Protection des données à caractère personnel

Définition extraite de l'article 4[1] du RGPD.

DéfinitionQu'est-ce qu'une donnée à caractère personnel ?

  • Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable.

  • Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant,

    tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Exemple

  • Par exemple, une chaîne de magasins de bricolage emploie \(20\) salariés répartis sur ces \(3\) sites et a fidélisé \(141\) clients.

    Elle regroupe différentes informations relatives à sa gestion dans des tables de données.

    On peut remarquer que l'adresse est une donnée à caractère personnel dans la table des clients mais pas dans la table des magasins !

  • Les tickets de caisse sont également stockés dans des tables de données.

    Selon les informations conservées, ces tables peuvent contenir ou non des données à caractère personnel.

FondamentalDonnées sensibles

Les données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont des données sensibles.

Le Règlement européen interdit de recueillir ou d'utiliser ces données, sauf dans certains cas :

  • Si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;

  • Si les informations sont rendues publiques par la personne concernée ;

  • Si elles sont nécessaires à la sauvegarde de la vie humaine ;

  • Si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL[2] ;

  • Si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

DéfinitionQu'est-ce qu'un traitement de données ?

Un traitement de données est une opération, ou ensemble d'opérations, portant sur des données :

collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...

De nombreux services en ligne traitent de données à caractère personnel.

Voici quelques exemples :

  • Lors de la création d'un compte en ligne ;

  • Lors du suivi des commandes d'un site de vente en ligne ;

Texte légalComment les données personnelles sont-elles protégées ?

Le traitement de données à caractère personnel est réglementé par la loi « Informatique et libertés » et le règlement général sur la protection des données (RGPD).

Par principe, le traitement des données sensibles est interdit et d'après la commission européenne :

« Les autorités de protection des données (APD) sont des autorités publiques indépendantes qui contrôlent, par des pouvoirs d'enquête et d'adoption de mesures correctrices, l'application de la législation relative à la protection des données. Elles fournissent des conseils d'experts sur les questions liées à la protection des données et traitent les réclamations introduites relatives à des violations du règlement général sur la protection des données et des législations nationales en la matière. Chaque État membre de l'UE en compte une. »

En France, cette autorité de contrôle est la Commission Nationale de l'Informatique et des Libertés (CNIL). Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Consultez le site de la CNIL pour comprendre vos droits, maîtriser vos données et agir.

Quels sont vos droits pour maîtriser vos données personnelles ?

Texte légal

Les informations suivantes sont issues du site de la CNIL :

ComplémentLe droit d'information

« Un organisme qui collecte des informations sur vous doit vous fournir une information claire sur l'utilisation de vos données et sur l'exercice de vos droits ! »

Avant de collecter vos données, un organisme doit donc faire preuve de transparence et vous permettre de savoir :

  • Pourquoi l'organisme collecte vos données ?

  • Comment il sera amené à les utiliser ?

  • Comment maîtriser vos données et exercer vos droits ?

Dans l'exemple ci-contre, l'organisme indique ces informations à la création du compte.

L'organisme doit également vous proposer une notice d'information sur la protection de vos données. Cette page doit être accessible depuis la page d'accueil du site de l'organisme sous un intitulé clair (« politique de confidentialité », « page vie privée »,ou « données personnelles »). Celle-ci doit notamment vous informer sur :

  • Les coordonnées du délégué à la protection des données de l'organisme (dpo), ou d'un point de contact sur les questions liées à la protection des données personnelles ;

  • L'utilisation qui sera faite de vos données ;

  • Les tiers qui auront accès aux données ;

  • La durée de conservation de vos données ;

  • L'utilisation de vos données hors de l'UE ;

  • Les modalités d'accès à vos droits et la possibilité de faire intervenir la CNIL ;

Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou illicite, une violation de données à caractère personnelles, c'est à dire la destruction, la perte, l'altération ou la divulgation non autorisée de données vous concernant.

Si cette violation représente un risque pour vos droits et libertés, l'organisme doit le signaler à la CNIL et vous en informer en vous promulguant des conseils pour protéger vos données (ex. modification du mot de passe, paramétrage vie privée ...).

ComplémentLe droit d'opposition

« Vous pouvez vous opposer à tout moment à ce qu'un organisme utilise certaines de vos données. »

Vos données personnelles apparaissent dans un fichier non obligatoire et vous ne souhaitez plus qu'elles y figurent : vous pouvez vous opposer à ce qu'elles soient utilisées en mettant en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.

Par exemple :

  • Vous vous opposez à ce que vos données figurent dans l'annuaire public de votre établissement ou dans l'annuaire des abonnées au téléphone ;

  • Vous souhaitez que votre adresse mail soit retirée de la base de prospection d'une société pour ne plus recevoir d'emails publicitaires de leur part.

Il existe un modèle de courrier sur le site de la CNIL pour vous opposer à l'utilisation de vos données à des fins de prospection commerciale.

ComplémentLe droit d'accès

« Vous pouvez demander à un organisme s'il détient des données sur vous (site web, magasin, banque...) et demander à ce que l'on vous les communique pour en vérifier le contenu. »

Par exemple :

  • Certains réseaux sociaux vous donnent accès à l'ensemble des informations qu'il détient sur vous :

    il est possible de demander à un professionnel de santé une copie de vos

    données relatives à vos résultats d'examen, diagnostic, ... ;

  • Vous pouvez également utiliser votre droit d'accès pour savoir si vous êtes enregistré dans un fichier qui vous porte préjudice (fichage Préventel[3], inscription au fichier central des chèques, ...).

