Articles

Depuis le 25 mai 2018, la mise en application du Règlement général sur la protection des données ou RGPD a mis en place le droit à la portabilité des données. Considéré comme l’une des grandes nouveautés du dispositif, il vient ainsi compléter le droit d’accès dont les personnes concernées ont pu bénéficier. Voici donc quelques points essentiels à retenir afin de mieux comprendre ses particularités et ses avantages.

Le droit à la portabilité des données, de quoi s’agit-il ?

Le droit à la portabilité des données figure aujourd’hui dans la liste des 8 droits renforcés par le Règlement Général Européen sur la Protection des Données. Énoncé dans l’article 20 du RGPD, il consiste à accorder le droit à toute personne de recevoir ses propres données, afin de lui permettre de répondre à ses besoins. Il confère également le droit de transférer directement ces données personnelles d’un responsable de traitement à un autre, ou vers un environnement IT exempt de tout obstacle. En d’autres termes, en utilisant le droit à la portabilité des données, l’utilisateur a donc la possibilité de récupérer les données qu’il a fournies à un site, aussi bien pour des fins personnelles que professionnelles, ou de les transmettre librement à un tiers de son choix. Il faut tout de même savoir que pour tirer profit de ce droit, il est important que le transfert des données soit réalisé dans un format structuré pouvant être utilisé et lu par une machine, tout en assurant ce qu’on appelle l’interopérabilité du traitement. Les entreprise collectant des données personnelles ont donc tout intérêt à se conformer sans attendre au RGPD.

Le champ d’application du droit à la portabilité des données

Bien qu’il concerne chaque citoyen européen, le droit à la portabilité des données ne peut être appliqué que sous deux conditions distinctes :  d’après les dispositions de l’article 20 du RGPD, l’utilisateur qui souhaite récupérer ses données doit avant tout avoir fourni son consentement au moment de la collecte et du traitement des données qui le concerne. Ces informations doivent ensuite être collectées sur la base d’un contrat bien défini.
En ce qui concerne les données proprement dites, il faut également réunir deux conditions distinctes : les données personnelles doivent concerner la personne qui revendique le droit à la portabilité des données ; ce qui exclut automatiquement les données anonymes. Celles-ci doivent ensuite être fournies par l’utilisateur concerné, y compris celles qui ont été volontairement saisies en ligne et celles qui résultent de l’observation de ses activités en ligne comme l’historique de recherche.

Quelle utilité ?

Avec ce nouveau dispositif, l’Union européenne souhaite préserver les droits ainsi que les libertés fondamentales des citoyens européens, qui sont désormais en mesure de reprendre le contrôle de leurs données personnelles. Par ailleurs, en instaurant le droit à la portabilité des données, l’Union européenne souhaite stimuler la concurrence sur le marché européen de la data en facilitant le transfert des données d’un organisme à un autre.

Depuis le 25 mai 2018, une grande majorité des sites web se trouve dans l’obligation de procéder à une mise à jour de leur politique de cookies, afin de respecter les nouvelles dispositions du Règlement Général Européen sur la Protection des Données ou RGPD. Désormais, cliquer sur le fameux « Oui » ou « OK, accepter » n’est plus suffisant. Voici donc les éléments qu’il faut prendre en compte afin de se conformer à cette nouvelle législation.

Les cookies, quelle utilité ?

Se présentant sous un format texte, un cookie consiste en un fichier d’information spécialement conçu pour être enregistré directement sur l’ordinateur de l’internaute, par le biais de son navigateur, et ce, à la demande de la plateforme visitée. En d’autres termes, il s’agit d’un fichier stocké au niveau du disque dur dont l’objectif est de permettre au serveur du site internet émetteur d’identifier facilement l’utilisateur d’un site à un autre. Dans la majorité des cas, les cookies sont des outils couramment utilisés par les sites e-commerce dans le but de faciliter la conservation des préférences de l’utilisateur. Aujourd’hui, son champ d’application s’étend sur la proposition de login et de mots de passe, les différentes options de saisie sur un site, le stockage des modalités d’affichage d’un site, l’analyse des pages consultées ou les informations relatives aux réseaux sociaux. Il faut savoir que les cookies ne doivent en aucun cas contenir les informations personnelles, sauf si celles-ci ont été expressément saisies dans un formulaire dédié.

