Données personnelles

Nos combats et conseils pour les protéger

SYNTHÈSE

Une donnée personnelle est définie comme tout élément d’information pouvant vous identifier directement ou indirectement. Il s’agit par exemple de votre nom, de votre adresse physique ou e-mail, du lieu où vous vous trouvez, ou encore de votre historique de navigation. Cela inclut aussi les identifiants en ligne comme l’adresse IP de votre ordinateur ou les cookies conservés dans votre navigateur Internet et utilisés pour vous associer aux appareils et services que vous utilisez. Télécharger la brochure du Beuc (Bureau européen des associations de consommateurs).

Pour protéger leurs données personnelles, les consommateurs doivent aujourd’hui adopter rapidement les bons réflexes et les outils adaptés pour sécuriser leurs pratiques, notamment sur Internet. Mais au-delà de cette vigilance quotidienne, il est impératif de se mobiliser pour faire évoluer le cadre légal, insuffisamment protecteur, et pour faire pression sur les professionnels et les réseaux sociaux afin d’obtenir d’eux plus de transparence, de sécurité et de contrôle sur nos données.

C’est la raison pour laquelle l’UFC-Que Choisir fait reposer son action sur quatre engagements :

AGRANDIR LA PHOTO

DONNÉES PERSONNELLES : LES POINTS-CLÉS

• Quelles sont les limites du cadre légal en matière de données personnelles ?
• Quels sont les principaux enjeux et risques liés aux données personnelles ?
• Quels sont les bons réflexes et outils pour sécuriser ses données personnelles ?
• Quelles sont les mauvaises pratiques des professionnels en matière de données personnelles ?

QUELLES SONT LES LIMITES DU CADRE LÉGAL EN MATIÈRE DE DONNÉES PERSONNELLES ?

L’UFC-Que Choisir travaille activement à l’amélioration des protections et recours légaux au bénéfice des consommateurs. Au niveau national ou européen, l’association milite pour un cadre juridique protégeant les citoyens français face aux potentielles dérives et abus en matière de collecte et d’utilisation de leurs données personnelles. L’UFC-Que Choisir a aussi salué l’adoption du principe d’action de groupe permettant aux consommateurs d’obtenir réparation des dommages causés lors de l’atteinte à leurs données personnelles.

L’UFC-Que Choisir s’est impliquée dans la création du nouveau règlement européen sur la protection des données personnelles.

Validé le 15 décembre 2016 par le Parlement, le Conseil et la Commission européens, ce texte renforce la protection de la vie privée, permettant à chacun de mieux maîtriser ses données personnelles. Il est entré en vigueur le 25 mai 2018.

Un aboutissement que l’UFC-Que Choisir a évidemment salué, après plusieurs années d’investissement sur ce dossier dont les enjeux se complexifient à mesure que la donnée s’invite au cœur de nos modes de consommation.

Remplaçant une réglementation obsolète et disparate (elle datait de 1995, une époque où les enjeux d’Internet n’étaient pas vraiment les mêmes !), ce texte a permis de faire progresser les droits des consommateurs en matière de consentement à l’utilisation de leurs données, le droit à l’oubli, la portabilité et une protection étendue à l’étranger. Il renforce aussi les pouvoirs de sanction des autorités de protection des données européennes, comme la Cnil (Commission nationale de l’informatique et des libertés). Jean LESSI, son secrétaire général, rappelait d’ailleurs aussi dans un entretien avec Que Choisir, que  le règlement constitue, de plus, pour les professionnels, « une opportunité de rassurer le consommateur sur l’usage qui est fait de ses données ».

QUELS SONT LES PRINCIPAUX ENJEUX ET RISQUES LIÉS AUX DONNÉES PERSONNELLES ?

Si les consommateurs ont conscience de l’importance prise par la collecte de données dans leur quotidien, ils n’en mesurent pas toujours l’ampleur ou les potentielles répercussions.

L’UFC-Que Choisir a donc initié très tôt une série de campagnes d’information dans le but d’attirer l’attention sur les enjeux et risques. Ce chapitre vous propose donc de découvrir :

• un jeu en ligne sur la protection des données personnelles ;
• la synthèse de notre colloque « La donnée au cœur de nos modes de consommation » ;
• les questions / réponses de notre tchat « Données personnelles » ;
• notre campagne de mobilisation contre Facebook, Google+ et Twitter ;
• notre campagne de sensibilisation des consommateurs à la valeur de leurs données.

