Accueil » Actualités » Comprendre le RGPD du point de vue de l’internaute

Vous en avez à présent l’habitude : le fameux bandeau cookie est présent sur presque tous les sites web, et vous demande d’accepter les cookies afin de continuer votre navigation.

Le 25 mai 2018, un nouveau règlement européen voit le jour et renforce la sécurité des données personnelles.

 

Pourquoi renforcer la protection de mes données personnelles ?

Personne n’est dupe, l’informatique et les technologies évoluent vite…tout comme les cyberattaques et le nombre de victimes. Je ne vais pas m’attarder sur le fait évident qu’il y a de plus en plus de menaces et de failles de sécurité mettant en mal la quantité grandissante de données que l’on partage. Je vais plutôt parler d’autres points importants qui expliquent le renforcement de la protection de nos données personnelles.

 

Des législations différentes et des obligations différentes ? Ou le besoin d’uniformisation

Certes, si vous êtes en France, en Belgique, au Canada, en Suisse ou ailleurs dans le monde, vous êtes déjà soumis aux lois de votre pays, mais Internet est par définition sans frontières. Et tous les sites que vous visitez ne sont pas basés dans votre pays. Cela implique que vos moyens d’action sont réduits quant aux traitements de vos données et quant aux lois appliquées. En d’autres termes, imaginez qu’un site donné puisse partager vos informations personnelles publiquement, les revendre sans aucune autorisation, voire même créer des faux profils à votre nom. L’exemple est peut-être extrême, mais si le pays en question autorise cela, on pourrait imaginer ces cas se présenter, et nous ne pourrions pas faire grand-chose pour les en empêcher.

Le premier point est donc l’uniformisation au niveau européen de la réglementation sur la protection des données personnelles. Ainsi, tous les pays européens doivent suivre les mêmes directives, et même les autres sites hors UE qui ciblent des internautes européens. Cela garantit donc une protection d’étendue maximale et mondiale.

 

Des fuites de données anonymes ?

Si vous avez lu mon précédent article sur les fuites de données et comment savoir si vous en êtes victime, vous vous êtes peut-être rendu compte que personne ne vous avait averti de quoi que ce soit. En somme, vous risquez de découvrir, des années après, que votre adresse e-mail ou mot de passe se retrouve dans la nature suite à un piratage d’un site sur lequel vous étiez inscrit(e). Le RGPD souhaite ainsi augmenter le niveau de responsabilité des entreprises en offrant divers droits à leurs clients, mais aussi en les obligeant à communiquer à l’autorité de contrôle compétente toute fuite de données à caractère personnel.

Note : Je pense cependant qu’il aurait été utile de préciser dans un paragraphe que les internautes doivent également être notifiés et non pas seulement l’autorité de contrôle…car je ne comprends pas vraiment comment elle pourra informer les internautes à moins justement d’imposer ensuite à l’entreprise de notifier les personnes concernées ?

 

Besoin de responsabiliser : la sécurité par défaut

C’est une notion qui n’est pas très nouvelle en sécurité informatique, mais qui est bien mise en valeur dans le RGPD. Les entreprises doivent concevoir leur service de façon sécurisée par défaut. On parle de « Privacy by design« . Cela impose aux entreprises de mettre en place des systèmes de sécurité et de contrôle efficaces, par exemple pour chiffrer des informations sensibles dans les bases de données ou encore de veiller à la sécurité du site et du serveur. À ce sujet, la CNIL conseille aux entreprises de mener divers audits de sécurité, en utilisant des outils de sécurité informatique ainsi que des systèmes de détection d’intrusion.

Source : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

 

Que cela change-t-il concrètement pour moi avec ce RGPD ?

Pardonnez-moi le terme, mais si vous êtes un internaute « normal » dans le sens où vous utilisez les réseaux sociaux et Internet de façon générale en tant que visiteur ou acheteur, ce règlement vous aide à mieux contrôler ce qui est fait de vos données personnelles. Les entreprises étant désormais obligées de se soumettre aux législations comme nous l’avons vu précédemment.

On voit déferler de nombreuses publications depuis plusieurs mois au sujet de la mise en conformité pour les entreprises, mais peu d’explications sont données quant aux changements concernant les droits des internautes. Je vais donc citer les principaux.

 

Ma sécurité est renforcée

Une très bonne nouvelle concerne d’abord le renforcement de la sécurité de vos comptes en ligne et de vos données personnelles. Bien des piratages utilisent ou volent nos données personnelles, et le fait d’avoir plus de sécurité et plus de contrôle sur celles-ci nous permet en toute logique d’obtenir un meilleur niveau de sécurité. J’avais mentionné précédemment le fait d’être informé d’une fuite de données ainsi que le fait pour une entreprise de mettre en place des mesures de sécurité efficaces pour protéger vos données. Ces points visent donc à améliorer la sécurité de vos informations. Attention, cela ne signifie pas pour autant qu’il faut relâcher votre vigilance et se mettre à partager encore plus d’informations sans penser aux conséquences.

 

Je dois donner un consentement explicite

Le bandeau cookies permettait jusqu’à présent de mentionner que la visite d’un site applique l’utilisation des cookies. Mais désormais les entreprises doivent s’assurer que le consentement est donné. Le débat sur la case à cocher ou non n’est pas encore totalement clos. Le RGPD demande un consentement libre, éclairé, spécifique et univoque. Je cite le règlement : « Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel.  »

Vous aurez donc le choix d’accepter ou de refuser soit tous les cookies, soit des cookies spécifiques, selon les possibilités techniques.

