une fois que vous aurez identifié le responsable du traitement, adressez-lui une requête. Vous trouverez des exemples de requêtes sur le site de la CNIL.
Vous pouvez faire votre demande de rectification par voie électronique (formulaire, adresse mail…) ou par courrier. Notez que le responsable du traitement peut très bien demander des documents prouvant votre identité s’il a des doutes raisonnables sur votre identité. Malgré tout, il lui est interdit de demander des pièces justificatives non indispensables pour la réalisation de votre demande.
Si le responsable du traitement n’apporte pas les modifications nécessaires suite à votre demande de rectification, vous avez la possibilité de porter votre affaire auprès de la CNIL. Afin de préparer cette procédure, veillez à conserver une copie des démarches que vous avez réalisées auprès du responsable du traitement (capture d’écran, copie du courriel si demande faite par voie électronique, accusé de réception du courrier…). Attention, il est important de rappeler que l’exercice du droit de rectification est gratuit. Toutes les charges reviennent aux responsables du traitement et aux sous-traitants.

Le droit à la rectification est limité

Comme pour les autres droits prônés par le RGPD, sachez que le droit à la rectification est limité. Ainsi, il est impossible de l’exercer pour certaines données : données journalistiques, données littéraires ou artistiques. À part cela, ce droit ne peut également pas être exercé si le traitement porte sur des fichiers de police, de renseignement, de gendarmerie et de FICOBA (Fichier National des comptes bancaires et assimilés).
Si vous désirez modifier ces types de données, vous devrez passer par la CNIL. La CNIL réalisera les démarches de demande de rectification à votre place. Le droit d’accès indirect via la CNIL a été mis en place pour assurer la confidentialité des enquêtes et le droit de certains responsables du traitement à garder des informations.

Le RGPD a été mis en place pour offrir aux usagers une meilleure protection de leurs données personnelles. Certaines de ces dernières jouissent d’une protection plus accrue, il s’agit des données sensibles. Le principe est que le traitement des données sensibles est interdit. La raison ? Leur traitement présente un risque plus important pour les droits et libertés des personnes concernées. Malgré tout, cette notion est limitée. En fait, le RGPD prévoit dans ses articles 9 et 10 des exceptions à cette interdiction de traitement.

Données sensibles : définition

Les données constituent une catégorie particulière de données à caractère personnel. Elles révèlent des informations liées à une personne concernée :

  • L’origine ethnique ou raciale ;
  • Les convictions religieuses ou philosophiques ;
  • Le traitement des données génétiques ;
  • Les opinions politiques ;
  • L’appartenance syndicale ;
  • La santé ;
  • La vie sexuelle ou l’orientation sexuelle ;
  • Les données biométriques qui permettent l’identification d’une personne ;
  • Les données sur les infractions ou condamnations

Cette liste a la vertu de définir clairement le périmètre des données sensibles. Toutefois, en cas de doute, il suffit de garder à l’esprit que les données sensibles sont des données dont le traitement peut entrainer un risque important pour les personnes concernées. De ce fait, le mieux est d’en faire une interprétation large pour une meilleure protection et pour éviter tout écart à la loi (CJCE, 6 nov. 2003, Comm. com. élec. 2004).

Traitement d’une donnée sensible : une interdiction de principe

Le RGPD est très clair : le traitement des données sensibles est interdit. C’est-à-dire qu’il est interdit de recueillir et d’utiliser ces données. Cette interdiction de principe s’applique même dans le cadre de traitements temporaires (conservation temporaire, enregistrement temporaire, extraction temporaire…).

Les exceptions au principe d’interdiction du traitement des données sensibles

L’interdiction de traitement des données sensibles est un principe dont les exceptions sont prévues par le paragraphe 2 de l’article 9 du RGPD. Ce paragraphe énumère 10 exceptions. Ainsi, le traitement des données sensibles est autorisé :