Un jeu en ligne sur la protection des données personnelles

L’UFC-Que Choisir a créé ce jeu « sérieux » (serious game) gratuit pour permettre aux consommateurs d’évaluer leurs réflexes quant à la préservation de leur vie privée et de leurs données. Guidé par un scénario ludique autour du mariage des deux protagonistes, le joueur les incarne pour faire avancer l’histoire, sans mettre en péril la confidentialité de leurs données bancaires, courriers électroniques ou comptes sur les réseaux sociaux. En savoir plus sur le jeu « J’accepte »

Colloque « La donnée au cœur de nos modes de consommation »

Le 14 décembre 2017, l’UFC-Que Choisir a organisé cet événement réunissant une vingtaine d’intervenants (juristes, économistes, universitaires, chercheurs, entreprises et acteurs institutionnels) . Les débats sans langue de bois ont porté sur l’économie de la donnée, le cadre réglementaire actuel et à venir, les objets connectés et la nécessité d’encadrer leur développement, au regard du respect de la vie privée et de la sécurité.

>> Télécharger les actes du colloque
>> Voir la vidéo sur le colloque (YouTube)

Tchat « Données personnelles : vos questions, nos réponses »

Constatant les nombreuses questions posées par les consommateurs sur ce sujet, l’UFC-Que Choisir a organisé un tchat le 6 avril 2017. Trois de nos experts ont ainsi répondu pendant deux heures à une cinquantaine de questions posées en direct. Précautions, bonnes pratiques, suppression des données, e-commerce, objets connectés : plus de 20 grands sujets ont été abordés. Les réponses sont accessibles intégralement et gratuitement.

Campagne de mobilisation contre Facebook, Google+ et Twitter

En juin 2013, l’UFC-Que Choisir a mobilisé les consommateurs pour dénoncer les clauses jugées abusives ou illicites dans les conditions générales de Facebook, Twitter et Google.

Inaccessibles, illisibles, remplis de liens hypertextes – entre 40 et 100 liens hypertextes – renvoyant parfois à des pages en langue anglaise, ces textes autorisaient la collecte, la modification, la conservation et l’exploitation des données des utilisateurs et même de leur entourage. Ils donnaient en outre, toujours sans l’accord particulier des utilisateurs, une licence mondiale, illimitée et sans rémunération, d’exploitation et de communication des données à des partenaires économiques.

Vos données personnelles n’ont pas de prix, ne les bradez pas !

En avril 2012, l’UFC-Que Choisir a lancé un site factice pour mener une campagne de sensibilisation sur l’importance de la protection des données personnelles à travers le prisme des comportements des consommateurs. Offrant des réductions importantes sur de nombreux bien et services, ce faux site proposait aux consommateurs de s’inscrire en laissant, s’ils le souhaitaient, de nombreux renseignements sur leur comportement et celui de leur entourage (famille, collègues), sans qu’il soit mentionné nulle part que le groupe derrière ce site respectait la loi informatique et libertés de 1978.

Par conséquent, les internautes n’avaient aucune assurance sur l’utilisation qui serait faite de leurs données, ni sur le respect de leurs droits.

Au final, plus de 1 100 internautes ne se sont pas méfiés, ce qui, compte tenu du caractère « intrusif » du questionnaire, était un nombre très important !

QUELS SONT LES BONS RÉFLEXES ET OUTILS POUR SÉCURISER SES DONNÉES PERSONNELLES ?

En plus d’agir pour faire évoluer les droits des consommateurs et les sensibiliser aux risques, l’UFC-Que Choisir propose un ensemble d’outils et de conseils pour leur permettre de sécuriser leurs données et pratiques au quotidien. Mots de passe, réseaux sociaux, piratage, wi-fi : voici une liste non exhaustive des conseils prodigués dans les pages de notre site Internet. Ce chapitre vous propose de découvrir :

• comment gérer vos mots de passe ;
• comment sécuriser votre navigation web ;
• comment utiliser les réseaux sociaux sans risque ;
• comment exercer votre droit au déréférencement ;
• comment résoudre vos litiges ;
• quels sont vos principaux droits en matière de données personnelles ;
• que faire si vos droits ne sont pas respectés.

