Lorsque vous visitez un site web dans l'UE, l'organisation qui se cache derrière n'est pas libre de faire ce qu'elle veut avec vos données personnelles. Elle doit suivre certaines règles et procédures connues sous le nom de Règlement général sur la protection des données (RGPD), qui est en vigueur au sein de l'UE depuis 2018.
Vous pouvez trouver le RGPD ennuyeux parce que vous l'identifiez aux bannières de cookies qui surgissent chaque fois que vous vous rendez sur un nouveau site web. Nous avons tendance à être d'accord avec vous sur ce point. Les bannières de cookies sont pénibles pour les utilisateurs, et ne sont sûrement pas le meilleur moyen de réglementer le partage des données personnelles - l'UE devrait trouver une alternative viable.
Mais le cadre du RGPD dépasse largement les bannières de cookies et va bien au-delà.
Qu’est-ce que le RGPD ? Pourquoi en avons-nous besoin ?
Lorsque nous utilisons internet, nombre de nos informations personnelles peuvent devenir accessibles à celles et ceux qui veulent nous espionner. Il peut s'agir des adresses électroniques dont nous avons besoin pour nous connecter, de notre localisation ou de ce que nous tapons dans les moteurs de recherche. Ces données peuvent en dire long sur nous - ce que nous aimons et comment le commercialiser - et sont extrêmement précieuses pour les entreprises qui veulent que nous achetions leurs produits. Sans réglementation, les entreprises peuvent utiliser nos données d'une manière qui ne sert pas nos intérêts.
Il existe de nombreux exemples où cela s'est déjà produit. En 2021, la plateforme de rencontres en ligne LGBTQ* Grindr aurait vendu les données de localisation (ré)identifiables du responsable de l'Église catholique américaine Jeffrey Burril, qui se sont retrouvées entre les mains des rédacteurs d'un magazine catholique. Sur la base des données obtenues, ils ont publié un article alléguant qu'il fréquentait assidûment les clubs gay. À la suite de cette révélation, Burril a dû démissionner et a été confronté à une déferlante de débats sur le célibat et les relations homosexuelles libres. Ces conséquences sont déjà suffisamment graves et dans d'autres pays, il aurait pu aller en prison ou même être assassiné.
Des réglementations claires et précises, ainsi que leur mise en œuvre, sont nécessaires pour éviter que des résultats similaires ne se produisent pour quiconque dont les ennemis sont riches (ou suffisamment avisés) pour trouver et déchiffrer les traces qu'ils ont laissées en ligne, et même parfois les données qu'ils partagent dans certaines situations hors ligne.
Pour protéger notre droit de décider quelles données nous partageons avec d'autres, l'Union européenne a mis en vigueur le 25 mai 2018 le RGPD. Ce règlement définit de nouvelles normes en matière de confidentialité et de protection des données. Il repose sur quelques principes de base décrits dans le tableau suivant :
Légalité, équité et transparence | Le traitement des données doit être licite, équitable et transparent pour la personne concernée (oui, c'est bien vous). |
Limitation de la finalité | Lorsque l'on traite/utilise des données, toutes les finalités doivent être déclarées au préalable. |
Minimisation des données traitées | Seules les données absolument nécessaires à la réalisation de l'objectif spécifié peuvent être collectées. |
Exactitude | Les données personnelles doivent être exactes. |
Limitation de la durée de stockage | Les données ne peuvent être conservées qu'aussi longtemps qu'elles sont nécessaires pour la finalité spécifiée. |
Intégrité et confidentialité | Lorsque des données sont traitées, elles doivent être sécurisées. Le responsable du traitement doit veiller à ce que les informations ne tombent pas entre de mauvaises mains. |
Responsabilité | Le responsable du traitement des données doit être en mesure de démontrer que le RGPD a été respecté à chaque étape du traitement des données. |
Comment sont définies les données personnelles dans le RGPD ? Pourquoi est-il si important de les protéger ?