  • Si la personne concernée a donné son consentement exprès. Ce consentement doit être écrit et la personne doit avoir été informée au préalable. En outre, le responsable du traitement doit pouvoir en apporter la preuve ;
  • Si le traitement est indispensable à l’exécution des obligations ou des droits propres au responsable du traitement ou à la personne concernée pour les matières liées au droit du travail, la sécurité sociale et la protection sociale
  • Si le traitement est nécessaire pour la sauvegarde de la vie de la personne concernée ou d’une autre personne, surtout dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • Si les traitements concernent les membres et adhérents d’une fondation, de tout organisme à but non lucratif ou une association ethnique, religieuse, politique, philosophique ou syndicale ;
  • Si les données ont été rendues publiques par la personne concernée ;
  • Si les données sont nécessaires à la contestation ou à la défense d’un droit devant la justice ;
  • Si l’utilisation des données présente un intérêt public important et autorisé par la CNIL ;
  • Lorsque le traitement est nécessaire pour la médecine préventive ou du travail et concerne directement la capacité d’une personne à travailler, les diagnostics médicaux, la prise en charge sociale, la prise en charge sanitaire ou la gestion des systèmes et des services de santé ou de protection sociale ;
  • Lorsque le traitement est justifié par des motifs d’intérêt public dans le domaine de la santé publique (protection contre les menaces sanitaires transfrontalières, garantir des normes élevées de qualité et de sécurité de soins de santé…) ;
  • Si le traitement présente un intérêt public à des fins de recherches historiques, scientifiques ou statistiques ;

 

Le droit au déréférencement constitue l’un des droits prônés par le RGPD. Sommairement, ce droit permet à toute personne concernée de demander à un moteur de recherche qu’un contenu qui lui porte préjudice ne lui soit plus associé lors d’une recherche d’un internaute. Mais comment mettre en œuvre le droit au déréférencement ? Comment supprimer des informations sur les moteurs de recherche ?

Qu’est-ce que le droit au déréférencement ?

Le droit au déréférencement est la possibilité pour une personne de demander à un moteur de recherche de supprimer certains résultats (généralement, des informations préjudiciables) de recherche liés à son nom et son prénom. Il a été validé par un arrêt de la CJUE en date du 13 mai 2014, cela dans le but de répondre aux inquiétudes des citoyens européens quant au sort des données qui les concernent circulant sur le web. Des préoccupations bien fondées car avec l’augmentation démesurée des pages web mises en ligne, il devient de plus en plus difficile de maîtriser son image.

Mais que l’on ne s’y trompe pas, le droit au déréférencement est limité puisque le contenu original reste inchangé. C’est-à-dire que l’on pourra toujours y accéder en utilisant d’autres mots-clés ou en se rendant directement auprès du site où l’information est diffusée.

Qui peut demander le déréférencement ?

Vous l’aurez sans aucun doute deviné, le droit au déréférencement ne s’applique que suivant certaines conditions. Pour faire une demande de déréférencement auprès d’un moteur de recherche, le demandeur doit :

  • Être un citoyen européen ;
  • Être une personne physique ;
  • Justifier sa demande par des motifs bien fondés ;
  • Prouver son identité ;

Attention, si l’on en croit l’arrêt de la CJUE du 13 mai 2014, ce droit ne s’applique pas aux entreprises ! Toutefois, ses collaborateurs peuvent exercer ce droit s’ils sont personnellement visés par un contenu.

Comment exercer son droit au déréférencement ?

Si vous désirez exercer votre droit au déréférencement, vous devrez passer par plusieurs étapes. La première consiste à rechercher sur le site officiel du moteur de recherche (dans la page centre d’aide). Généralement, les principaux moteurs de recherche mettent à disposition des internautes un formulaire de demande de suppression de résultats de recherche. Attention, pour que le déréférencement se fasse, adressez votre demande auprès d’un maximum de moteur de recherche.

Pour faire suite à votre demande, le moteur de recherche peut demander des preuves de votre identité. Il ne peut néanmoins le faire que s’il a d’importants doutes. En outre, sachez que le moteur de recherche ne peut pas vous demander des pièces justificatives non pertinentes ou non adéquates à votre demande.

En cas de refus :

Il peut arriver que le moteur de recherche ne donne pas suite à votre demande de déréférencement. Dans ce cas-là, portez votre affaire auprès de la CNIL. Attention, elle ne sera recevable qu’avec les pièces prouvant que vous avez fait des démarches auprès du moteur de recherche. Notez également que même si vous sollicitez la CNIL, rien ne garantit que votre demande obtienne une réponse favorable.

