Comprendre le RGPD du point de vue de l’internaute

  1. Accueil
  2. Actualités
  3. Comprendre le RGPD du point de vue de l’internaute

Vous en avez à présent l’habitude : le fameux bandeau cookie est présent sur presque tous les sites web, et vous demande d’accepter les cookies afin de continuer votre navigation.

Le 25 mai 2018, un nouveau règlement européen voit le jour et renforce la sécurité des données personnelles.

Pourquoi renforcer la protection de mes données personnelles ?

Personne n’est dupe, l’informatique et les technologies évoluent vite…tout comme les cyberattaques et le nombre de victimes. Je ne vais pas m’attarder sur le fait évident qu’il y a de plus en plus de menaces et de failles de sécurité mettant en mal la quantité grandissante de données que l’on partage. Je vais plutôt parler d’autres points importants qui expliquent le renforcement de la protection de nos données personnelles.

Des législations différentes et des obligations différentes ? Ou le besoin d’uniformisation

Certes, si vous êtes en France, en Belgique, au Canada, en Suisse ou ailleurs dans le monde, vous êtes déjà soumis aux lois de votre pays, mais Internet est par définition sans frontières. Et tous les sites que vous visitez ne sont pas basés dans votre pays. Cela implique que vos moyens d’action sont réduits quant aux traitements de vos données et quant aux lois appliquées. En d’autres termes, imaginez qu’un site donné puisse partager vos informations personnelles publiquement, les revendre sans aucune autorisation, voire même créer des faux profils à votre nom. L’exemple est peut-être extrême, mais si le pays en question autorise cela, on pourrait imaginer ces cas se présenter, et nous ne pourrions pas faire grand-chose pour les en empêcher.

Le premier point est donc l’uniformisation au niveau européen de la réglementation sur la protection des données personnelles. Ainsi, tous les pays européens doivent suivre les mêmes directives, et même les autres sites hors UE qui ciblent des internautes européens. Cela garantit donc une protection d’étendue maximale et mondiale.

Des fuites de données anonymes ?

Si vous avez lu mon précédent article sur les fuites de données et comment savoir si vous en êtes victime, vous vous êtes peut-être rendu compte que personne ne vous avait averti de quoi que ce soit. En somme, vous risquez de découvrir, des années après, que votre adresse e-mail ou mot de passe se retrouve dans la nature suite à un piratage d’un site sur lequel vous étiez inscrit(e). Le RGPD souhaite ainsi augmenter le niveau de responsabilité des entreprises en offrant divers droits à leurs clients, mais aussi en les obligeant à communiquer à l’autorité de contrôle compétente toute fuite de données à caractère personnel.

Note : Je pense cependant qu’il aurait été utile de préciser dans un paragraphe que les internautes doivent également être notifiés et non pas seulement l’autorité de contrôle…car je ne comprends pas vraiment comment elle pourra informer les internautes à moins justement d’imposer ensuite à l’entreprise de notifier les personnes concernées ?

Besoin de responsabiliser : la sécurité par défaut

C’est une notion qui n’est pas très nouvelle en sécurité informatique, mais qui est bien mise en valeur dans le RGPD. Les entreprises doivent concevoir leur service de façon sécurisée par défaut. On parle de “Privacy by design“. Cela impose aux entreprises de mettre en place des systèmes de sécurité et de contrôle efficaces, par exemple pour chiffrer des informations sensibles dans les bases de données ou encore de veiller à la sécurité du site et du serveur. À ce sujet, la CNIL conseille aux entreprises de mener divers audits de sécurité, en utilisant des outils de sécurité informatique ainsi que des systèmes de détection d’intrusion.

Source : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Que cela change-t-il concrètement pour moi avec ce RGPD ?

Pardonnez-moi le terme, mais si vous êtes un internaute “normal” dans le sens où vous utilisez les réseaux sociaux et Internet de façon générale en tant que visiteur ou acheteur, ce règlement vous aide à mieux contrôler ce qui est fait de vos données personnelles. Les entreprises étant désormais obligées de se soumettre aux législations comme nous l’avons vu précédemment.

On voit déferler de nombreuses publications depuis plusieurs mois au sujet de la mise en conformité pour les entreprises, mais peu d’explications sont données quant aux changements concernant les droits des internautes. Je vais donc citer les principaux.