La terminologie utilisée pour parler du RGPD peut être complexe et rebutante. Mais pas d’inquiétude, nous vous proposons le « RGPD pour les nuls » : nous allons le décomposer pour vous, et expliquer en quoi la protection des données personnelles est aussi importante pour la démocratie.
Voyons d’abord ce qu’est une donnée personnelle. Dans le règlement officiel du RGPD, les données personnelles sont définies comme toute information qui se rapporte à une personne physique, laquelle peut être identifiée par cette information. Cela inclut des éléments comme le sexe, l'adresse postale, l'identité culturelle ou sociale. Jusqu'ici tout est clair, n'est-ce pas ?
Mais pourquoi est-il si important pour les démocraties de protéger les données personnelles à travers la législation officielle du RGPD ?
Tout d'abord, votre droit à la vie privée est un droit fondamental. Pour mener une vie digne, ce que nous méritons tou.te.s, vous devez pouvoir décider librement de ce que vous voulez garder pour vous et de ce que vous voulez partager avec les autres. Même avant internet, votre droit à la vie privée devait être protégé contre les personnes qui pouvaient utiliser vos informations à leurs propres fins. Mais il était très difficile et coûteux de recueillir des informations, surtout à grande échelle pour des segments importants de la société.
Avec la numérisation d'un nombre croissant d'activités, la collecte de données est devenue de plus en plus simple. Comme 92 % des ménages de l'UE ont accès à internet, nous pouvons conclure sans risque que nous laissons presque tou.te.s des traces de nous-mêmes sur la toile et que, sur la base de ces traces, les entreprises peuvent déduire ce que nous aimons, ce qui nous intéresse ou ce dont nous avons peur. Cela peut ne pas sembler alarmant, mais en réalité peut en fait être très dangereux.
[Donate title={Soutenir notre travail de protection de votre vie privée numérique}]
Le ciblage politique, en particulier, représente un énorme danger pour les démocraties et la liberté d'expression. Si les partis et les candidats peuvent simplement acheter des informations sur la manière d'influencer votre vote, cela porte atteinte au processus démocratique. Cela n'a rien à voir avec une campagne électorale équitable, accessible et égale. Par exemple, Donald Trump a diffusé beaucoup de propagande politique et de désinformation via les médias sociaux et le ciblage direct.
Vous devriez pouvoir voir les mêmes publicités politiques que votre voisin, mais grâce au microciblage, ce n'est pas forcément le cas. Et si vous recevez des publicités personnalisées, vous devriez au moins avoir le droit de savoir pourquoi on vous montre des informations spécifiques.
Qu’est-ce qu’une violation des données personnelles ? En quoi cela est-il dangereux ?
Le pire scénario est que vos données tombent entre de mauvaises mains, ce que l'on appelle une violation de données. Une violation de données se produit lorsque des données sont volées, perdues, détruites ou manipulées par des hackers informatiques. Même les plus grandes entreprises ne sont pas sûres à 100 %. En 2021, par exemple, les données de plus de 500 millions d'utilisateurs de Facebook ont été extraites et divulguées en ligne.
Qu’advient-il en cas de violation de mes données personnelles ?
Certaines conséquences sont embêtantes, comme la perte de l'accès à vos comptes sur les réseaux sociaux. Mais d'autres sont activement nuisibles et représentent un véritable danger. Imaginez, par exemple, que les données personnelles d'un forum de conseils sexuels en ligne - où les gens demandent anonymement des conseils sur des sujets personnels - aient été divulguées, permettant ainsi d'identifier ses utilisateurs hors ligne. Un tel résultat pourrait nuire gravement à la santé mentale d'une personne, voire la mettre en danger physiquement si son mode de vie est en contradiction avec les normes sociales.
Le RGPD réduit ce risque en imposant la minimisation des données et la limitation de leur conservation/stockage. Moins les données sont stockées, moins elles peuvent faire l'objet de fuites et plus il est difficile d'identifier les personnes. En outre, les responsables du traitement des données doivent également signaler une violation dans les 72 heures au plus tard et, conformément à l'article 25 du RGPD (« protection des données dès la conception et protection des données par défaut »), tous les systèmes doivent être construits de manière aussi sûre que possible.