Comment gérer vos mots de passe

Comment sécuriser votre navigation web

Comment utiliser les réseaux sociaux sans risque

Comment exercer votre droit au déréférencement

Comment résoudre vos litiges

Le 25 mai 2018, une nouvelle loi européenne sur la protection des données est donc entrée en application : le Règlement général sur la protection des données (RGPD). La loi exige de toute organisation, publique ou privée, de faire un usage approprié et transparent de vos données personnelles. Elle renforce vos droits et s’applique à toutes les organisations même basées hors de l’UE, dans la mesure où elles traitent les données personnelles de personnes situées dans l’Union.

Quels sont les principaux droits en matière de données personnelles ?

• Être informé de manière claire et compréhensible sur l’utilisation qui est faite de vos données personnelles, savoir quelles données sont collectées, par qui et dans quel but

• Accéder aux données que les organisations détiennent sur vous et en obtenir une copie

• Rectifier vos données si elles sont incorrectes

• Demander aux organisations de supprimer vos données

• Demander aux organisations d’arrêter d’utiliser vos données, de façon temporaire ou définitive

• Recevoir vos données sous un format couramment utilisé afin de pouvoir les réutiliser facilement ailleurs
• Contester les décisions automatiques lourdes de conséquences pour vous, prises sur la base de vos données personnelles (exemple : refus de prêt)
• Être informé si vos données sont perdues ou volées

Que faire si vos droits ne sont pas respectés ?

Vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (Cnil) via son formulaire en ligne de dépôt de plainte ou par courrier, en utilisant le modèle de lettre de signalement d’un manquement à la réglementation de protection des données à caractère personnel. Vous pouvez aussi aller en justice.

Vous pouvez également contacter une de nos associations locales pour être accompagné dans vos démarches ou soumettre votre litige en ligne.

Vous pouvez aussi introduire une action en réparation pour le dommage matériel ou le préjudice moral subi. Par exemple, un dommage matériel peut survenir si une entreprise ne protège pas suffisamment les données de votre carte de crédit, si les données sont volées ou en cas d’usage abusif de votre carte. Le préjudice moral inclut le stress que peut entraîner une divulgation illicite de données sensibles telles que les données de santé.

NB. Les entreprises en infraction peuvent se voir infliger une amende pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires global, la valeur la plus élevée étant retenue.
Source : brochure du Beuc

QUELLES SONT LES MAUVAISES PRATIQUES DES PROFESSIONNELS EN MATIÈRE DE DONNÉES PERSONNELLES ?

Chaque jour, nous semons des milliers de données sur Internet et ces dernières sont aujourd’hui de véritables moteurs de l’économie moderne. L’UFC-Que Choisir a pris soin d’expliquer les multiples façons dont le big business des données personnelles s’est développé au fil des années, soulignant notamment la manière dont ces collectes et analyses massives pouvaient servir à créer et vendre des listes de consommateurs ciblés selon des critères d’âge, de vulnérabilité ou de niveau de ressources.

La vigilance est donc de mise, et notre association entend veiller à rappeler aux professionnels leurs obligations vis-à-vis des consommateurs. Ainsi, en février 2016, l’UFC-Que Choisir a saisi la Cnil pour une mission de vérification des traitements de données personnelles par la société Happn via son application mobile, sur la base d’une analyse technique menée par nos homologues norvégiens Forbrukerrådet.

Notre association informe d’ailleurs régulièrement les lecteurs de ses publications des différentes mises en demeure et autres actions lancées par la Cnil (Uber, Malakoff Médéric et Humanis, Optical Center,  Darty, l’application WhatsApp, Brandalley.fr,  Google, l’Assurance maladie).

L’UFC-Que Choisir a aussi dénoncé :

• les limites de l’accord Privacy Shield ;
• les défaillances, connivences et clauses abusives des réseaux sociaux ;
• les petites astuces de Facebook pour contourner le RGPD ;
• les risques des objets connectés ;

L’UFC-Que Choisir dénonce les limites du Privacy Shield

L’accord Privacy Shield, adopté le 8 juillet 2016, est censé encadrer le transfert des données personnelles des consommateurs européens vers les États-Unis… malgré les inquiétudes formulées par le Parlement européen, plusieurs gouvernements, les Cnil et les associations de consommateurs européennes ! Ce « bouclier de protection vie privée » n’offre qu’une protection lacunaire aux ressortissants européens et laisse la porte ouverte à des dérives.

