Le RGPD a eu un avantage indéniable : les citoyens européens sont devenus bien plus sensibilisés à la protection de leur vie privée en ligne. Quelques années plus tôt, les internautes étaient bien moins conscients de toutes les traces qu’ils laissaient sur internet.
Désormais, la plupart des sites nous informent de la présence de cookies traqueurs, les entreprises envoient régulièrement des emails d’information dès qu’elles changent leur politique de confidentialité, et les utilisateurs jouent un rôle actif en acceptant expressément le traitement de leurs données personnelles ou de recevoir des annonces personnalisées.
À ce stade de l’article, si vous ne savez toujours pas ce qu’est le RGPD, je vous conseille de rattraper votre retard en lisant nos anciens articles.
Bref, même si la plupart des internautes ne comprennent pas forcément les enjeux du RGPD, ils sont conscients qu’ils laissent des traces sur internet et que leurs données personnelles peuvent être exploitées par des personnes tierces.
Cependant, cette prise de conscience n’est pas suffisante pour protéger ses données personnelles. En effet, certains organismes ne sont pas totalement en conformité avec le RGPD, mais il est difficile de s’en rendre compte si on ne sait pas où chercher.
Bon, j’arrête de tourner autour du pot : je vais vous donner quelques outils pour vérifier la conformité d’un site internet avec le RGPD. Avec ces quelques informations, j’espère que vous serez davantage sensibilisés au RGPD et que vous accorderez davantage d’importance à vos données personnelles.
Où trouver les informations liées à la conformité RGPD sur un site ?
Le RGPD impose une obligation de transparence concernant le traitement de vos données personnelles. Vous devez donc être clairement informés de l’usage qui est fait de vos données. Pour trouver les clauses relatives au RGPD, il n’y a pas de lien universel : les organismes peuvent informer les personnes concernées n’importe où sur leur site internet. Généralement, vous trouverez ces informations dans :
- Les conditions générales de vente (CGV) ou les conditions générales d’utilisation (CGU) ;
- La politique de confidentialité ;
- La section « RGPD » ;
- La FAQ du site.
Quelles informations chercher ?
Entrons dans le vif du sujet : quelles informations devez-vous chercher pour connaître la conformité d’un site internet ? Au total, vous devriez chercher 9 à 10 informations sur le site. Si vous ne les trouvez pas toutes, il est fort probable que l’organisme ne soit pas totalement conforme au RGPD.
1 – L’identité et les coordonnées du responsable de traitement ou du délégué à la protection des données
Si vous n’avez pas compris le titre de cette partie, voici un rappel terminologique rapide :
- Responsable de traitement : il s’agit de la personne physique ou morale qui collecte vos données personnelles et qui est chargé de les traiter.
- Délégué à la protection des données (DPO) : il s’agit de la tête pensante de la mise en conformité des entreprises. Il dispose d’une expertise accrue en protection des données personnelles et il est chargé d’informer et conseiller les entreprises sur la façon de mettre en œuvre le règlement européen.
Bref, le site web est censé vous indiquer clairement qui est le responsable de traitement ou le délégué à la protection des données de l’entreprise. Il peut s’agir d’une personne physique ou morale, donc ne cherchez pas spécifiquement un nom et un prénom !
Les coordonnées du responsable de traitement ou du DPO doivent également être mentionnées sur le site. Il peut s’agir d’une adresse électronique, d’une adresse postale ou d’un formulaire sur le site… Bref, il s’agit d’un quelconque moyen de contact.
2 – Les catégories de données collectées
Sans que vous le sachiez, de nombreuses données vous concernant sont collectées sur internet ! Par exemple, en visitant un site marchand, ce dernier peut relever votre adresse IP (oui, c’est une donnée personnelle), déposer un cookie sur votre ordinateur pour vous proposer de la publicité personnalisée, etc.
Plus clairement, pas besoin nécessairement de s’inscrire sur un site pour que celui-ci collecte vos données personnelles. Rien qu’en allant sur la page d’accueil, il peut déjà s’approprier quelques-unes de vos données.
