Le RGPD a apporté un avantage indéniable : les citoyens européens sont désormais beaucoup plus sensibles à la protection de leur vie privée en ligne. Il fut un temps où les internautes étaient beaucoup moins conscients des traces qu’ils laissaient sur internet.
Aujourd’hui, la plupart des sites nous informent de la présence de cookies traceurs, les entreprises nous envoient régulièrement des emails d’information dès qu’elles modifient leur politique de confidentialité, et nous, en tant qu’utilisateurs, jouons un rôle actif en acceptant expressément le traitement de nos données personnelles ou en recevant des annonces personnalisées.
Si vous ne connaissez toujours pas le RGPD, je vous conseille de lire nos anciens articles pour rattraper votre retard.
Malgré cette prise de conscience, cela ne suffit pas à protéger nos données personnelles. En effet, certains organismes ne sont pas totalement conformes au RGPD, mais il est difficile de s’en rendre compte si on ne sait pas où chercher.
Mais assez tourné autour du pot, je vais vous donner quelques outils pour vérifier la conformité d’un site internet avec le RGPD. Avec ces informations, j’espère que vous serez davantage sensibilisés au RGPD et que vous accorderez plus d’importance à vos données personnelles.
Où trouver ces informations sur un site ?
Le RGPD impose une obligation de transparence concernant le traitement de vos données personnelles. Vous devez donc être clairement informés de l’usage qui est fait de vos données. Pour trouver les informations relatives au RGPD, il n’y a pas de lien universel : les organismes peuvent informer les personnes concernées n’importe où sur leur site internet. Généralement, vous trouverez ces informations dans :
- Les conditions générales de vente (CGV) ou les conditions générales d’utilisation (CGU)
- La politique de confidentialité
- La section “RGPD”
- La FAQ du site
Quelles informations chercher ?
Entrons maintenant dans le vif du sujet : quelles informations devez-vous chercher pour connaître la conformité d’un site internet ? Au total, vous devriez chercher de 9 à 10 informations sur le site. Si vous ne les trouvez pas toutes, il est fort probable que l’organisme ne soit pas totalement conforme au RGPD.
1 – L’identité et les coordonnées du responsable de traitement ou du délégué à la protection des données
Le site web doit vous indiquer clairement qui est le responsable de traitement ou le délégué à la protection des données de l’entreprise. Il peut s’agir d’une personne physique ou morale, donc ne cherchez pas spécifiquement un nom et un prénom !
Les coordonnées du responsable de traitement ou du délégué à la protection des données doivent également être mentionnées sur le site. Il peut s’agir d’une adresse électronique, d’une adresse postale ou d’un formulaire sur le site… Bref, il s’agit d’un quelconque moyen de contact.
2 – Les catégories de données collectées
De nombreuses données vous concernant sont collectées sur internet sans que vous le sachiez ! Par exemple, en visitant un site marchand, celui-ci peut relever votre adresse IP (oui, c’est une donnée personnelle), déposer un cookie sur votre ordinateur pour vous proposer de la publicité personnalisée, etc.
Le RGPD impose d’indiquer clairement les types de données personnelles qui sont collectées, puis d’expliquer pour quoi elles seront utilisées. Juridiquement, cela correspond à la “finalité du traitement”.
3 – Les finalités du traitement
Les “finalités du traitement”… mais qu’est-ce que cela signifie exactement ?
Dans un langage plus simple, le site doit clairement mentionner pour quoi seront utilisées vos données personnelles.
Par exemple, si vous effectuez une commande sur internet, le marchand peut demander votre numéro de téléphone pour que vous receviez des notifications sur la livraison. La finalité est donc de vous offrir un suivi en temps réel de la livraison et permettre au livreur de vous contacter plus facilement.
Dès que la finalité en question est atteinte, l’organisme doit (en principe) supprimer les données personnelles collectées. Si on reste sur l’exemple de la livraison de colis, le livreur est censé supprimer votre numéro de téléphone de sa base de données dès lors que la livraison a été effectuée.
Néanmoins, un organisme ne peut collecter que les données qui sont strictement nécessaires pour atteindre la finalité poursuivie.