Pour certains fichiers de police ou intéressant la sûreté de l'Etat, la loi n'autorise pas un particulier à accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte par l'intermédiaire de la CNIL. Il existe plusieurs modèles de courrier sur le site de la CNIL pour faire valoir votre droit d'accès.

ComplémentLe droit de rectiication

« Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. Cela permet d'éviter qu'un organisme n'utilise ou ne diffuse des informations erronées sur vous. »

Le droit de rectification permet de corriger des données inexactes vous concernant (âge ou adresse erronés) ou de compléter des données (adresse sans le numéro de l'appartement) en lien avec la finalité du traitement. Il existe deux modèles de courrier sur le site de la CNIL pour faire valoir votre droit de rectification.

ComplémentLe droit à l'effacement

« Vous avez le droit de demander à un organisme l'effacement de données à caractère personnel vous concernant. »

Par exemple :

  • Vous pouvez demander la suppression d'un contenu gênant vous concernant sur une page web directement auprès du site en précisant en quoi la publication de ce contenu nuit à votre réputation ou à votre vie privée.

  • Vous ne souhaitez plus bénéficier des services d'un site de vente en ligne et vous demandez la fermeture de votre compte et l'effacement des données qui y sont associées.

Il existe deux modèles de courrier sur le site de la CNIL pour faire valoir votre droit à l'effacement.

ComplémentLe droit au déréférencement

« Vous pouvez demander aux moteurs de recherche de ne plus associer un contenu qui vous porte préjudice à votre nom et prénom. »

Vous avez le droit de demander à un moteur de recherche de supprimer certains résultats de recherche associés à vos noms et prénoms. Le contenu original reste inchangé et est toujours accessible via les moteurs de recherche en utilisant d'autres mots clés de recherche ou en allant directement sur le site à l'origine de la diffusion.

Par exemple :

  • Des propos gênants vous concernant sont diffusés sur le blog d'une personne que vous n'arrivez pas à joindre ;

  • Des informations concernant votre activité du week-end sont diffusées sur le site de votre association mais vous ne souhaitez pas qu'un recruteur tombe dessus ;

  • En tapant votre nom, vous découvrez l'un de vos anciens CV et n'arrivez pas à obtenir sa suppression auprès du site.

Les principaux moteurs de recherche mettent à disposition un formulaire de demande de suppression de résultats de recherche.

Par exemple : Formulaire de demande de suppression d'informations personnelles Google.

ComplémentLe droit à la portabilité

« Le droit à la portabilité vous offre la possibilité de récupérer une partie de vos données dans un format lisible par une machine. Libre à vous de stocker ailleurs ces données portables ou les transmettre facilement d'un système à un autre, en vue d'une réutilisation à d'autres fins. »

Par exemple :

  • Vous pouvez exporter différents types de données qu'un service en ligne détient sur vous dans des formats lisibles (csv, json, mbox, vcard, ...) ;

  • Vous pouvez exporter vos données d'une plateforme de musique pour les conserver ou les transmettre à une autre.

ComplémentLe droit à l'intervention humaine

« La collecte et l'analyse de vos activités permettent de construire des profils pour mieux cerner votre personnalité, vos habitudes d'achat ou vos comportements. Parfois, des décisions sont prises automatiquement à partir de ce profilage, sans l'intervention d'un humain. »

Le profilage consiste à utiliser les données personnelles d'un individu en vue d'analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc.

Par exemple, le profilage peut être utilisé pour permettre :

  • À un employeur de déterminer les performances d'un de ses salariés au travail ;

  • À une banque d'établir la situation financière d'un client pour accorder un prêt ;

  • À une compagnie d'assurance de définir le coût d'une assurance voiture ;

  • À une régie publicitaire d'identifier des points d'intérêt pour adresser une publicité ciblée à un internaute.

Par principe, vous avez le droit de ne pas faire l'objet d'une décision entièrement automatisée basée sur votre profilage.

ComplémentLe droit à la limitation du traitement

« Vous avez le droit de demander à un organisme de geler temporairement l'utilisation de certaines de vos données. »

Si vous contestez l'exactitude des données utilisées par l'organisme ou que vous vous opposez à ce que vos données soient traitées, la loi autorise l'organisme à procéder à une vérification ou à examen de votre demande pendant un certain délai. Pendant ce délai, vous avez la possibilité de demander à l'organisme de geler l'utilisation de vos données. Concrètement, il ne devra plus utiliser les données mais devra les conserver. Inversement, vous pouvez demander la limitation du traitement de certaines données dans le cas où l'organisme souhaite lui-même les effacer. Cela vous permettra de conserver les données afin d'exercer un droit.

Par exemple, le profilage peut être utilisé pour permettre :

  • Vous vous êtes opposé à la publication d'une photo de vous sur un réseau social et en attendant de savoir s'il existe un motif légitime à conserver votre photo, l'organisme doit procéder à sa dé-publication ;

  • Vous souhaitez qu'un organisme ne supprime pas une vidéo de surveillance pouvant servir dans le cadre d'une procédure.