Le RGPD impose d’indiquer clairement les types de données personnelles qui sont collectées, puis d’expliquer pour quoi elles seront utilisées. Juridiquement, cela correspond à la « finalité du traitement ».
3 – Les finalités du traitement
« Finalités du traitement »… mais que diable est cette expression barbare ?
Dans un langage plus simple, le site doit clairement mentionner pour quoi seront utilisées vos données personnelles.
Par exemple, si vous effectuez une commande sur internet, le marchand peut demander votre numéro de téléphone pour que vous receviez des notifications sur la livraison. La finalité est donc de vous offrir un suivi en temps réel de la livraison et permettre au livreur de vous contacter plus facilement.
Dès que la finalité en question est atteinte, l’organisme doit (en principe) supprimer les données personnelles collectées. Si on reste sur l’exemple de la livraison de colis, le livreur est censé supprimer votre numéro de téléphone de sa base de données dès lors que la livraison a été effectuée.
Néanmoins, ne divulguez pas n’importe quelle donnée sous prétexte qu’elle répond à une finalité ! Vous imaginez si un site marchand vous demandait votre numéro fiscal pour permettre la livraison de votre commande ? Vous trouveriez ça délirant, et vous auriez bien raison. De ce fait, la leçon à retenir est qu’un organisme peut uniquement collecter des données qui sont strictement nécessaires pour atteindre la finalité poursuivie.
4 – La base juridique du traitement de la conformité RGPD
Encore une expression extraterrestre pour la plupart des non-juristes…
Pour faire simple, le RGPD autorise les organismes à collecter et traiter vos données personnelles dans six situations précises. Il s’agit de la « base juridique du traitement ». La collecte et le traitement de vos données doivent entrer dans le cadre d’au moins l’une de ces situations, autrement, l’organisme enfreint le RGPD.
- Vous avez consenti à la collecte et au traitement de vos données personnelles. Si vous changez d’avis, vous pouvez retirer votre consentement à tout moment ;
- S’il est nécessaire pour exécuter un contrat que vous avez signé ;
- La loi oblige l’organisme à collecter vos données personnelles. Par exemple, la loi oblige les entreprises à demander le numéro de sécurité sociale de ses salariés pour les déclarer auprès des organismes compétents. Dans ce cas précis, l’entreprise n’aura pas à obtenir votre consentement pour collecter cette donnée personnelle ;
- Vos données personnelles sont nécessaires à la sauvegarde de vos intérêts vitaux ;
- S’il est nécessaire pour l’exécution d’une mission d’intérêt public ;
- L’organisme poursuit des intérêts légitimes. Cependant, cette base juridique ne suffit pas à elle seule ! L’organisme doit expliquer clairement pourquoi ses intérêts sont légitimes, sinon ce serait trop facile d’utiliser cette base juridique pour collecter n’importe quelle donnée personnelle.
Bien évidemment, ces bases juridiques seront généralement rédigées de manière plus juridique dans un contrat, mais au moins, vous savez à quoi elles correspondent.
5 – Les destinataires des données
Le site doit clairement mentionner le destinataire de vos données personnelles. Dans cette situation, il existe deux destinataires principaux :
- L’organisme qui a collecté vos données : les données restent en interne et ne sont partagées avec aucune partie tierce ;
- L’entreprise qui transmet vos données personnelles à des parties tierces : dans ce cas, les choses se complexifient. Elle doit vous informer du transfert et de la raison du transfert. Si vos données sont transmises à des tiers pour des finalités publicitaires ou commerciales, l’organisme doit vous laisser la possibilité de refuser ce transfert.
6 – Les transferts de données en dehors de l’Union européenne
Pour garantir la sécurité de vos données, les organismes n’ont pas le droit de transférer vos données personnelles au fin fond d’un pays perdu sur la carte. Le transfert des données vers l’étranger est très encadré pour éviter des violations de votre vie privée ou une utilisation frauduleuse de vos données. Ainsi, l’organisme qui collecte vos données doit en priorité les stocker au sein de l’Union européenne, c’est-à-dire là où vos données seront protégées et encadrées par l’application du RGPD. Dans le cas où les données ne sortiraient pas du territoire de l’Union, les organismes n’ont aucune formalité à accomplir : ils peuvent traiter vos données dans n’importe quel pays de l’Espace économique européen (comprenant les États membres de l’Union européenne, la Norvège, l’Islande et le Liechtenstein).
