RGPD : UN PARAPLUIE POUR PROTÉGER SES DONNÉES PERSONNELLES
Auteure : Caroline Sauveur, AB-REOC
Nous avons tous entendu parler du fameux RGPD, le nouveau règlement européen sur la protection des données personnelles, entré en vigueur en Europe depuis le 25 mai dernier. De qui s’agit-il ? Nous protège-t-il de tous les abus en matière d’utilisation de nos données personnelles à des fins commerciales ?
En Europe, nous sommes mieux protégés que dans d’autres pays (comme les Etats-Unis par exemple) face à la numérisation croissante et assauts du marché publicitaire. Le RGPD a encore renforcé cette protection, avec cependant quelques bémols.
Le RGPD1 (Règlement général sur la protection des données) est entré en vigueur le 25 mai 2018. Il prévoit de nouveaux droits et obligations en termes de protection des données personnelles. L’intention du RGPD est qu’il y ait plus de transparence vis-à-vis des consommateurs, afin qu’ils sachent ce qu’il advient de leurs données personnelles, à qui leurs données sont transférées, dans quel but elles sont traitées…
Que recouvre la notion de données personnelles ?
Ce sont toutes les informations qui permettent d’identifier une personne de façon directe ou indirecte, comme par exemple : un nom, une adresse, une photo, un identifiant, un numéro de téléphone, une plaque d’immatriculation, une carte de crédit, un dossier médical… La définition du RGPD inclut également les données de géolocalisation ou encore le profilage.
Et le responsable de traitement, c’est qui ?
C’est l’entreprise, l’autorité publique, l’organisme qui décide « pourquoi » (l’objectif de la récolte de données) et « comment » (par quels moyens) vos données personnelles devront être traitées. Le RGPD s’impose à toute entreprise, européenne ou internationale, qui propose des biens ou services sur le marché européen. Dès qu’une entreprise collecte des données à caractère personnel sur un citoyen européen, alors le RGPD s’applique.
Les grandes nouveautés introduites par le RGPD
MINIMALISATION. Seules les données pertinentes et limitées à ce qui est nécessaire par rapport à l’objectif poursuivi peuvent être récoltées. Si davantage de données personnelles sont demandées au consommateur par rapport à ce qui est nécessaire, cela entre en conflit avec le RGPD. C’est le principe de limitation, de minimalisation des données. Un exemple. Votre nouvelle banque propose des prêts au logement à des taux intéressants. Vous achetez une nouvelle maison et décidez de changer de banque. Vous demandez à votre ancienne banque de clôturer tous vos comptes et de supprimer toutes vos données à caractère personnel. L’ancienne banque est toutefois soumise à une loi qui l’oblige à conserver toutes les informations relatives à ses clients. L’ancienne banque ne peut donc pas supprimer vos données, mais vous pouvez lui demander de ne conserver les données que durant la période exigée par la loi et ne plus s’en servir à des fins de marketing.
INFORMATION, OPPOSITION, EFFACEMENT. De plus, les droits existants comme le droit d’être informé sur la finalité du traitement, le droit d’opposition et à l’effacement des données sont mieux contrôlés et encadrés.
PORTABILITE. Autre nouveauté : le droit à la portabilité des données. A l’avenir, le consommateur pourra demander à un prestataire de service de lui fournir ses données personnelles dans un format courant et lisible facilement, et de les transmettre à un autre prestataire de service. Problème : Le droit à la portabilité ne vise que les données personnelles que le consommateur a « activement » fourni au responsable de traitement (photos, commentaires…). Mais quel sort est réservé aux autres données « générées » par le consommateur (comme les données de localisation ou les cookies par exemple) ? Sont-elles aussi visées par ce droit à la portabilité ? Le RGPD est malheureusement muet sur ce point. Par ailleurs, le RGPD ne dit rien non plus quant à une éventuelle utilisation ultérieure des données transférées par le premier opérateur. Sera-t-il autorisé à le faire ? Devra-t-il informer le consommateur ?