Le RGPD pour les nuls : comment cela fonctionne ? Éléments et termes importants
Qu’est-ce que la « personne concernée » ? | Nous sommes tou.t.es une personne concernée (par le traitement des données). Une personne concernée est une personne dont les données sont collectées par une organisation. En gros, toute personne qui a déjà utilisé internet est une « personne concernée ». |
Qu’est-ce que le « responsable du traitement » ? | Un responsable de traitement est toute entité qui recueille et conserve des données - par exemple, une entreprise. |
Qu’est-ce que le « sous-traitant » ? | Il s'agit de l’organisation qu'une grande entreprise engage pour traiter les données en son nom. |
Qu’est-ce qu’une « autorité de contrôle » | Chaque pays de l'UE dispose de sa propre autorité de contrôle. Tel un « shérif de la confidentialité des données », elles sont censées faire appliquer le RGPD dans leur région et, le cas échéant, imposer de lourdes amendes. |
Qu’est-ce qu’un « délégué à la protection des données» ? | Il s'agit de la personne qui s'occupe de tous les détails relatifs au RGPD d'une organisation/entreprise. |
Qu’est-ce qu’une « analyse d’impact relative à la protection des données (AIPD) ? | Lorsqu'un projet est susceptible d'impliquer un risque élevé pour les données personnelles, les contrôleurs doivent le prendre en compte et se dmenader quels sont les risques potentiels et comment les minimiser. Ils doivent mettre tout cela à l’écrit. |
Qu’est-ce qu’une « politique de confidentialité ? » ? | Une politique de confidentialité est un document public dans lequel une organisation explique comment elle traite les données personnelles et comment elle applique les principes de protection des données. Ce document vous permet de savoir ce qu'il advient de vos données lorsque vous interagissez avec cette organisation. |
Que signifie le consentement dans le cadre du RGPD ? | Le consentement, selon le RGPD, est " toute manifestation de volonté, libre, spécifique, éclairée et univoque " de votre souhait ou de votre accord pour qu'une certaine catégorie de vos données soit traitée à certaines fins par celles et ceux qui demandent votre consentement. |
Quels sont les droits des utilisateurs ? De quels nouveaux droits disposent les usagers grâce au RGPD ?
Le RGPD prévoit 8 droits fondamentaux pour les utilisateurs d'internet en Europe. Cela signifie que vous disposez d'un certain nombre de droits et que vous avez la possibilité de vous défendre et les faire valoir si ceux-ci sont violés.
Le droit à l’information
Les personnes ont le droit d'être informées de qui traite leurs données et à quelle(s) fin(s). C'est important, car vous devez savoir à qui vous adresser si vous pensez que vos données sont utilisées de façon malveillante. La politique de confidentialité doit être rédigée de manière à être facilement compréhensible.
Le droit d’accès
Si vous voulez savoir quelles données personnelles vous concernant sont stockées par une entreprise et comment elles sont utilisées, il vous suffit d'envoyer une demande pour en obtenir gratuitement une copie. Par exemple, si vous voulez savoir quelles données votre supermarché local a dans ses dossiers, vous pouvez vous attendre à ce qu'il vous indique ce type d’informations : à quel moment vous avez utilisé sa carte de fidélité, ce que vous avez acheté, si vous avez reçu des offres spéciales, et si vos données ont été vendues et à qui.
Le droit à la rectification
Si vous constatez que quelqu'un détient des informations incorrectes à votre égard, vous avez le droit de les faire rectifier. Bien entendu, les tiers auxquels vos données ont été communiquées doivent également être informés.