Si l’organisme souhaite traiter vos données personnelles en dehors de l’Union européenne, c’est plus compliqué pour vous et l’organisme. Le RGPD autorise le transfert des données vers des pays bénéficiant d’une « décision d’adéquation ». Cela signifie que le pays destinataire des données a signé un accord avec les institutions européennes pour traiter les données conformément au RGPD. Dans ce cas, les organismes ont le droit de transférer vos données personnelles vers ces pays adéquats, et ce, sans accomplir de formalités particulières. Cependant, la liste des pays adéquats se compte sur les doigts d’une main, comprenant notamment la Suisse, la Nouvelle-Zélande, le Japon, Andorre, l’Argentine, l’Uruguay et l’Israël. Si vous voulez voir la liste des pays adéquats, l’autorité de contrôle française a mis en ligne une carte interactive bien pratique !
Hormis les pays adéquats, les transferts vers des pays tiers ne sont pas autorisés. Cependant, un organisme vraiment motivé peut tout de même bénéficier d’une exception grâce au RGPD. Pour cela, l’organisme doit organiser un transfert de données « moyennant des garanties appropriées ». Pour faire simple, l’organisme peut transférer vos données dans un pays non-adéquat en imposant des obligations très lourdes au destinataire des données. Le RGPD recommande vivement de faire signer à l’autre partie les Clauses Contractuelles Types adoptées par la Commission européenne pour être certain que le transfert des données soit bien conforme au règlement européen. Toutefois, si l’organisme décide de ne pas reprendre ces clauses contractuelles, il devra obligatoirement obtenir l’accord de l’autorité de contrôle compétente pour effectuer le transfert de données. Bref, la procédure est très lourde et complexe afin de protéger vos données personnelles.
Enfin, sachez que les transferts de données vers les États-Unis sont en principe interdits, hormis si le destinataire des données a ratifié un accord appelé « Privacy Shield ». Le problème est que cet accord risque bientôt d’être invalidé par la Cour de Justice de l’Union européenne car il ne respecte pas toutes les exigences du RGPD. De ce fait, il est probable que le transfert de données outre-Atlantique devienne illicite du jour au lendemain.
Même si vous n’avez pas compris toutes ces explications, retenez juste que l’organisme doit vous informer si vos données seront transférées en dehors de l’Union européenne. Si tel est le cas, il doit vous indiquer si le pays destinataire dispose d’une décision d’adéquation ou de garanties suffisantes approuvées par la Commission européenne.
7 – La durée de conservation des données
Le site que vous visitez doit vous indiquer combien de temps il conserve vos données personnelles. Mais il y a un hic : le RGPD ne prévoit pas de durée précise.
En théorie, vos données doivent être effacées, anonymisées ou pseudonymisées une fois que la finalité poursuivie a été atteinte, c’est-à-dire lorsque l’organisme n’a plus besoin de vos données.
Cependant, il demeure quelques exceptions, notamment pour les conservations à des fins archivistiques. Mais je ne vais pas entrer dans les détails pour ne pas vous embrouiller l’esprit.
Retenez juste que le site doit vous indiquer clairement combien de temps vos données personnelles sont conservées.
8 – L’exercice des droits
Le RGPD a été rédigé avec un objectif noble : redonner aux personnes le contrôle sur leurs données personnelles. Traduction : vos données vous appartiennent et que vous pouvez en faire (quasiment) ce que vous voulez.
Pour exercer ce contrôle, l’organisme doit obligatoirement vous laisser exercer vos droits conférés par le RGPD. Vous savez, le droit à l’effacement, à la rectification, à l’opposition du traitement, etc ?
Les modalités d’exercice des droits dépendent des procédures mises en place par l’organisme. Certains peuvent créer une adresse électronique, alors que d’autres privilégieront un courrier postal. En tout cas, n’hésitez pas à exercer vos droits auprès de l’organisme qui traite vos données. Lorsque vous aurez envoyé votre demande, il dispose d’un délai d’un mois pour y répondre gratuitement.
