Tchat données personnelles Vos questions, nos réponses
Tchat données personnelles
Vos questions, nos réponses
Animé par nos expertes à l’UFC-Que Choisir Justine Massera, juriste NTIC (nouvelles technologies), Karine De Crescenzo, responsable relations institutionnelles et Camille Gruhier, journaliste, l’objectif de notre tchat du 6 avril 2017 était de vous aider, en tant que particulier, à mieux comprendre et appréhender les données personnelles.
- 1. Quels enjeux pour nos données personnelles ?
- 2. Loi Informatique et libertés
- 3. Règlement européen
- 4. Précautions et bonnes pratiques pour protéger ses données personnelles
- 5. Les géants du Web et nos données personnelles
- 6. Les services alternatifs à Google
- 7. Obtenir la suppression de ses données personnelles
- 8. Courrier indésirable par e-mail
- 9. Supprimer un compte de messagerie
- 10. Mort numérique
- 11. Boutiques physiques, e-commerces, services en ligne et données personnelles
- 12. Données personnelles et pétitions
- 13. Payer sur Internet en toute sécurité
- 14. Paiement sans contact
- 15. Banques et données personnelles
- 16. Démarchage téléphonique et Bloctel
- 17. Le cloud et les coffres-forts électroniques
- 18. Objets connectés, compteur Linky et données personnelles
- 19. Données personnelles et employeur
- 20. QueChoisir.org et les données personnelles
- 21. Privacy Shield
- 22. Label de bonnes pratiques
QUELS ENJEUX POUR NOS DONNÉES PERSONNELLES ?
Quel danger représentent les données personnelles, étant donné que l’on vit dans un État démocratique ?
Avec l’utilisation croissante d’Internet, des réseaux sociaux, des smartphones, du développement du e-commerce, nous partageons chaque jour nos données personnelles avec notre entourage, mais également avec les entreprises, sans nécessairement en avoir conscience et sans savoir que ces dernières peuvent les utiliser, les modifier ou les transmettre, ni comment…
Produites continuellement, nos données personnelles sont aujourd’hui souvent qualifiées d’or noir du XXIe siècle, et pour cause. Ces informations en disent long sur notre vie privée puisqu’elles permettent de déterminer, par exemple, notre style de vie, nos habitudes d’achat, de cibler au mieux nos goûts… autant de données très prisées par les entreprises tentées par le sur-mesure et la revente de fichiers personnalisés. De plus, n’oublions pas que nous vivons dans un monde de plus en plus connecté (applications, domotique, Internet des objets, intelligence artificielle) dont les potentiels effets sur notre vie privée ne sont à l’heure actuelle pas encore mesurables.
Mais en effet, un cadre légal s’applique. Internet n’est pas un espace de non-droit pour vos données puisque le responsable d’un fichier ou d’un traitement de données personnelles d’un site Web, d’un forum, etc., doit se conformer à un certain nombre d’obligations légales et permettre aux internautes concernés d’exercer pleinement leurs droits. Encore faut-il que ce cadre soit appliqué et respecté et que les consommateurs aient les moyens d’exercer facilement leurs droits, et donc de reprendre la maîtrise de leurs données personnelles. La circulation de nos données ne connaît pas vraiment de frontières, ce qui accroît cette sensation de perte de contrôle. Le principal danger réside donc dans le fait que le consommateur soit dépossédé de son droit fondamental à la vie privée.
Les forums et réseaux sociaux sont-ils pourvoyeurs de mes données personnelles ? Qui est surtout demandeur de mes données personnelles ? Dans quel but ? Que faut-il absolument protéger et comment ?
Ces questions sont symptomatiques de la préoccupation croissante des consommateurs sur l’utilisation faite de leurs données et comment s’en protéger. L’importance de la question des données personnelles dans notre vie quotidienne a d’ailleurs largement été mise en avant dans la grande consultation nationale menée fin 2015 par l’UFC-Que Choisir, qui révèle que 69 % des consommateurs interrogés font de cette problématique une priorité.
Si nous sommes encore loin de pouvoir apporter des réponses exhaustives à l’ensemble de ces interrogations, ce tchat doit être l’occasion de fournir les clés de base concernant les droits des consommateurs en matière de protection des données et comment protéger, sécuriser ces dernières pour en garder le contrôle.