4 – La base juridique du traitement
La base juridique du traitement peut sembler complexe pour les non-juristes…
Pour faire simple, le RGPD autorise les organismes à collecter et traiter vos données personnelles dans six situations précises. Ces situations sont appelées “bases juridiques du traitement”. La collecte et le traitement de vos données doivent entrer dans le cadre d’au moins l’une de ces situations, sinon l’organisme enfreint le RGPD.
Bien évidemment, ces bases juridiques seront généralement rédigées de manière plus juridique dans un contrat, mais au moins, vous savez à quoi elles correspondent.
5 – Les destinataires des données
Le site doit clairement mentionner le destinataire de vos données personnelles. Il existe deux destinataires principaux :
- L’organisme qui a collecté vos données : les données restent en interne et ne sont partagées avec aucune partie tierce.
- L’organisme qui transmet vos données personnelles à des parties tierces : dans ce cas, les choses se complexifient. L’organisme doit vous informer du transfert et de la raison du transfert. Si vos données sont transmises à des tiers pour des finalités publicitaires ou commerciales, l’organisme doit vous laisser la possibilité de refuser ce transfert.
6 – Les transferts de données en dehors de l’Union européenne
Pour garantir la sécurité de vos données, les organismes n’ont pas le droit de transférer vos données personnelles vers des pays qui ne protègent pas suffisamment la vie privée. Le transfert des données vers l’étranger est très encadré pour éviter toute utilisation frauduleuse de vos données. Ainsi, l’organisme qui collecte vos données doit en priorité les stocker au sein de l’Union européenne, là où vos données seront protégées par le RGPD. Dans le cas où les données ne sortiraient pas du territoire de l’Union, les organismes n’ont aucune formalité à accomplir : ils peuvent traiter vos données dans n’importe quel pays de l’Espace économique européen.
Si l’organisme souhaite traiter vos données personnelles en dehors de l’Union européenne, cela devient plus compliqué. Le RGPD autorise le transfert des données vers des pays qui ont signé un accord avec les institutions européennes pour traiter les données conformément au RGPD. Ces pays sont considérés comme “adéquats”. Cependant, les transferts vers des pays tiers non-adéquats ne sont pas autorisés, sauf si l’organisme garantit des obligations très lourdes au destinataire des données, ou si le pays destinataire dispose d’une décision d’adéquation.
7 – La durée de conservation des données
Le site que vous visitez doit vous indiquer combien de temps il conserve vos données personnelles. Cependant, le RGPD ne prévoit pas de durée précise. En théorie, vos données doivent être effacées, anonymisées ou pseudonymisées une fois que la finalité poursuivie a été atteinte, c’est-à-dire lorsque l’organisme n’a plus besoin de vos données.
8 – L’exercice des droits
Le RGPD vous donne le contrôle sur vos données personnelles. L’organisme doit donc vous permettre d’exercer vos droits conférés par le RGPD, tels que le droit à l’effacement, à la rectification, à l’opposition du traitement, etc.
Les modalités d’exercice des droits dépendent des procédures mises en place par l’organisme. Certains peuvent créer une adresse électronique, tandis que d’autres privilégieront un courrier postal. N’hésitez pas à exercer vos droits auprès de l’organisme qui traite vos données. Lorsque vous aurez envoyé votre demande, il dispose d’un délai d’un mois pour y répondre gratuitement.
9 – Le droit d’introduire une réclamation auprès de l’autorité de contrôle
Si le responsable de traitement ou le délégué à la protection des données ne donne pas suite à votre demande dans un délai d’un mois, l’organisme doit vous informer que vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente.
10 – Les cookies
Enfin, il est important de prêter attention aux cookies lorsque vous visitez un site web. Le bandeau de cookies informe souvent sur la conformité d’un site avec le RGPD. Si le bandeau de cookies est conforme au RGPD, vous pouvez refuser le dépôt de ces cookies.
Même si cet article ne vous donne pas une solution miracle pour connaître la conformité d’une entreprise au RGPD ou empêcher des fuites de données, il vous aide à être vigilant et à exercer vos droits.
Alors, soyez curieux et prenez le contrôle sur vos données personnelles ! Et si vous constatez que votre entreprise n’est pas conforme au RGPD, contactez-nous pour obtenir des conseils personnalisés de la part de nos délégués à la protection des données. Nous sommes là pour vous accompagner dans toutes vos démarches pour vous conformer au règlement européen !