9 – Le droit d’introduire une réclamation auprès de l’autorité de contrôle
Si le responsable de traitement ou le délégué à la protection des données ne donne pas suite à votre demande dans un délai d’un mois, l’organisme doit vous indiquer que vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente. Si le site a omis (par étourderie, bien sûr) cette indication, voici les liens des différentes autorités de certification francophones :
- France, rendez-vous sur le formulaire de la CNIL ;
- Belgique, tout se passe sur le site de l’APD ;
- Luxembourg, dirigez-vous vers le CNPD.
L’autorité de contrôle compétente étudiera ensuite votre réclamation et mènera une enquête auprès du site concerné.
10 – Les cookies
Cette dernière partie est la chose que vous devriez voir en premier en vous rendant sur un site web. Comme le sujet est un peu épineux avec les autorités de contrôle en ce moment, je préférais en parler à la fin de cet article.
Si vous ne connaissez pas grand-chose aux cookies web, vous pouvez lire l’un de nos anciens articles pour nourrir votre culture générale.
Bref, vous devriez faire attention à une chose dès que vous visitez un site web : le bandeau de cookies. Vous savez, la petite bannière que personne ne prend jamais 10 secondes pour lire ? Généralement, elle vous informe que des cookies sont déposés sur votre ordinateur, et certains d’entre eux ont une vocation commerciale ou publicitaire. Si le bandeau de cookies est conforme au RGPD, vous pouvez refuser le dépôt de ces cookies.
En pratique, refuser le dépôt de cookies sur son ordinateur relève souvent du parcours du combattant. À titre d’information, je n’ai toujours pas trouvé de méthode viable pour désactiver les cookies de Yahoo! News en moins de 15 minutes. Si vous avez des tutos pour ce site, je suis preneur.
Beaucoup d’organismes ne sont pas fair-play et cherchent à dissuader l’utilisateur de désactiver les cookies. La raison est simple : les cookies publicitaires constituent souvent une source de revenus importante, donc beaucoup d’acteurs sont réticents à l’idée de nous laisser avoir le contrôle sur nos données.
Mais rassurez-vous, la situation s’arrangera très prochainement grâce à une solution miracle : le règlement ePrivacy. Ce règlement vise à compléter le RGPD en encadrant le marketing en ligne, notamment l’utilisation des cookies sur les sites internet. « C’est une super nouvelle ! », me direz-vous. Effectivement, c’est super… sauf que le règlement n’existe pas encore.
ePrivacy aurait dû entrer en vigueur en même temps que le RGPD en 2018, mais il est devenu l’arlésienne de l’Union européenne parce que personne n’arrive à s’accorder sur son contenu. L’ancien Parlement européen a fini par abandonner et a refilé la patate chaude aux nouveaux députés après les élections de mai 2019. Maintenant, il ne reste plus qu’à croiser les doigts pour que la situation évolue rapidement.
En attendant, essayez au maximum de prêter attention aux cookies lorsque vous arrivez sur la page d’accueil d’un site. Le bandeau de cookies est un excellent indice pour se rendre compte de la conformité d’un site avec le RGPD !
Petit récapitulatif de la conformité RGPD
Même si vous n’avez pas tout compris (ou lu) dans cet article, ce n’est pas grave. L’important est que vous vous intéressiez à vos données personnelles. Le RGPD vous redonne le pouvoir sur vos données, donc saisissez-le et utilisez-le. Soyez curieux, et à force, vous finirez par être beaucoup plus sensibilisés à vos données personnelles et votre droit à la vie privée.
De toute évidence, cet article n’est pas une solution miracle pour connaître la conformité d’une entreprise au RGPD ou empêcher des fuites de données, mais il vous aide à être vigilant et à exercer vos droits.
Et si certains d’entre vous, chers lecteurs, se sont aperçus que leur entreprise n’est pas totalement conforme au RGPD, tout va bien se passer ! Contactez-nous pour obtenir des conseils personnalisés de la part de nos délégués à la protection des données. Nous vous accompagnerons dans toutes vos démarches pour vous conformer au règlement européen !