Comment se fait-il que l’article 12 de la convention des droits de l’homme ne soit plus respecté concernant la vie privée et par là toutes nos données personnelles, que les politiques votent des lois à l’encontre des droits de l’homme sans que personne ne leur rappelle nos droits, à nous le peuple ?
En effet, le droit au respect à la vie privée est un droit fondamental, affirmé dès 1948 par la Déclaration universelle des droits de l’homme des Nations unies (art. 12) puis à l’article 8 de la Convention européenne des droits de l’homme (CEDH). Pour lutter contre les dangers que le développement de l’informatique, le développement technologique peut faire peser sur les libertés et le respect de ce droit à la vie privée, la loi Informatique et libertés du 6 janvier 1978 impose un cadre légal. Mais encore faut-il que ce dernier soit respecté, comme vous le soulignez. La Commission nationale de l’informatique et des libertés (Cnil) s’assure de ce contrôle et peut sanctionner les entreprises qui ne se conforment pas au droit.
LOI INFORMATIQUE ET LIBERTÉS
À quoi sert la loi Informatique et libertés ? À nous protéger ou à aider la diffusion de données personnelles à des fins non maîtrisées ? Quelles sont les données considérées comme personnelles par la loi ?
Le concept de données personnelles reste parfois flou, alors qu’il est pourtant bien défini dans la loi. Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement. Concrètement, un nom, prénom, âge, sexe, code postal, numéro de téléphone ou numéro de sécurité sociale sont autant de données personnelles. Si, prises isolément, elles ne permettent pas nécessairement l’identification de la personne, le croisement ou la combinaison de plusieurs de ces données entre elles y suffisent (par exemple, le croisement d’une adresse IP avec votre nom).
La loi Informatique et libertés pose le cadre juridique qui permet aux entreprises de collecter et traiter des données personnelles pour fournir un certain nombre de services aux consommateurs (achats en ligne, utilisation d’un service type réseau social, souscription à une offre…), tout en assurant la protection et la maîtrise par ces derniers de leurs données.
La loi définit donc les principes à respecter lors de la collecte, du traitement et de la conservation de données personnelles (finalité précise, pertinence des données collectées, durée de conservation limitée, sécurisation…). Elle garantit également un certain nombre de droits pour les consommateurs (consentement à la collecte, droit d’accès, d’opposition, de rectification…). À noter que la loi numérique adoptée récemment érige d’ailleurs pour la première fois le droit au contrôle de ses données par le consommateur en principe législatif : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».
Nous sommes cernés de toute part : sur Internet, sur les routes, dans les magasins, dans les entreprises et dans nos villes, puis bientôt dans nos propres foyers. Comment ne pas envisager une action de masse de défense des citoyens consommateurs libres et tranquilles non pas pour s’opposer aux actions mais pour attaquer sur leurs conséquences qui sont punissables ?
Merci pour cette question très en lien avec l’actualité puisque, justement, la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle ouvre l’action de groupe au domaine de la protection des données personnelles.
Les consommateurs pourront obtenir en justice la cessation du manquement à la loi Informatique et libertés par le professionnel tel que l’arrêt d’un traitement illicite.
Mais si cette première étape (cessation de la pratique illicite) est bienvenue, contrairement à l’action de groupe dans les autres domaines celle ouverte dans le domaine des données personnelles ne donne pas droit à indemnisation pour les consommateurs faisant partie du groupe. C’est la grosse limite de ce nouveau droit.
RÈGLEMENT EUROPÉEN
Y a-t-il des lois en projet pour le développement de la sécurité de nos données personnelles ? Comment savoir si les entreprises sont bien équipées pour protéger nos données ? Vont-elles devoir être transparentes sur ce sujet ?
Le responsable de traitement est responsable lorsque la divulgation d’une donnée personnelle qu’il a collectée cause un dommage à la personne concernée (tel est le cas souvent en cas de fuite de données bancaires ou encore de données de santé), que cette divulgation soit volontaire ou résulte d’une négligence ou d’une imprudence, ce qui sera le cas de figure le plus habituel.
