“Celui qui combat peut perdre, mais celui qui ne combat pas a déjà perdu.” Bertolt Brecht

Protection des données personnelles par le RGPD: quel intérêt pour les particuliers ?

La protection des données personnelles a été renforcée par le règlement général sur la protection des données (règlement de l’Union européenne applicable dès le 25 Mai 2018 dans tous les Etats membres).

Vous avez dû recevoir de Google, de Facebook ou de toutes autres Sociétés présentes sur le net, des mails ou des notifications vous informant de ce bouleversement considérable dans le traitements des données personnelles des particuliers.

Bouleversement considérable surtout au niveau des risques financiers que courent les entreprises qui ne respecteraient pas ce règlement européen. Les sanctions pécuniaires sont extrêmement importantes.

C’est pourquoi  de  nombreux articles ont été publiés sur le RGPD, des legaltech sentent qu’il y a un marché et ont mis en ligne des sites pour aider les entreprises à se mettre en conformité, certains ne sont pas gérés par des avocats et sont à mon sens très peu en règle avec le périmètre du droit, rappelons que le conseil est une activité réglementée, les avocats font partie d’une profession autorisée à en délivrer.

La CNIL a d’ailleurs publié sur son site, une alerte vigilance qui doit vise à prévenir les entreprises sur les risques d’un mauvais accompagnement: Alerte vigilance CNIL !

Je n’ai pas lu beaucoup de billets qui traitaient de l’intérêt pour les particuliers de cette protection des données et de leurs moyens de défense si ce RGPD n’était pas respecté. Pourtant, et avant tout ce sont les particuliers qui bénéficient d’une protection renforcée grâce à ce règlement européen.

A part remplir vos boîtes mails d’informations sur le traitement de vos données personnelles, à quoi sert ce RGPD ?

Quels sont vos droits issus du RGPD ?

Si une entreprise ne respecte pas la réglementation en vigueur sur le traitement de vos données personnelles, quels sont les recours qui s’offrent à vous ?

A quoi sert le RGPD ( le règlement général sur la protection des données) ?

Avec internet, les sites, les Blogs, les réseaux sociaux, vos données personnelles sont traitées, retraitées et utilisées comme vous le savez.

Les entreprises vous suivent à la trace.

Lorsque vous visitez un site de ventes de chaussures, à peine quelques minutes après l’avoir visité, des encarts publicitaires sur des vendeurs de chaussures s’affichent au coin de votre ordinateur.

Nous sommes tous suivis et comme le dis si bien la quadrature du net, les grandes entreprises Google, Amazon ou encore Facebook savent tout de nous.

Savez-vous que 75% des applications que vous installez collectent des données personnelles ( localisation, contacts, appareil utilisé..) ?

C’est pour éviter  entre autre que la vie privée des particuliers ne soient accessibles d’un simple clic sur les moteurs de recherche que le traitement des données personnelles a été strictement réglementé.

Des obligations sont à la charge des entreprises qui collectent ses données personnelles pour permettre aux particuliers de refuser cette collecte de données personnelles ( en effet, le consentement au traitement des données personnelles devra être clair) de les rectifier, de demander l’effacement de ces données, en bref de pouvoir faire valoir leur droit à l’oubli.

La CNIL a condamné des Sociétés qui ne respectaient pas ce droit à l’oubli: ainsi un site internet diffusait sous forme de curriculum vitae des informations nominatives provenant de plusieurs réseaux sociaux. Les plaignants n’ont pas obtenu de la part de l’entreprise gérant ce site l’effacement de leurs données qui n’étaient pas à jour ou périmées. La CNIL a prononcé un avertissement auprès de la Société éditrice: délibération du 1er juin 2012.

Par ailleurs,les Sociétés doivent justifier vous avoir informé de la manière dont les données personnelles sont traitées, vous devez connaître l’interlocuteur qui gère les données personnelles et la démarche à suivre pour en demander la rectification ou l’effacement.

De même le but du traitement de ces données personnelles doit être clairement indiqué: est-ce de la prospection, est-ce pour l’envoi d’une commande, la prise de rendez-vous ?

Le traitement des données personnelles doit être par ailleurs sécurisé pour éviter le vol, le piratage des données.

Un site de location de voiture avait peu sécurisé les informations d’ordre personnel tel que l’adresse, le téléphone, le modèle exact du véhicule que les internautes qui louaient leur voiture avaient données. Ce site a fait l’objet d’un avertissement de la part de la CNIL: Décision du 20 juillet 2017, OUICAR. 

La protection des données personnelles n’est pas une protection nouvelle, le RGPD ne révolutionne pas la matière.