Obligation d’ informer l’utilisateur

Pour se conformer aux directives du RGPD, les administrateurs de sites web utilisant des cookies doivent avant toute chose prendre le temps d’informer l’internaute. Cette opération se fait généralement par le biais d’un « bandeau cookie » qui s’affiche directement en page d’accueil. En plus d’indiquer l’objectif des cookies qui seront mis en place, cet outil doit également offrir au visiteur la possibilité de s’y opposer, et de changer les différents paramètres y afférant en cliquant sur un lien facilement accessible. À ces modalités s’ajoute une mention qui indique qu’en poursuivant la navigation, l’utilisateur accepte le dépôt de cookies. Il faut tout de même savoir que ce bandeau doit toujours s’afficher jusqu’à ce que l’utilisateur poursuive la navigation ou décide de cliquer sur un élément de la page consultée, comme un lien ou une image. À défaut de consentement préalable de l’utilisateur, les cookies ne doivent en aucun cas être déposés lorsque celui-ci décide de poursuivre la navigation.

Prévoir des paramétrages pour avoir le “choix

Après avoir informé l’utilisateur de l’utilisation des cookies, le site doit également proposer des solutions qui lui offrent le choix d’être suivi ou non, en cliquant dans le lien disponible sur le bouton « En savoir plus » ou « Paramétrer les cookies ». Le choix d’accepter ou de refuser ces outils est valable pour toutes les technologies de traçage mises en place par l’éditeur du site, pour ne citer que les cookies classiques, les modèles flash, les plug-ins, le fingerprinting ou les espaces de mémoires des navigateurs. Il est important de noter que l’ouverture de la rubrique « En savoir plus » ne peut en aucun cas être assimilée à l’obtention du consentement de l’utilisateur.

 

Depuis le 25 mai dernier, le Règlement Général sur la Protection des Données personnelles (RGPD), est pleinement entré en vigueur. Ce nouveau règlement vient modifier en profondeur la manière des entreprises et des organisations de traiter les données personnelles qu’elles collectent. Mais les associations n’y échappent également pas. Tour d’horizon sur les impacts du RGPD sur les associations.

RGPD : les associations sont aussi concernées

Contrairement à ce que l’on pourrait penser, le RGPD ne s’applique pas seulement à une catégorie définie d’entreprises ou d’organisations. En réalité, il concerne toutes les structures qui manipulent des données personnelles : « toute information se rapportant à une personne physique identifiée ou identifiable ». Vous l’aurez compris, les données personnelles sont une notion relativement large (nom, adresse, numéro de téléphone, matricule…).
Qu’est-ce que cela à avoir avec une association ? Et bien, les associations manipulent des données personnelles : celles de leurs adhérents. Donc, elles sont également soumises au RGPD. En d’autres mots, à partir du moment où votre association collecte et traite (classement, recensement…) les données personnelles de ses membres, vous devrez vous plier aux nouvelles obligations en matière de protection des données et commencer un processus de mise en conformité. En cas de contrôle de la CNIL, vous devrez être en mesure de présenter un document retraçant les mesures adoptées pour optimiser la sécurité des données collectées.

Pratiquement, le RGPD implique quoi pour une association ?

Le RGPD oblige les associations à mener plusieurs actions :

  • Demander expressément le consentement des personnes (adhérents, bénévoles, donateurs…) pour le traitement des données les concernant ;
  • Notifier la CNIL en cas de violation des données personnelles (fuites, piratages, dommages…) ;
  • Ne collecter que les informations utiles (minimisation) ;
  • Garantir aux personnes concernées l’exercice des droits qui leur ont été octroyés par le RGPD : droit à l’oubli, droit de suppression, droit d’accès, droit à la portabilité, droit de modification… ;
  • Mettre en place des mesures de sécurité pour maximiser la protection des données : encodage des données, révision de la politique de confidentialité, définition des accès…

Non-conformité avec le RGPD : quelles sont les sanctions que risquent les associations ?

Heureusement, les associations ne sont pas spécialement ciblées par le RGPD. En effet, ce dernier a été surtout instauré pour encadrer les actions des entreprises qui font du traitement des données leur activité principale, que l’entreprise soit européenne ou non. Malgré tout, le risque d’être sanctionné en cas de non-conformité est réel s’il y a contrôle. Et les sanctions encourues ne sont pas légères. Les sanctions financières peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Le RGPD constitue une véritable révolution dans le monde de la protection des données personnelles. En plus de donner aux citoyens européens les pleins pouvoirs sur leurs données, le RGPD vient mettre fin aux pratiques malhonnêtes et non respectueuses de la vie privée de certaines entreprises, surtout celles qui voient internet comme un simple outil de collecte de données, un moyen de booster les ventes.

Attention aux fichiers de vos anciens adhérents ou annuaires : c’est un traitement, et il faut obtenir le consentement des personnes… une bonne occasion de les mettre à jour !