 

Aux Etats-Unis, plus précisément, dans l’État de Californie, une loi portant sur la protection des données fait depuis quelque temps parler beaucoup d’elle : la California Consumer Privacy Act ou CCPA. À sa lecture, on comprend assez vite qu’elle est fortement inspirée du RGPD.

CCPA : généralité

Depuis l’avènement du numérique et la numérisation des processus au sein des entreprises, ces dernières ont exploité avec plus d’intérêt les informations personnelles des consommateurs afin d’augmenter leurs ventes.

C’est pour protéger les droits des consommateurs californiens, promouvoir le respect de la vie privée et forcer les entreprises à être plus transparentes que la California Consumer Privacy Act (CCPA) a été mise en place. Elle permettra aux consommateurs d’avoir un plus grand contrôle sur leurs données personnelles et offrira la possibilité de demander des comptes aux entreprises qui les manipuleront. Pour synthétiser, la CCPA garantit aux Californiens les droits suivants :

  • Le droit à l’information : les personnes concernées ont le droit de savoir quelles informations personnelles les concernant sont collectées ;
  • Le droit d’accès : un accès facilité aux informations personnelles et la possibilité d’exiger leur effacement ;
  • Le droit de demander l’interdiction de la vente des informations personnelles ;
  • Le droit de profiter d’un service de même qualité à un même prix ;

En plus de promouvoir ces droits, la CCPA interdit aux entreprises de commercialiser les informations personnelles des consommateurs dont l’âge est compris entre 13 et 16 ans sans leur accord express. Pour ce qui est des mineurs de moins de 13 ans, il faudra obtenir le consentement de leurs parents ou de leur tuteur avant de pouvoir vendre leurs informations personnelles.

Les différences du CCPA et du RGPD

Même si la CCPA et le RGPD portent sur un même objet, la protection des données personnelles, ces deux textes diffèrent sur plusieurs points :

La portée juridique

Le RGPD a une portée juridique très large. Il s’applique non seulement aux entreprises européennes, mais également aux entreprises étrangères situées hors de l’UE manipulant des données de résidants européens. La CCPA ne concerne que les entreprises exerçant leurs activités en Californie et qui remplissent au moins une des conditions suivantes :

  • Un chiffre d’affaires brut annuel dépassant les 20 millions de dollars ;
  • La possession de données personnelles de plus de 50 000 consommateurs, ménages ou appareils ;
  • 50 % des revenus annuels issus de la commercialisation de données personnelles ;

En fin de compte, la CCPA a une portée beaucoup plus réduite. Mais cela n’est pas sans avantage puisqu’elle permet aux entreprises de petite taille d’éviter de supporter des obligations souvent difficiles à respecter faute de moyens et de temps.

Les sanctions

Les sanctions prévues par les deux textes sont complètement différentes. Celles prévues par le RGPD sont plus sévères : une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel global ou 20 millions d’euros. La CCPA quant à elle ne peut sanctionner qu’à hauteur d’une amende dont le montant maximal ne doit pas dépasser 7 500 dollars.

Autre différence, la CCPA ne s’applique que pour les cas de violation de données découvertes par les personnes concernées. Ici, le contraste est assez fort puisque dans le RGPD, une entreprise peut toujours être sanctionnée même lorsqu’une violation de données n’a pas été constatée par le propriétaire des données. Pour illustration, le RGPD permet à une autorité de contrôle de sanctionner une entreprise dont le traitement des données n’est pas conforme aux exigences de la nouvelle règlementation, même si aucune plainte n’a été formulée par les propriétaires des données en cause.

Il ressort de tout cela que le RGPD offre une protection plus poussée pour les citoyens que la CCPA. Notez toutefois que tout citoyen californien dont les données ont été violées peut attaquer l’entreprise responsable directement. Une chose impossible dans le cadre du RGPD parce que ce dernier oblige le citoyen dont les données ont été violées à passer par un organisme de contrôle comme la CNIL.

La qualification juridique

Le RGPD ne prend en compte qu’une personne physique. La CCPA quant à elle offre une protection au consommateur, au ménage et aux entités identifiables. De ce fait, elle peut par exemple donner la possibilité à un couple d’agir ensemble pour la même raison.