En effet dès 1978 ( la fameuse loi informatique et libertés du 6 janvier) puis en 2004 ( la loi pour la confiance en l’économie numérique loi dite LCEN ), des textes réglementent le traitement des données personnelles.

Très tôt, la France s’intéresse aux protections des données personnelles, réglemente notamment les fichiers.

Le règlement général sur la protection n’est pas révolutionnaire en soi, il ne bouleverse pas tant que cela la réglementation en vigueur.

Le bouleversement réside surtout dans l’effectivité qui veut être donnée de cette réglementation.

En effet, le pouvoir de sanction de la CNIL est augmenté, les Sociétés qui se risqueraient à ne pas respecter le RGPD peuvent être condamnées à une sanction pécuniaire pouvant aller jusqu’à 4% de leur chiffre d’affaires mondial. On comprend pourquoi certaines entreprises sont paniquées.

Quels sont les droits pour les particuliers issus du RGPD ?

Avec le RGPD, désormais tout européen pourra agir contre les Sociétés qui ne respectent pas la réglementation sur le traitement des données personnelles et ceci même si la Société en contravention avec ses obligations a son siège social à l’étranger.

Les articles 12 à 22 du RGPD réglemente les droits  » de la personne concernée », on peut relever entre autre:

  • le droit d’accès aux données personnelles: la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi qu’à différentes informations précisées à l’article 15 notamment les finalités du traitement, le droit d’introduire une réclamation auprès de l’autorité de contrôle, l’existence du droit à rectification…

  • le droit de rectification et droit à l’effacement ( droit à l’oubli): la personne concernée a le droit d’obtenir de la personne responsable du traitement des données personnelles une rectification des données la concernant si elles sont inexactes. De même, la personne concernée pourra obtenir un effacement de ses données personnelles par le responsable du traitement dans les meilleurs délais mais sous conditions, lorsque l’un des motifs suivants s’applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

c) la personne    concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

Attention, ce droit à l’effacement a des limites, il ne s’appliquera pas lorsque ce traitement est nécessaire notamment à l’exercice du droit à la liberté d’expression et d’information ou encore quand ce traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice (voir les autres limites article 17).

  • Droit à la portabilité des données

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque

a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b); et

b) le traitement est effectué à l’aide de procédés automatisés. (article 20)

  • Le droit d’opposition est un droit intéressant. En effet, la personne concernée peut s’opposer au traitement des données personnelles la concernant y compris des données destinées à un profilage. Cette opposition au traitement des données personnelles destinées à un profilage intéressera les salariés d’entreprises qui pratiquent « un scoring » de profilage destiné à évaluer ses performances.

Lorsque les données à caractère personnelles sont traitées à des fins de prospection, la personne concernée peut s’opposer à tout moment au traitement de ses données personnelles à telles fins.

Quels sont les recours possibles pour faire respecter le RGPD ?

Les recours qui s’offrent aux particuliers dont le traitement des données personnelles par une Société ou un site internet n’est pas conforme au RGPD sont nombreux.

Prenons l’exemple un particulier demande l’effacement de certaines de ses données qui ne sont plus d’actualité. Il a écrit à la Société qui exploite le site internet sur lequel figurent ces données, sans succès.

Ce particulier pourra dans un premier temps saisir l’autorité de contrôle ( la CNIL en France) d’une réclamation, allez visiter le site de la CNIL, vous pouvez déposer une réclamation: plaintes en ligne.

La personne concernée pourra aussi engager une action en justice ( article 79 du RGPD):

  1. Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

  2. Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

Une nouveauté de « taille » est inscrite à l’article 80, il est possible pour la personne concernée de mandater une association ou un organisme à but non lucratif dont les objectifs statutaires sont la protection des droits et des libertés des personnes et notamment des données personnelles. Cela signifie que les actions collectives, de groupe sont possibles.

La quadrature du net lancera dès le 25 Mai 2018 des actions contre les GAFAM ( Google, Apple, Facebook, Amazon et Microsoft), pour connaître cette action: GAFAM.

Pour finir, l’article 82 du RGPD prévoit un droit à réparation du dommage matériel ou moral du fait de la violation du RGPD.

Pour lire le RGPD: Le règlement UE 2016/679

Article Le Monde: RGPD, ce qui change pour les particuliers.

Par ailleurs lisez la fiche pratique publiée par la CNIL car il vaut mieux prévenir plutôt que guérir:

la CNIL a mis en ligne un article sur la maîtrise de vos données personnelles, plein de bon sens et de bons conseils (notamment comment choisir un mot de passe « béton »): Maîtrisez vos données personnelles

 

 

 

« »