 

J’ai le droit à l’effacement

Ce droit n’est pas forcément nouveau, il simplifie en fait le droit à l’oubli. L’idée est de pouvoir demander la suppression de données personnelles selon divers motifs. Les motifs valables selon le Règlement Général sur la Protection des Données sont :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  • la personne concernée retire le consentement sur lequel est fondé le traitement, […], et il n’existe pas d’autre fondement juridique au traitement;
  • la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2; (NDLR: prospection ou profilage)
  • les données à caractère personnel ont fait l’objet d’un traitement illicite;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  • les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1. (NDLR: enfant âgé d’au moins 16 ans sauf conditions particulières)

C’est notamment en lien avec les deux premiers points que vous êtes en droit de demander la suppression d’un résultat de recherche Google vous concernant, via le formulaire mis à votre disposition. Mais attention, il vous faudra également faire la demande auprès de chaque site web traitant vos données personnelles. Voici un exemple de demande à envoyer :

« Madame, Monsieur,
Des informations me concernant sont actuellement diffusées sur votre site internet sur les pages suivantes :
[liens]
Conformément à l’article 17 du « Règlement général sur la protection des données » concernant le droit à l’effacement, je vous remercie de supprimer les informations suivantes :
[infos_a_supprimer] .
Je souhaite que ces informations soient supprimées car :
[motif_de_la_suppression]
Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées. « 

Mais il y a des pièges… car ce n’est pas si facile de complètement disparaître d’Internet. En effet, il existe des organismes qui peuvent tout de même enregistrer le contenu public sur Internet. Et cela en toute impunité et discrétion. À défaut d’avoir pu empêcher la publication de données personnelles vous concernant sur Internet, vous devez à présent partir à la recherche de toutes traces résiduelles de vos données personnelles. Sans quoi elles ne seront jamais vraiment effacées. Internet est complexe et une seule demande ne suffira peut-être pas, encore faut-il savoir qui détient et partage nos données. Pour découvrir plus d’informations sur le sujet, je vous invite à lire le guide suivant.

"RGPD : ce n'est pas si facile de disparaître entièrement d'Internet"Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

 

J’ai le droit à la transparence

Ce droit, lui aussi déjà existant, notamment avec la loi Informatique et Libertés, impose les entreprises d’indiquer clairement ce qui est récupéré sur les internautes et pourquoi. C’est l’article 12 du RGPD qui explique les modalités. En somme, vous avez le droit de demander les informations suivantes (liste non exhaustive) :

  • l’identité et les coordonnées du responsable du traitement
  • les finalités du traitement
  • les destinataires des données à caractère personnel, s’ils existent
  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  • l’existence d’une prise de décision automatisée, y compris un profilage,

Pour anticiper cette demande, nombreux sont les sites (et Le Blog Du Hacker en fait partie) qui expliquent directement dans leurs politiques de vie privée quelles sont les données récupérées et leur finalité. Par exemple quels cookies sont placés sur les ordinateurs des internautes et quelles informations sont traitées lors du remplissage d’un formulaire. Après tout, être transparent et correct vis-à-vis de ses visiteurs est une question de bon sens, et gage de qualité.

 

J’ai le droit à la portabilité de mes données

C’est l’une des grandes nouveautés du Règlement Général sur la Protection des Données. L’article 20 mentionne le droit d’obtenir nos données personnelles « dans un format structuré, couramment utilisé et lisible par machine ». Cela sous-entend que le traitement a été fait avec consentement préalable et de manière automatisée. L’article précise également la possibilité de demander le transfert direct de vos données personnelles d’un responsable de traitement à un autre. Cela dit, l’article mentionne que cela doit être « techniquement possible ». Il y a fort à parier que le transfert ne sera techniquement pas possible dans certains cas, les systèmes informatiques étant différents d’une entreprise à l’autre. Par exemple, il est difficile de transférer un achat d’un site vers un autre alors que ce dernier ne dispose pas du produit en question.

 

Conclusion

Le RGPD ajoute beaucoup de droits aux internautes et des devoirs aux entreprises. Le but étant d’uniformiser les traitements de données à caractère personnel et ainsi d’améliorer la protection de la vie privée de chacun. Cela dit, aucun changement n’est effectué auprès des bonnes pratiques de sécurité informatique : la vigilance, les connaissances et le bon sens restent applicables en toutes circonstances. L’idée n’est pas de compter sur les lois pour relâcher notre comportement en ligne, car bien des soucis peuvent être évités sans avoir besoin d’aucune loi.

 

Mise en garde si vous êtes une entreprise

Le RGPD est une opportunité de business pour beaucoup d’entreprises de sécurité et autres agences de publicité qui vendent à tour de bras des « conformités RGPD » sous forme de formation ou de livre blanc. Cela dit, (je sors un peu du cadre de l’article), si vous gérez une entreprise et que vous souhaitez la mettre en conformité, il est également utile de vérifier la crédibilité de l’organisme qui vous aide à appliquer le RGPD. En effet, même sans être expert sur le sujet, j’ai noté plusieurs grossièretés comme le fait qu’il faudrait « obligatoirement déclarer tous les traitements de données à la CNIL », alors que le site officiel indique lui-même que cette déclaration sera remplacée.

RGPD et CNIL

Pour une agence proposant des conformités, c’est très moyen ! Heureusement, bien des organismes vous proposent des mises en conformité parfaites, qui pour rappel, devront être faites avant le 25 mai… et c’est quelque chose de présent sur ma todo list également !

Laisser un commentaire

Lire plus :
Nuit Du Hack 2k15 – 5 places offertes

EDIT: Le concours est terminé ! Voici la liste des gagnants choisis aléatoirement via le site random.org parmi les commentaires...

Fermer