 

La limitation de la durée de conservation des données constitue l’un des grands principes prônés par le RGPD. Le nouveau règlement considère cette limitation temporelle comme un principe fondamental dans la protection des données. Si l’on résume, ce principe peut être scindé en 2 points : les données doivent être conservées sous un format permettant d’identifier la personne concernée, de plus, les données ne peuvent être conservées que le temps de réalisation de la finalité du traitement. Bien évidemment, dans la pratique, la mise en application de ce principe connaît de nombreuses subtilités.

Description du principe de limitation de la durée de conservation

Le principe de la limitation de la durée de conservation est un principe simple : « la durée de conservation des données doit être limitée au strict minimum ». Corolaire, une fois que la finalité du traitement pour lequel les données ont été collectées a été réalisée, la conservation des données n’a plus lieu d’être.

Il faut néanmoins noter qu’il existe de nombreux cas où cette durée est fixée par une loi, un règlement ou par une recommandation de la CNIL. Ce n’est qu’en cas d’imprécision que la durée de conservation des données sera déterminée suivant la situation de fait (le temps de la réalisation de la relation commerciale, le temps de l’opération). Ainsi, avant de fixer des délais de conservation, tout responsable devrait vérifier si des dispositions légales ou règlementaires précisent les délais qu’ils doivent respecter pour le type de traitement réalisé.

Quand supprimer les données ?

Le principe est qu’une fois la finalité du traitement réalisée, le responsable du traitement doit supprimer les données. Il doit également supprimer certaines des données qu’il traite suite à une demande en règle de l’exercice du droit à l’effacement.

Le principe de la limitation de la durée de conservation des données connaît néanmoins de nombreuses exceptions.

Les atténuations au principe de la limitation de la conservation des données

La loi prévoit qu’il est possible, voire obligatoire, pour le responsable du traitement de ne pas procéder à la suppression des données dans des situations particulières :

  • Le traitement est justifié par l’intérêt public, scientifique, historique ou statistique à des fins archivistiques ;
  • Le traitement a reçu le consentement de la personne concernée ;
  • Il existe une obligation légale qui contraint le responsable du traitement à prolonger la durée de conservation des données (durée de prescription légale qui impose l’archivage intermédiaire des données) ;

Outre ces exceptions légales, la CNIL précise dans ses délibérations qu’il est possible de conserver les données au-delà de la durée légale dans certaines circonstances et si des garanties appropriées sont mises en place. Ainsi, la CNIL distingue 3 niveaux d’archivage :

  • L’archivage en base active : la durée de conservation des données correspond à la durée nécessaire à la réalisation de la finalité du traitement ;
  • L’archivage intermédiaire : les données peuvent être conservées au-delà de la durée nécessaire pour la réalisation si la loi prévoit une durée de conservation plus longue, si les données présentent un intérêt administratif (utilité en cas de contentieux, prescription…) et si le traitement présente un intérêt public, historique, scientifique ou statistique ;
  • L’archivage définitif : en raison de leur nature, certaines données ne peuvent faire l’objet d’une destruction. Pour entrer dans un processus d’archivage définitif, les données doivent présenter un intérêt public, statistique, historique ou scientifique important. Les données faisant l’objet d’un archivage définitif sont généralement gérées par les services des archives territorialement compétentes et relèvent du Code du patrimoine ;

L’anonymisation : une autre option à la suppression des données

Une fois que la durée de conservation est passée ou lorsque l’intérêt administratif n’a plus lieu d’être, les données doivent être supprimées ou faire l’objet d’une anonymisation. Le RGPD définit les données anonymes comme :

  • Toutes données ne concernant pas une personne physique identifiée ou identifiable ;
  • Toutes données personnelles ayant fait l’objet d’une opération d’anonymisation ;

Attention, la procédure d’anonymisation doit être efficace. L’efficacité est mesurée par plusieurs critères :

  • L’utilisation des moyens permettant d’identifier la personne concernée ;
  • Les coûts de l’identification et le temps nécessaire à celle-ci, tout en prenant en considération les technologies disponibles au moment du traitement ;
  • L’individualisation : la possibilité d’isoler une partie ou la totalité des informations sur une personne dans un amas de données ;
  • La corrélation : la possibilité de mettre en lien au moins 2 informations se rapportant à une personne ou à un même groupe ;
  • L’inférence : la possibilité de déduire des données identifiantes grâce à la mise en relation de plusieurs données anonymisées ;