5 raisons pour lesquelles le Privacy Shield pose problème

• n°1 : il donne toute latitude aux services de renseignement américains : ils sont ainsi autorisés à procéder à des collectes massives et indifférenciées des données personnelles remontées depuis l’Europe ;
• n°2 : il rend les recours trop complexes : le dispositif de réclamation est stratifié et complexe, le principal recours en cas de décision préjudiciable rendue par les autorités américaines à l’encontre d’un ressortissant européen, étant un médiateur… nommé par le Secrétaire d’État américain !
• n°3 : il limite le droit à s’opposer au traitement de ses données : les consommateurs européens ne disposent de ce droit qu’en cas de « modification substantielle de la finalité du traitement », alors même que le droit européen offre le droit de s’opposer à un traitement de ses données personnelles à tout moment ;
• n°4 : il n’est pas clair quant au principe de finalité des données : ce principe – qui n’autorise la collecte d’une donnée que pour un usage délimité et légitime – n’apparaît pas clairement dans cet accord.
• n°5 : il n’est pas évolutif : ce nouveau règlement relatif aux données personnelles a été adopté sans clause de révision… de sorte que l’accord demeure calqué sur des dispositions datant de 1995 et non sur celles du nouveau règlement européen (RGPD).

Droit au respect de la vie privée : différences majeures entre l’UE et les USA.

Si leur protection est une liberté fondamentale au sein de l’UE, les données personnelles, aux USA, ne bénéficient d’une protection législative que dans certains domaines. Et les premières décisions du gouvernement Trump inquiètent : suppression du consentement de l’utilisateur à la vente de ses données de navigation par les FAI, acceptation d’un partage sans limite des données personnelles entre agences gouvernementales, vacances des différents postes censés garantir la bonne mise en œuvre du Privacy Shield, etc.

L’UFC-Que Choisir participe à un recours contre le Privacy Shield

Le Privacy Shield est donc une déconvenue, alors que l’UFC-Que Choisir a salué l’invalidation en 2015 par la Cour de justice de l’Union européenne de l’accord précédent (le « Safe Harbour »), au motif que les États-Unis n’offraient pas une protection suffisante des données personnelles par rapport à la législation en vigueur dans l’UE.

Cette action a cependant été entravée par l’opposition farouche de la Commission européenne qui remettait en cause la légitimité de l’UFC-Que Choisir à engager un recours sur ce sujet.

Mais en novembre 2017, le Tribunal de l’Union européenne a finalement jugé recevable notre intervention destinée à obtenir une réelle protection des données personnelles des consommateurs européens.

Cette décision nous permet donc de poursuivre notre action aux côtés des autres parties demanderesses et nous affûtons donc maintenant nos arguments pour que, in fine, le glaive de la Justice fasse plier le faux « bouclier » sur la vie privée !

Les défaillances, connivences et clauses abusives des réseaux sociaux

Facebook, Twitter et les autres réseaux sociaux brassent quotidiennement un nombre astronomique de données, déposées volontairement par leurs utilisateurs sur ces plateformes ou collectées à leur insu. L’entrée en vigueur du RGPD n’est évidemment pas une bonne chose pour ces sociétés dont les modèles économiques dépendent de la grande quantité de données amassées.

Schématiquement, plus le réseau social collecte des données, plus il est en mesure d’affiner des profils de consommateurs qu’il peut ensuite revendre aux annonceurs publicitaires.

Cet appétit féroce pour les données rend d’autant plus problématiques les défaillances de sécurité des réseaux sociaux, comme l’UFC-Que Choisir a pu le montrer en évoquant, en 2018, les millions de comptes Facebook piratés et la mise à nu des mots de passe de tous les utilisateurs de Twitter.

Deux victoires significatives contre Twitter et Google

Mais les risques pour les consommateurs ne s’arrêtent pas là : ils se cachent aussi parfois, dans les documents contractuels de ces plateformes. Ainsi, après plus de 4 années de procédure, l’UFC-Que Choisir a obtenu, le 7 août 2018, du tribunal de grande instance de Paris, la condamnation de Twitter à supprimer plus de 250 clauses abusives et/ou illicites présentes dans ses « Conditions d’utilisation », « Politique de confidentialité » et « Règles de Twitter » (jugement susceptible d’appel). Le réseau social a été également condamné à 30 000 € de dommages et intérêts et a l’obligation à peine d’astreinte de mettre le jugement à disposition des consommateurs à partir de la page d’accueil de sa plateforme. (>> Découvrez les principales clauses concernées).