CONSENTEMENT. Le consentement doit être demandé de manière claire et concise, en utilisant des termes faciles à comprendre, et se distinguer clairement des autres informations telles que les conditions de vente. La demande doit préciser l’usage qui sera fait de vos données à caractère personnel et comprendre les coordonnées du responsable qui traite les données. Et le consentement doit être donné de manière volontaire. Un exemple. Le consentement peut être donné en cochant une case sur un site internet ; il ne sera par contre pas valable si la case est pré-cochée à l’avance. Et le consommateur pourra retirer son consentement à tout moment et tout aussi facilement qu’il l’a donné. Par exemple, en cliquant sur un lien de désinscription en bas d’une newsletter qui vous est envoyé.
Quels recours pour le consommateur ?
Vous devez tout d’abord contacter le responsable du traitement. Celui-ci doit répondre à votre demande dans les meilleurs délais et au plus tard dans un délai d’un mois. Si vous estimez son motif injustifié ou s’il ne vous répond pas du tout, vous pourrez déposer une plainte à l’Autorité de protection des données2.
Trois options possibles :
• Déposer une réclamation auprès de l’Autorité de protection des données3 Ses missions sont notamment de recevoir les plaintes des citoyens, de sensibiliser le public sur la protection des données personnelles, de surveiller la bonne application du RGPD et d’imposer des amendes.
• Intenter vous-même une action en justice
Désormais, vous pouvez demander au responsable du traitement concerné une réparation du dommage subi (cela peut être une perte financière ou une perte de réputation), en allant devant un juge.
• Intenter une action collective
Si vous ne voulez pas déposer une réclamation individuelle auprès du tribunal, vous pouvez mandater une organisation (telle que Test-Achats) qui pourra agir en votre nom.
Ce type d’action collective devrait augmenter considérablement car, finalement, les violations du RGPD affecteront un grand nombre de personnes. Pensez par exemple à une “fuite de données”. À l’avenir, un recours collectif dans ce contexte est donc possible. Non seulement l’action collective pourra contribuer à augmenter l’effectivité des droits des consommateurs, mais une action collective permet aussi de partager les coûts de procédure. Le RGPD permet également aux organisations de faire une réclamation collective indépendamment du mandat des personnes impliquées. Ce sont des cas dans lesquels cette organisation est d’avis que les droits des personnes impliquées ont été violés. La Belgique n’utilise malheureusement pas cette option (pour le moment).
Conclusion : « Bien », mais aurait pu mieux faire
Certes, les objectifs du RGPD sont louables : assurer plus de transparence pour le consommateur, afin qu’il soit mieux informé de ses droits, et qu’il devienne plus « consom’acteur ». Lui octroyer de nouveaux droits, comme le droit à l’accès et à la portabilité de ses données, le droit à la limitation du traitement, sont de très belles avancées dans un monde digital qui ne cesse
de prendre de l’ampleur. Cependant, permettre des limitations à l’exercice de ces nouveaux droits remet en question leur plus-value pour le consommateur. De plus, sur certains aspects, le RGPD est muet, ne précise pas assez les termes employés. La porte est (trop) souvent ouverte au responsable de traitement dans l’évaluation de l’ intérêt des parties concernées. Où sont les garde-fous ? Nous devrons donc rester extrêmement attentifs à la lecture du RGPD qui sera faite par la Cour de Justice de l’Union européenne et à la bonne application de celui-ci en regard des décisions qui seront prises par l’Autorité de protection des données (pourvues qu’elles soient rendues publiques…).
Notes de bas de page
1. Règlement (UE) 2016/679 du Parlement européen et du conseil du 27
avril 2016 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de
ces données, et abrogeant la directive 95/46/ce.
2. https://www.autoriteprotectiondonnees.be/
3. Idem