Le droit à l’effacement (droit à l’oubli)
Ce droit est plus communément appelé "droit à l'oubli". En principe, vous pouvez demander à une entreprise de supprimer les données qu'elle détient sur vous. Votre demande ne peut pas toujours être respectée. Par exemple, les banques peuvent ne pas être en mesure de supprimer immédiatement toutes vos données, car la loi les oblige à les conserver pendant une certaine période. Mais si vous avez été présenté sur un site web local comme le gagnant régional du concours local de mangeurs de hot-dogs, et que vous n'êtes pas une personnalité publique (le public n'a donc aucun intérêt à savoir comment vous avez occupé votre temps), votre demande devrait être accordée. Il cependant important de souligner que, de nos jours, il est très difficile d'effacer complètement des données une fois qu'elles sont diffusées sur le web. Le clickbait juteux a tendance à se répandre très loin sur internet - et lorsque vos données sont traitées en dehors de l'UE, faire valoir vos droits est quasiment impossible.
En 2019, la Cour de justice de l'Union européenne (CJUE) a statué que l'Union européenne ne pouvait pas étendre ses lois au-delà de ses frontières. Ainsi, si vous pouvez forcer Google à supprimer la photo embarrassante que vous avez postée sur MySpace il y a 12 ans dans les résultats de recherche européens - si quelqu'un d'un autre continent cherche votre nom sur google, il peut encore accéder à ce contenu (et se moquer de vous).
Le droit à la limitation du traitement
Une situation peut se présenter dans laquelle vous souhaitez qu'une entreprise cesse d'utiliser vos données. La première chose qui vous vient à l'esprit est : "Je vais leur demander de les supprimer. Cependant, il se peut que cela ne soit pas possible ou pas immédiatement. Dans ce cas, vous pouvez toujours demander aux entreprises de ne rien faire avec vos données au-delà de ce que la loi leur impose, par exemple de conserver les données pendant un certain temps.
Le droit à la portabilité des données
Imaginons que vous utilisiez une plateforme de streaming musical et que vous souhaitiez en changer. Pourtant, vous hésitez car vous voulez conserver vos listes de lecture. Le droit à la portabilité des données vise à faire en sorte que vous ne soyez pas coincé avec votre ancien fournisseur simplement parce que vous n'avez pas le temps ou l'énergie de recréer ces listes. Comme vous êtes le propriétaire de vos données en vertu du RGPD, vous pouvez demander à votre ancienne plateforme de streaming de vous fournir vos données dans un format transférable au nouveau fournisseur de services.
Le droit d’opposition
Si vous autorisez un site web à enregistrer et à lire les données des cookies, l'entreprise ou l'organisation peut traiter vos données conformément à sa politique de confidentialité. Mais que se passe-t-il si vous changez d'avis plus tard, parce que vous êtes ciblé par des publicités politiques après avoir fait des recherches sur un sujet d'actualité ? Cependant, vous avez théoriquement le droit de vous y opposer. Le site d'information que vous avez visité ne peut plus traiter ou vendre vos données. Bien qu'il existe certaines exceptions à ce droit, vous pouvez toujours vous opposer au marketing direct. Néanmoins, dans la pratique, vous devrez peut-être trouver d'autres moyens de vous assurer que vous n'êtes pas inondé de publicités politiques, car dans l'environnement en ligne actuel, vous ne serez peut-être pas en mesure de savoir qui traite vos données. Et oui, cela constitue bien une violation du RGPD.
Droits relatifs à la décision individuelle automatisée, y compris le profilage
La prise de décision automatisée (PDA) désigne la prise de décision par une machine sur la base de données. Le profilage signifie que vous êtes rangé dans une catégorie (par exemple, éligible ou non à un prêt) sur la base d'informations provenant de données personnelles. La prise de décision automatisée se veut plus impartiale que la prise de décision humaine, mais comme elle est fondée sur l'apprentissage de modèles et sur des données (parfois incorrectes) fournies par des humains, un véritable objectivité est encore loin d'être atteinte.
Les décisions prises pouvant être biaisées, la PDA et le profilage constituent une menace pour nos droits individuels, nos libertés et nos démocraties. Nous devrions avoir la possibilité de savoir pour quelle raison une décision a été prise. Nous devrions pouvoir la contester si nous le souhaitons.
L'UE reconnaît ce problème et donne donc le droit de ne pas être soumis à une décision basée uniquement sur des moyens automatisés si la décision a des implications juridiques ou des effets significatifs sur la vie d'une personne.