Depuis sa mise en vigueur, le RGPD a apporté d’importants changements dans de nombreux secteurs professionnels. Certains secteurs, comme le marketing, sont plus concernés que d’autres. En effet, la nouvelle règlementation sur la protection des données oblige tous les marketeurs à revoir leurs pratiques habituelles. En fait, il n’est pas faux de dire que le marketing constitue un élément principal dans la mise en conformité avec le RGPD. Découvrez pourquoi !

Un état de fait : les marketeurs gèrent constamment des données personnelles

Avant le RGPD, le souci principal des services marketing était d’adapter la stratégie de communication de l’entreprise avec les nouveaux modes de consommation et aux nouvelles méthodes de communication.

Après la mise en place du RGPD, outre la performance, la confidentialité des données traitées devient un élément qu’il est impératif de prendre en considération avant même la conception d’une stratégie marketing. La raison ? Au sein d’une entreprise, ce sont les marketeurs qui gèrent le plus de données personnelles (clients, prospects, fournisseurs…) afin d’établir une stratégie qui génèrera plus de demandes.

Certains experts vont même jusqu’à dire que « gérer des données personnelles est une seconde nature chez les marketeurs ». Corolaire : le rôle du marketeur dans la protection des données client n’est pas à prendre à la légère.

Département marketing : celui qui concentre la quasi-totalité des données traitées par l’entreprise

Pour les besoins de ses missions (augmenter la présence de l’entreprise sur différents canaux de communication, identifier et anticiper les besoins des consommateurs, développer une stratégie commerciale efficace…), les départements marketing sont souvent en possession des données clients et des données prospects de l’entreprise.

Ces données sont généralement stockées dans des outils de marketing automation et dans le Cloud. La procédure d’intégration demande souvent l’aval des départements informatiques afin de respecter les exigences de sécurité acceptées par l’entreprise. Les directions marketing sont de plus en plus conscientes de l’importance d’un système de sécurité offrant une meilleure protection des données et sont également plus informées du cadre légal relatif à leur utilisation ; bien que l’on déplore que beaucoup d’entreprise ne soient pas encore conformes au RGPD.

Service marketing : là où les risques de fuites sont importants

Mais tous les membres d’un service marketing ne gèrent pas les données personnelles. Ainsi, certains marketeurs travaillant en filiale peuvent parfois avoir des stratégies de génération de la demande, certes efficace, mais non conformes à la nouvelle règlementation sur la protection des données.

Le cas le plus courant est ce nouveau salarié qui apporte les fichiers clients de son ancien employeur afin de démarrer une nouvelle campagne. La mise en place d’un processus interne aux normes permet d’éviter ce genre de situation. Toutefois, dans la vie réelle, de telles pratiques sont courantes au sein des entreprises.

Tout cela illustre le fait que le RGPD doit passer par une sensibilisation de tous les collaborateurs, surtout ceux affectés à des missions en lien direct avec le traitement des données. Cette sensibilisation portera sur les enjeux de la nouvelle règlementation, les bonnes pratiques à adopter et les sanctions auxquelles l’entreprise s’expose en cas de non-conformité.

Les marketeurs : acteur majeur de la mise en conformité

En contact permanent avec des données personnelles, les marketeurs devraient donner l’exemple en matière de traitement des données. En fait, les marketeurs devraient être « les champions de la protection et de la gestion des données ».

Des données bien protégées ne signifient pas seulement une conformité le RGPD, cela signifie aussi qu’il y a peu de risque pour que les données de l’entreprise tombent entre les mains de la concurrence. Dans une certaine mesure, la mise en place d’un système de protection des données efficace constitue un gage de performance.

Mais pour devenir « l’acteur majeur de la mise en conformité » au sein de l’entreprise, les marketeurs doivent travailler de concert avec les équipes informatiques et juridiques. Le but sera pour eux de comprendre les subtilités de la règlementation sur la protection des données et ses incidences sur la manière de faire du marketing.

