La société a bien changé depuis la loi relative à l’informatique et aux libertés visant à protéger les personnes physiques de tout traitement automatisé de données[1].
Depuis l’essor d’Internet et notamment depuis 2005 avec l’arrivée du « web 2.0 », l’internaute est désormais devenu actif et acteur, il peut sans grande connaissance technique utiliser les nouvelles technologies pour interagir, échanger et communiquer, créant ainsi le « web social ». Le web social étant un espace d’interaction illimité entre internaute, créant une nouvelle économie notamment les réseaux sociaux tel que Facebook. A cela s’ajoute l’ensemble des objets connectés permettant de simplifier notre quotidien en partageant une multitude d’informations contrôlées par nos smartphones, nous sommes passés au « web 3.0 ».
Mais quels sont les risques concernant notre vie privée, quels sont les points de vigilance à adopter face à toutes ces avancées technologiques, notamment chez les plus jeunes qui sont plus vulnérables. Le Règlement Général[2] sur la protection des données dit « RGPD » vient renforcer la protection des données personnelles des individus, mais vise également à bousculer les habitudes des personnes physiques sur leurs vie privée. Protection certes, mais les personnes étant désormais acteurs des réseaux sociaux, elle doivent donc maitriser les éléments d’informations qu’elles communiquent sur leurs vie privée .
Nous aborderons succinctement l’apport de cette nouvelle règlementation européenne (I), son application en dehors de nos frontières (II) et la vigilance que les plus jeunes doivent adopter (III).
I/ Les apports du nouveau règlement européen
Le droit français protège déjà largement le droit des données à caractère personnel des individus et a d’ailleurs servi de modèle à de nombreux pays en Europe. Ainsi, toute personne physique a le droit de s’opposer à tout traitement des données le concernant, a un droit d’accès, de modification et de suppression des données transmises. Son consentement préalable à tout traitement doit avoir été obtenu.
En plus de ces droits déjà acquis, le règlement européen renforce les droits des personnes physiques, désormais chaque individu bénéficie des droits suivants :
- Droit d’information et de transparence sur le traitement effectué lorsque les données n’ont pas été collectées auprès de la personne physique directement.
Nous sommes ici dans le cas de figure où les données ont été collectées par une entreprise et transmises à une autre. Par exemple : nos habitudes d’achat ont été transmises à une société de remise en forme pour que cette dernière puisse proposer des services d’entrainement sportif ;
- Droit à l’effacement dit « droit à l’oubli » ou « droit au déréférencement »
Ce droit vise clairement les moteurs de recherche et offre la possibilité de demander à ce que soit effacé toute possibilité de recherche via le nom ou le prénom d’une personne permettant d’accéder à un lien vers une page internet contenant son nom ou son prénom ;
- Droit à la limitation du traitement
Toute personne peut demander au responsable du traitement de limiter l’utilisation de ses données à caractère personnel ;
- Droit à la portabilité des données
Ce droit vise notamment les plateformes d’écoute de musique « playlist » ou l’application mobile qui conserve l’ensemble de nos habitudes sportives ou alimentaires, par exemple.
En effet tout comme le droit à la portabilité du numéro de téléphone mobile, qui est également une donnée personnelle appartenant au titulaire de la ligne, les données musicales, entre autres, constituent désormais des données à caractère personnel. A ce titre, toute personne peut demander au responsable de traitement d’obtenir « dans un format structuré, couramment utilisé et lisible par une machine » l’ensemble des données qui la concerne afin de les transmettre, si elle le souhaite, à un autre opérateur.
Il est également possible de demander le transfert automatiquement d’une plateforme à une autre.
- Décision individuelle automatisée, y compris le profilage
Il est interdit de rendre des décisions de justice à l’encontre d’une personne en se basant sur une appréciation faite sur le comportement de celle-ci, si cette appréciation a eu pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
Nous remarquons que certain droit couvre l’évolution de nos habitudes sociétales, ainsi l’ensemble des informations personnelles que nous plaçons sur les applications mobiles sont également couvertes par le droit. Cela vaut pour l’ensemble des entreprises françaises mais également pour les entreprises étrangères, dès lors que les données concernent un ressortissant européen.
Ainsi, pour les plus jeunes, il est important de se renseigner sur la finalité du traitement et de penser à cocher la case mentionnant le fait que l’on ne souhaite pas que les données fournies soient utilisées à d’autres fins que celles pour lesquelles elles ont été communiquées (exemple : démarchage commerciale ou communication à d’autres entreprises).