Quelles sont les sanctions prévues pour les violations du RGPD ?
Selon le degré exact de violation du RGPD, il existe deux niveaux d'amendes.
Pour les violations les moins graves, les entreprises peuvent avoir à payer jusqu'à 10 millions d'euros ou 2 % du revenu annuel mondial de l'entreprise, le montant le plus élevé étant retenu.
Pour les violations plus graves, les amendes peuvent aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise.
Quels sont les droits des utilisateurs ? De quels nouveaux droits disposent les usagers grâce au RGPD ?
Le RGPD prévoit 8 droits fondamentaux pour les utilisateurs d'internet en Europe. Cela signifie que vous disposez d'un certain nombre de droits et que vous avez la possibilité de vous défendre et les faire valoir si ceux-ci sont violés.
Le droit à l’information
Les personnes ont le droit d'être informées de qui traite leurs données et à quelle(s) fin(s). C'est important, car vous devez savoir à qui vous adresser si vous pensez que vos données sont utilisées de façon malveillante. La politique de confidentialité doit être rédigée de manière à être facilement compréhensible.
Le droit d’accès
Si vous voulez savoir quelles données personnelles vous concernant sont stockées par une entreprise et comment elles sont utilisées, il vous suffit d'envoyer une demande pour en obtenir gratuitement une copie. Par exemple, si vous voulez savoir quelles données votre supermarché local a dans ses dossiers, vous pouvez vous attendre à ce qu'il vous indique ce type d’informations : à quel moment vous avez utilisé sa carte de fidélité, ce que vous avez acheté, si vous avez reçu des offres spéciales, et si vos données ont été vendues et à qui.
Le droit à la rectification
Si vous constatez que quelqu'un détient des informations incorrectes à votre égard, vous avez le droit de les faire rectifier. Bien entendu, les tiers auxquels vos données ont été communiquées doivent également être informés.
Le droit à l’effacement (droit à l’oubli)
Ce droit est plus communément appelé "droit à l'oubli". En principe, vous pouvez demander à une entreprise de supprimer les données qu'elle détient sur vous. Votre demande ne peut pas toujours être respectée. Par exemple, les banques peuvent ne pas être en mesure de supprimer immédiatement toutes vos données, car la loi les oblige à les conserver pendant une certaine période. Mais si vous avez été présenté sur un site web local comme le gagnant régional du concours local de mangeurs de hot-dogs, et que vous n'êtes pas une personnalité publique (le public n'a donc aucun intérêt à savoir comment vous avez occupé votre temps), votre demande devrait être accordée. Il cependant important de souligner que, de nos jours, il est très difficile d'effacer complètement des données une fois qu'elles sont diffusées sur le web. Le clickbait juteux a tendance à se répandre très loin sur internet - et lorsque vos données sont traitées en dehors de l'UE, faire valoir vos droits est quasiment impossible.
En 2019, la Cour de justice de l'Union européenne a statué que l'Union européenne ne pouvait pas étendre ses lois au-delà de ses frontières. Ainsi, si vous pouvez forcer Google à supprimer la photo embarrassante que vous avez postée sur MySpace il y a 12 ans dans les résultats de recherche européens - si quelqu'un d'un autre continent cherche votre nom sur google, il peut encore accéder à ce contenu (et se moquer de vous).
Le droit à la limitation du traitement
Une situation peut se présenter dans laquelle vous souhaitez qu'une entreprise cesse d'utiliser vos données. La première chose qui vous vient à l'esprit est : "Je vais leur demander de les supprimer. Cependant, il se peut que cela ne soit pas possible ou pas immédiatement. Dans ce cas, vous pouvez toujours demander aux entreprises de ne rien faire avec vos données au-delà de ce que la loi leur impose, par exemple de conserver les données pendant un certain temps.