Dans les relations dématérialisées, la sécurité des données bancaires est concernée au premier chef. Si de telles données sont hackées, avec un degré de précision suffisant pour permettre au pirate d’effectuer des paiements frauduleux, la responsabilité du site dépositaire à l’origine de la fuite de données se trouvera engagée. En cas de vol de leurs données entraînant un paiement non autorisé, l’établissement bancaire doit rembourser immédiatement au payeur le montant de l’opération non autorisée.
La divulgation, par exemple, des nom, prénom, adresse et e-mail, ne suffit pas, en soi, à constituer un préjudice pour les personnes en question. Mais ces données sont des données personnelles et l’article 34 de la loi Informatique et libertés impose clairement à la charge du responsable du traitement une obligation de sécurité. Le non-respect de cet article est assorti d’une sanction pénale de cinq ans d’emprisonnement et de 300 000 € d’amende, jamais appliquée à ce jour.
Le règlement européen applicable à compter du 25 mai 2018 met à la charge du responsable du traitement et du sous-traitant l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (exemple : pseudonymisation, chiffrement, garanties de confidentialité, d’intégrité et de disponibilité des données). L’efficacité des procédures mises en place devra être testée régulièrement. Par ailleurs, le responsable de traitement devra notifier les failles de sécurité à la Cnil voire aux personnes concernées en cas de risque élevé.
Les responsables de traitements devront ainsi mettre en œuvre toutes les mesures nécessaires au respect de la protection des données personnelles, y compris pour garantir les droits d’information, d’accès, de rectification, d’effacement, de limitation, de portabilité des données et d’opposition. Ils devront être en mesure de démontrer aux personnes concernées ainsi qu’aux autorités de contrôle cette conformité à tout moment. C’est le principe dit d’accountability mis en place par le règlement.
PRÉCAUTIONS ET BONNES PRATIQUES POUR PROTÉGER SES DONNÉES PERSONNELLES
Est-on vraiment obligé de s’équiper d’outils numériques payants pour pouvoir protéger ses données personnelles ?
Non, quelques paramétrages gratuits permettent de limiter la casse : suppression des cookies dans le navigateur Internet, suppression des mots de passe qui y sont enregistrés, élaborer des mots de passe complexes et uniques pour ses différents comptes, etc.
Sur les navigateurs, quelle est la confidentialité réelle de la « navigation privée » ?
La navigation privée donne en effet l’impression de naviguer « en privé », mais en fait… pas vraiment. Quand le mode navigation privée est activé (tous les navigateurs Internet en proposent un), vos informations de navigation (mots de passe, cookies, historique, mémoire cache, etc.) sont consignées dans un dossier unique qui est automatiquement effacé quand vous fermez la fenêtre. Il offre donc une certaine confidentialité vis-à-vis des personnes qui partagent le même ordinateur que vous. Mais aucune vis-à-vis de l’extérieur. Pour éviter le tracking publicitaire, par exemple, il faut aussi activer l’option Do Not Track de votre navigateur.
Bonne ou mauvaise, l’influence des cookies ? Il faut avoir conscience de leur danger éventuel.
Lorsque vous naviguez sur Internet, les sites que vous visitez déposent des « cookies » sur votre ordinateur. Ces cookies sont parfois utiles : ils permettent par exemple de conserver les articles mis dans un panier lors de vos achats en ligne. Mais ils donnent aussi de nombreux renseignements sur votre navigation, renseignements qui serviront à cibler la publicité qui s’affichera par la suite sur votre écran.
Comment éviter les publicités intempestives et soi-disant ciblées, notamment celles qui gênent la consultation normale d’un site de presse, par exemple ?
L’affichage d’une publicité comportementale sur une page Web est déterminé en fonction de votre profil, en fonction des pages Internet que vous consultez. Ces publicités utilisent des traceurs, appelés cookies, qui permettent l’enregistrement de votre navigation permettant ensuite de vous envoyer des publicités en rapport avec vos centres d’intérêt. Vous pouvez refuser l’installation de cookies lors de votre navigation dans le bandeau cookies en haut ou en bas de page. Si vous n’avez pas refusé les cookies, vous pouvez retirer ce consentement à tout moment, simplement et gratuitement.