II/ L’application du règlement européen en dehors de l’Europe
Les nouvelles technologies étant sans limitation de frontière, les nouvelles dispositions prévoient un cadre juridique sans frontière à tous les pays européens. Ainsi, pour tout traitement (toute collecte) de données à caractère personnel réalisé dans un pays de l’union européenne, transmis vers un ou plusieurs pays au sein de l’union, sera géré par un guichet unique, un seul établissement national en charge de la protection des données à caractère personnel sera l’autorité compétente pour l’ensemble des formalités.
De même, le règlement européen (RGPD) s’applique également à tous les responsables de traitement établis à l’étranger, dès lors qu’est ciblé un ressortissant européen. Il s’agit là d’une méthode permettant de réguler les acteurs mondiaux du secteur numérique.
Le pouvoir de sanction de la CNIL est également renforcé et ces sanctions peuvent donc être prononcées à l’encontre d’une entreprise étrangère qui cible et collecte des données personnelles de personnes françaises. Les sanctions, sous forme d’amende administrative, pourront s’élever de 2% à 4% du chiffre d’affaire annuel mondial de l’entreprise. Il y a de quoi dissuader mais également inciter à changer la stratégie des grandes entreprises telles que Google, Apple, Facebook et Amazon, notamment ; si ce n’est changer les habitudes.
En effet, l’une des stratégies de ces entreprises est de proposer des services de gestion de nos données personnelles supposées nous simplifier la vie, mais sans grande maitrise et vigilance de notre part, sur certaines informations relatives à notre vie privée.
III/ La vigilance des plus jeunes et l’atteinte à la vie privée
Le RGPD ne modifie pas les autres dispositions légales en matière de marketing ciblé, ainsi, l’ordonnance n°2006-301 du 14 mars 2016 prévoit toute une série de mesure visant à régir la prospection commerciale par internet à l’article 34-5 du code des postes et des télécommunications. Toute prospection directe par mail ou SMS sans avoir obtenu au préalable le consentement de la personne ciblée est interdit.
Ainsi, avant tout démarchage par toute entreprise, utilisant les données personnelles tels que les numéros de mobile, les adresses mails et les habitudes des personnes (adresses de lieux où elles se rendent), doit obtenir le consentement de la personne concernée.
Désormais, la matérialisation de ce consentement doit être claire.Cela signifie qu’elle pourrait être amenée à donner son consentement de manière manuscrite, pour préciser la notion de « consentement claire ».
Pour les mineurs de moins de 16 ans, le consentement des parents est nécessaire.
Il en est de même pour l’utilisation des cookies[3], le but premier des cookies est de faciliter la navigation des utilisateurs en évitant, notamment, toute nouvelle saisie d’informations tels que des produits placés dans un panier virtuel, des identifiants de connexion, ou des préférences de navigations.
Une seconde fonction peut être attribuée aux cookies en matière de sécurisation de la navigation. Par exemple, le filtrage parental se maintient lors des connexions, grâce aux préférences gardées en mémoire par l’intermédiaire des cookies.
L’ensemble de ces informations sont des données à caractère personnel et relève également de la vie privée et en tant que telles, sont protégées par la loi[4]. Le responsable du traitement doit donc informer de manière claire et complète la personne concernée par le stockage de ces informations et de la finalité de ce stockage.
A retenir
Il convient à chacun d’être vigilant sur l’ensemble des informations que nous communiquons sur notre vie privée, sur les différentes plateformes de communication et objets connectés que nous utilisons ; penser à donner son consentement pour toute utilisation et/ou transfert à des entreprises tierces de nos données ; identifier la finalité du traitement et ne pas hésiter à renoncer à communiquer les données et ne pas utiliser le service proposé.
[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[2] Règlement n°2016/679 du Conseil de l’Europe et du Parlement Européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[3] Les cookies sont des petits fichiers « .txt » installés sur le disque dur du terminal de connexion, en général dans le dossier « Temporary Internet Files », à la demande du site consulté par un navigateur.
[4] L’ordonnance du 24 août 2011 transpose le Paquet Télécom, issu de la directive européenne 2009/136 du 25 novembre 2009 modifiant l’article 32 – II de la loi Informatique et libertés n°78- 17 du 6 janvier 1978 modifiée.
Laisser un commentaire