Le droit à la portabilité des données
Imaginons que vous utilisiez une plateforme de streaming musical et que vous souhaitiez en changer. Pourtant, vous hésitez car vous voulez conserver vos listes de lecture. Le droit à la portabilité des données vise à faire en sorte que vous ne soyez pas coincé avec votre ancien fournisseur simplement parce que vous n'avez pas le temps ou l'énergie de recréer ces listes. Comme vous êtes le propriétaire de vos données en vertu du RGPD, vous pouvez demander à votre ancienne plateforme de streaming de vous fournir vos données dans un format transférable au nouveau fournisseur de services.
Le droit d’opposition
Si vous autorisez un site web à enregistrer et à lire les données des cookies, l'entreprise ou l'organisation peut traiter vos données conformément à sa politique de confidentialité. Mais que se passe-t-il si vous changez d'avis plus tard, parce que vous êtes ciblé par des publicités politiques après avoir fait des recherches sur un sujet d'actualité ? Cependant, vous avez théoriquement le droit de vous y opposer. Le site d'information que vous avez visité ne peut plus traiter ou vendre vos données. Bien qu'il existe certaines exceptions à ce droit, vous pouvez toujours vous opposer au marketing direct. Néanmoins, dans la pratique, vous devrez peut-être trouver d'autres moyens de vous assurer que vous n'êtes pas inondé de publicités politiques, car dans l'environnement en ligne actuel, vous ne serez peut-être pas en mesure de savoir qui traite vos données. Et oui, cela constitue bien une violation du RGPD.
Droits relatifs à la décision individuelle automatisée, y compris le profilage
La prise de décision automatisée (PDA) désigne la prise de décision par une machine sur la base de données. Le profilage signifie que vous êtes rangé dans une catégorie (par exemple, éligible ou non à un prêt) sur la base d'informations provenant de données personnelles. La prise de décision automatisée se veut plus impartiale que la prise de décision humaine, mais comme elle est fondée sur l'apprentissage de modèles et sur des données (parfois incorrectes) fournies par des humains, un véritable objectivité est encore loin d'être atteinte.
Les décisions prises pouvant être biaisées, la PDA et le profilage constituent une menace pour nos droits individuels, nos libertés et nos démocraties. Nous devrions avoir la possibilité de savoir pour quelle raison une décision a été prise. Nous devrions pouvoir la contester si nous le souhaitons.
L'UE reconnaît ce problème et donne donc le droit de ne pas être soumis à une décision basée uniquement sur des moyens automatisés si la décision a des implications juridiques ou des effets significatifs sur la vie d'une personne.
Quelles sont les sanctions prévues pour les violations du RGPD ?
Selon le degré exact de violation du RGPD, il existe deux niveaux d'amende.
Pour les violations les moins graves, les entreprises peuvent avoir à payer jusqu'à 10 millions d'euros ou 2 % du revenu annuel mondial de l'entreprise, le montant le plus élevé étant retenu.
Pour les violations plus graves, les amendes peuvent aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise.
Le RGPD, un outil précieux dont l’application est primordiale
Si vous êtes arrivé jusqu'ici, vous n'êtes officiellement plus un « nul » en ce qui concerne le RGPD. Qu'avons-nous donc appris ?
Nous avons appris ce que nous sommes (une personne concernée), que notre comportement en ligne est tracé (les données personnelles ont de la valeur), et que de nombreuses personnes et entreprises s’intéressent à nos données. Nous avons également appris qu'un manque de protection de la vie privée peut nuire aux démocraties.
Bien sûr, le RGPD ne constitue pas une protection étanche contre toutes sortes de violations de la vie privée - d'autant plus que les autorités ont du mal à le faire respecter. Le RGPD est un outil juridique positif qui nous permet de nous protéger, mais il n'est utile que dans la mesure où il est applicable. À l'avenir, l'UE devrait s’atteler à faire respecter le RGPD.
Photocredits:
Naomi Tamar /Unsplash
Jurica Koletić/Unsplash
Omid Armin/Unsplash
Ludvig Wiese/Unsplash
Taylor Hernandez/Unsplash
Alexander Andrews/Unsplash
Derek Story/Unsplash