Ma sécurité est renforcée

Une très bonne nouvelle concerne d’abord le renforcement de la sécurité de vos comptes en ligne et de vos données personnelles. Bien des piratages utilisent ou volent nos données personnelles, et le fait d’avoir plus de sécurité et plus de contrôle sur celles-ci nous permet en toute logique d’obtenir un meilleur niveau de sécurité. J’avais mentionné précédemment le fait d’être informé d’une fuite de données ainsi que le fait pour une entreprise de mettre en place des mesures de sécurité efficaces pour protéger vos données. Ces points visent donc à améliorer la sécurité de vos informations. Attention, cela ne signifie pas pour autant qu’il faut relâcher votre vigilance et se mettre à partager encore plus d’informations sans penser aux conséquences.

Je dois donner un consentement explicite

Le bandeau cookies permettait jusqu’à présent de mentionner que la visite d’un site applique l’utilisation des cookies. Mais désormais les entreprises doivent s’assurer que le consentement est donné. Le débat sur la case à cocher ou non n’est pas encore totalement clos. Le RGPD demande un consentement libre, éclairé, spécifique et univoque. Je cite le règlement : “Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel.

Vous aurez donc le choix d’accepter ou de refuser soit tous les cookies, soit des cookies spécifiques, selon les possibilités techniques.

J’ai le droit à l’effacement

Ce droit n’est pas forcément nouveau, il simplifie en fait le droit à l’oubli. L’idée est de pouvoir demander la suppression de données personnelles selon divers motifs. Les motifs valables selon le Règlement Général sur la Protection des Données sont :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  • la personne concernée retire le consentement sur lequel est fondé le traitement, […], et il n’existe pas d’autre fondement juridique au traitement;
  • la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2; (NDLR: prospection ou profilage)
  • les données à caractère personnel ont fait l’objet d’un traitement illicite;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  • les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1. (NDLR: enfant âgé d’au moins 16 ans sauf conditions particulières)

C’est notamment en lien avec les deux premiers points que vous êtes en droit de demander la suppression d’un résultat de recherche Google vous concernant, via le formulaire mis à votre disposition. Mais attention, il vous faudra également faire la demande auprès de chaque site web traitant vos données personnelles. Voici un exemple de demande à envoyer :

Madame, Monsieur,
Des informations me concernant sont actuellement diffusées sur votre site internet sur les pages suivantes :
[liens]
Conformément à l’article 17 du “Règlement général sur la protection des données” concernant le droit à l’effacement, je vous remercie de supprimer les informations suivantes :
[infos_a_supprimer] .
Je souhaite que ces informations soient supprimées car :
[motif_de_la_suppression]
Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

Mais il y a des pièges… car ce n’est pas si facile de complètement disparaître d’Internet. En effet, il existe des organismes qui peuvent tout de même enregistrer le contenu public sur Internet. Et cela en toute impunité et discrétion. À défaut d’avoir pu empêcher la publication de données personnelles vous concernant sur Internet, vous devez à présent partir à la recherche de toutes traces résiduelles de vos données personnelles. Sans quoi elles ne seront jamais vraiment effacées. Internet est complexe et une seule demande ne suffira peut-être pas, encore faut-il savoir qui détient et partage nos données. Pour découvrir plus d’informations sur le sujet, je vous invite à lire le guide suivant.

« RGPD : ce n'est pas si facile de disparaître entièrement d'Internet »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

J’ai le droit à la transparence

Ce droit, lui aussi déjà existant, notamment avec la loi Informatique et Libertés, impose les entreprises d’indiquer clairement ce qui est récupéré sur les internautes et pourquoi. C’est l’article 12 du RGPD qui explique les modalités. En somme, vous avez le droit de demander les informations suivantes (liste non exhaustive) :

  • l’identité et les coordonnées du responsable du traitement
  • les finalités du traitement
  • les destinataires des données à caractère personnel, s’ils existent
  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  • l’existence d’une prise de décision automatisée, y compris un profilage,

Pour anticiper cette demande, nombreux sont les sites (et Le Blog Du Hacker en fait partie) qui expliquent directement dans leurs politiques de vie privée quelles sont les données récupérées et leur finalité. Par exemple quels cookies sont placés sur les ordinateurs des internautes et quelles informations sont traitées lors du remplissage d’un formulaire. Après tout, être transparent et correct vis-à-vis de ses visiteurs est une question de bon sens, et gage de qualité.