Et l’UFC-Que Choisir ne s’est pas s’arrêtée là.  En février 2019, elle a remporté, au terme de 5 ans de procédure, une nouvelle victoire dans son combat pour permettre aux consommateurs de garder la main sur leurs données personnelles avec la condamnation de Google par le TGI de Paris pour 209 clauses abusives et illicites dans ses « Conditions d’utilisation » et « Règles de confidentialité ». Ce jugement (susceptible d’appel) est une importante avancée pour les consommateurs et l’association entend leur permettre d’en tirer toutes les conséquences.

D’autres décisions sont encore attendues, notamment concernant les conditions générales et de la politique de confidentialité de Facebook.

Les petites astuces de Facebook pour contourner le RGPD

Même si Facebook s’est engagé à se mettre en conformité avec le nouveau règlement, le réseau social n’entend pas évidemment s’imposer ces limitations pour l’ensemble de ses utilisateurs dans le monde entier ! Ainsi, Facebook a pris soin de changer l’adresse de son siège social, basé jusqu’à présent en Irlande, pour soustraire 1,5 milliard de comptes d’utilisateurs non-européens (soit 70% de ses abonnés) au champ d’application de la nouvelle loi.

L’entreprise – dont le siège est désormais à Menlo Park, en Californie – a aussi recours à différentes astuces graphiques et sémantiques pour détourner délibérément les utilisateurs des options de paramétrage les plus respectueuses de leur vie privée.

L’UFC-Que Choisir regrette que Facebook ne consacre pas plutôt ses ressources à la lutte contre la fraude et les escroqueries qui pullulent dans ses pages.
 

Les risques des objets connectés

La collecte des données personnelles des consommateurs ne dépend plus aujourd’hui des seules activités réalisées sur leur ordinateur.

Les smartphones sont, bien évidemment, devenus des cibles incontournables pour les professionnels avides d’informations sur leurs clients et prospects.

Comptes utilisateurs, achats en ligne, applications de services et même clavier de saisie : les interfaces se sont multipliées au fil des années, obligeant les consommateurs à livrer, plus ou moins consciemment, un grand nombre d’informations et même à donner accès à des dossiers, fonctions ou paramètres de leur smartphone.

Début 2018, l’UFC-Que Choisir a notamment dénoncé ces jeux qui vous espionnent en utilisant le micro du smartphone pour enregistrer le son du téléviseur et revendre aux publicitaires des informations précises sur les habitudes des joueurs !

Mais l’essor des objets connectés a augmenté les possibilités de collecte pour les professionnels. Que Choisir a ainsi invité les consommateurs à éviter les modèles de babyphones contrôlés sur une webcam et a aussi relayé les mises en garde de la Cnil concernant les enceintes intelligentes.

Notre association s’est montrée particulièrement vigilante concernant les jouets connectés.  Ainsi, en décembre 2015, l’UFC-Que Choisir a déposé plainte contre Vtech, à la suite de l’officialisation du piratage de la base de données de 2 millions de clients et utilisateurs français des jeux de la marque, et de l’information selon laquelle ce piratage aurait été rendu possible par la faiblesse de la sécurité mise en place par Vtech.

Puis, en 2016, l’UFC-Que Choisir a dénoncé des lacunes quant à la sécurité et la protection des données personnelles des enfants utilisateurs de la poupée connectée « Mon amie Cayla » et du robot connecté « i-Que » disponibles chez de nombreux vendeurs en France. Sur la base de ces inquiétants constats, l’association a saisi la Cnil et la DGCCRF.

Ce marché continuant de se développer, Que Choisir ne manque pas d’informer les consommateurs sur ces jouets connectés dont les données peuvent être facilement détournées ou dont les comptes utilisateurs font l’objet de piratage ou de fuite d’informations.

PARTAGEZ VOTRE EXPÉRIENCE AVEC NOUS !

RESTEZ INFORMÉ !

NOTES