Ils vont également travailler avec le DPO bien entendu en amont de tous projet dans le cadre du Privacy by design.

 

De nos jours, un smartphone contient de nombreuses informations personnelles parfois sensibles ! Documents bancaires, fichiers confidentiels, conversations privées ou encore contenus à caractère sensible, autant d’informations qui peuvent transiter par cet appareil, et peuvent se retrouver entre de mauvaises mains à la suite d’une inattention ou d’un vol.

Fort heureusement, il existe de actions pour protéger efficacement les données confidentielles présentes sur un smartphone et protéger au mieux sa vie privée.

Bien régler la géolocalisation

Saviez-vous qu’environ 30 % des applications mobiles utilisent la géolocalisation, souvent plusieurs fois par minute ? À première vue, informations semblent anodines. Sachez pourtant qu’elles peuvent servir à déterminer vos habitudes et même votre manière de vivre (lieux de vie, restaurant préféré…) et être potentiellement réutilisées à des fins commerciales.

Pour limiter la transmission de votre géolocalisation, le mieux est de paramétrer la géolocalisation de votre smartphone suivant vos besoins. En d’autres mots, désactivez cette fonctionnalité lorsque vous n’en avez pas besoin. La procédure à suivre diffère suivant le système de votre mobile.

Désactiver le suivi publicitaire

Il faut savoir que les données de localisation ainsi que de nombreuses autres informations collectées depuis votre smartphone via les applications que vous utilisez servent à personnaliser des messages publicitaires. Ces messages sont basés sur un identifiant publicitaire contenu dans votre smartphone et qui permet de vous identifier.

Si vous ne renouvelez pas cet identifiant régulièrement, les acteurs de la publicité accumuleront beaucoup plus d’informations sur vos habitudes et pourraient ainsi vous cibler davantage. La procédure à suivre pour renouveler cet identifiant est simple car il existe de nombreux tutoriels en ligne.

Effacer l’historique de navigation

Google garde toujours une trace de vos agissements sur son moteur de recherche. De plus, avec le rachat de Youtube, même les vidéos que vous avez consultées sont enregistrées. Pour une protection maximale de ses données, le mieux reste donc de supprimer votre historique de navigation.

Sur Android, rendez-vous dans « Paramètres Google », puis dans « Historique du compte ». Là, sélectionnez les options que vous désirez désactiver.

Sur iOS, rendez-vous dans « Paramètres », puis cliquez sur « Safari ». Dans le sous-ensemble « Confidentialité et Sécurité », activez l’option « Ne pas me suivre ». Après, appuyez sur « Effacer historique, données de site ».

Arrêter les applications en tâche de fond

Même lorsqu’une application n’est pas utilisée, sachez qu’elle transmettra toujours des informations vous concernant si elle fonctionne en tâche de fond. Il est donc essentiel de les arrêter.

Cacher ses fichiers

Si vous perdez votre smartphone, vos données personnelles tomberont certainement entre les mains d’un tiers. Pour éviter le pire, le mieux est de cacher les fichiers présents sur votre téléphone en créant des dossiers où les fichiers seront invisibles. La procédure est très facile sur Android. Il vous suffit d’utiliser un explorateur de fichier tel que File Explorer.

D’autres applications mobiles vous permettent également de cacher certains fichiers sur votre mobile. Parmi elles on peut citer : Galerie Coffre, Smart Hide Caculator, Hide it Pro, Keepsaf ou encore Andrognito.

D’autres réflexes à avoir

Pour protéger son mobile des risques d’espionnage et pour limiter la transmission des données, d’autres réflexes sont à adopter :

  • Mettre à jour régulièrement le logiciel système du smartphone et les applications qui y sont installées ;
  • N’installer que les applications développées par des éditeurs de confiance ;
  • Ne jamais cliquer sur des pièces jointes ou des messages suspects ;
  • Sauvegarder régulièrement ses données via la synchronisation avec un ordinateur ;
  • Installer des logiciels de protection pour échapper aux virus et aux logiciels espions ;
  • Crypter ses communications en utilisant des applications dédiées (FaceTime, SMSsecure, Telegram, Cyphr…) ;
  • S’offrir un smartphone sécurisé : certains smartphones sont plus performants que d’autres en matière de protection des données ;