J’ai le droit à la portabilité de mes données

C’est l’une des grandes nouveautés du Règlement Général sur la Protection des Données. L’article 20 mentionne le droit d’obtenir nos données personnelles “dans un format structuré, couramment utilisé et lisible par machine”. Cela sous-entend que le traitement a été fait avec consentement préalable et de manière automatisée. L’article précise également la possibilité de demander le transfert direct de vos données personnelles d’un responsable de traitement à un autre. Cela dit, l’article mentionne que cela doit être “techniquement possible”. Il y a fort à parier que le transfert ne sera techniquement pas possible dans certains cas, les systèmes informatiques étant différents d’une entreprise à l’autre. Par exemple, il est difficile de transférer un achat d’un site vers un autre alors que ce dernier ne dispose pas du produit en question.

Conclusion

Le RGPD ajoute beaucoup de droits aux internautes et des devoirs aux entreprises. Le but étant d’uniformiser les traitements de données à caractère personnel et ainsi d’améliorer la protection de la vie privée de chacun. Cela dit, aucun changement n’est effectué auprès des bonnes pratiques de sécurité informatique : la vigilance, les connaissances et le bon sens restent applicables en toutes circonstances. L’idée n’est pas de compter sur les lois pour relâcher notre comportement en ligne, car bien des soucis peuvent être évités sans avoir besoin d’aucune loi.

Mise en garde si vous êtes une entreprise

Le RGPD est une opportunité de business pour beaucoup d’entreprises de sécurité et autres agences de publicité qui vendent à tour de bras des “conformités RGPD” sous forme de formation ou de livre blanc. Cela dit, (je sors un peu du cadre de l’article), si vous gérez une entreprise et que vous souhaitez la mettre en conformité, il est également utile de vérifier la crédibilité de l’organisme qui vous aide à appliquer le RGPD. En effet, même sans être expert sur le sujet, j’ai noté plusieurs grossièretés comme le fait qu’il faudrait “obligatoirement déclarer tous les traitements de données à la CNIL”, alors que le site officiel indique lui-même que cette déclaration sera remplacée.

RGPD et CNIL

Pour une agence proposant des conformités, c’est très moyen ! Heureusement, bien des organismes vous proposent des mises en conformité parfaites, qui pour rappel, doivent être faites depuis le 25 mai 2018…

Article lié qui peut vous intéresser : Être anonyme sur Internet

Commentaires
Cliquez ici pour ajouter un commentaire

  • bonne soirée michel le rgpd à tout de même une faille dans sont système pourquoi ?

    juridique

    la recherche des 3 nationalités propriétaire domaine serveur est extrêmement importante la nationalité induit le droit
    la justice les législations auquel est confronté l’utilisateur.en cas de litige ceci est précisé dans tous les contrats que vous
    acceptez en cochant une case qui a valeur de signature avec la société derrière le produit ou service que vous utilisez

    ces contrats et ce droit s’imposent obligatoirement à vous même si vous ne les avez pas lus.

    nota

    les clauses contractuelles ne peuvent s’appliquer qu’entre vous et une personne physique ou une personne morale
    société dûment et complètement identifiée. y compris pour les personnes morales par des codes d’enregistrement

    dans les registres des états registre du commerce et des sociétés ou registre des métiers ou préfectures de police
    en france siren siret etc. registre de la fiscalité de la tva etc.

    un contrat avec un site web est nul et non avenu un site web n’est ni une personne physique ni une personne morale.
    une clause juridique qui ferait référence à un nom de domaine au lieu de l’identité complète et vérifiable de son éditeur

    n’a pas par essence d’existence. un contrat ne peut être signé avec un fantôme cas des whois où les registrant sont masqués
    dont à cause d’une disposition criminelle du rgpd qui au prétexte de préserver la vie privée des registrant anonymise

    les cybercriminels et les escrocs !

    pour finir sûr une note de rigolade

    f-secure à fait très fort les internautes ne lisent pas les clauses contractuelles f-secure a prouvé que personne ne lit rien
    en matière de clauses et conditions ils ont introduit une clause folle qui a été acceptées les yeux fermés.

    dans une expérience conduite par f-secure un contrat d’utilisation d’un service à été complété d’une clause
    totalement folle.

    le premiers né de vos enfants

    en utilisant ce service vous vous engagez à renoncer à votre premier enfant né au profit de f-secure comme et quand
    la société l’exige.dans le cas où aucun enfant ne serait né votre animale de compagnie bien aimé sera pris à sa place

    les termes de cet accord se poursuivent pour l’éternité.

    Répondre

Laisser un commentaire

Menu