Vous pouvez aussi utiliser un logiciel de bloqueur de publicité intempestive pour éviter que votre écran ne soit envahi de fenêtres publicitaires pop-up lors de votre navigation.
Cependant, soulignons qu’il est parfois pratique de se voir proposer du contenu personnalisé pour trouver plus rapidement des produits ou services qui nous conviennent, comme des chansons en lien avec nos goûts musicaux sur les sites de streaming musical, par exemple.
Pour en savoir plus, consultez notre enquête sur les publicités ciblées.
De nombreux sites demandent la désactivation des bloqueurs de publicité type Adblock ou uBlock pour accéder au contenu. Que puis-je faire pour contourner cette demande ?
Rien ! Chaque site Internet est libre de vous faire cette requête. Les bloqueurs de publicités sont très pratiques pour les internautes, mais ils sont source d’inquiétude pour de nombreux sites, qui ne parviennent plus à vendre de publicité, ce qui remet en cause leur modèle économique. Si les annonceurs avaient été moins agressifs, avec des pop-ups intempestifs et des pubs qui occupent toute la page, sans doute n’en serions-nous pas là…
Est-il vrai que les compagnies aériennes, parce qu’elles vous ont repéré à la recherche d’un billet, augmentent leur prix lorsque vous demandez à nouveau le tarif quelques jours plus tard ? On dit qu’il faut changer d’ordinateur pour acheter son billet et ainsi brouiller les pistes, est-ce utile ?
En effet, de nombreuses compagnies de réservation pratiquent le « yield management », une méthode d’ajustement des prix. Une fois que la compagnie a repéré que vous êtes intéressé par tel ou tel vol grâce à votre adresse IP et les cookies déposés sur votre ordinateur, elle fait en sorte de vous stresser en augmentant le prix pour vous pousser à acheter le billet. Changer d’ordinateur est effectivement un bon réflexe.
Cela suffit-il d’effacer son historique pour ne pas laisser de traces ? Est-il conseillé d’effacer, à chaque fois que l’on quitte un navigateur, l’historique de navigation, cookies, cache, historique des formulaires et des recherches, connexions actives ?
Effectivement, supprimer uniquement l’historique ne suffit pas. Il est conseillé de supprimer également les cookies de son navigateur et de se déconnecter régulièrement des différentes sessions ouvertes, sur son webmail ou sur les réseaux sociaux.
Les antivirus gratuits sont-ils moins fiables que les payants ?
Il existe de bons antivirus gratuits, et de mauvais antivirus payants. Nous vous invitons à consulter notre test Antivirus.
Faut-il utiliser un VPN afin de garantir son anonymat sur Internet ?
Schématiquement, pour le grand public, l’intérêt d’un VPN (Virtual Private Network) consiste à sécuriser les connexions Internet non sécurisées. Dans la pratique, son intérêt est limité si vous surfez depuis chez vous. Mais passer par un VPN permet de sécuriser la connexion depuis un point d’accès public (dans les gares, les cafés, etc.). Ainsi, il sera plus difficile de vous identifier si vous vous connectez à des sites qui n’utilisent pas le chiffrement SSL.
Pourquoi la grande majorité des applications de nos smartphones ne peuvent s’installer si on ne les autorise pas à accéder à nos données ?
En effet, trop souvent, pour installer des applications et les utiliser, ces dernières demandent un consentement généralisé aux données personnelles (carnet d’adresse, nom, prénom, géolocalisation….) sans en préciser la finalité et surtout sans être pertinentes pour la fourniture du service. Il est plus que jamais nécessaire que le consommateur puisse garder la main sur ces données.
Plusieurs actions ont notamment été menées par les Cnil européennes pour limiter ces pratiques non conformes à la loi. L’entrée en vigueur du nouveau règlement européen va obliger les entreprises à protéger les données personnelles dès la conception et par défaut, et à renforcer les droits des personnes notamment sur le consentement.
À noter que depuis Android 6, Google a quelque peu amélioré les choses puisqu’on peut paramétrer, application par application, les autorisations qu’on lui concède. Ce n’était pas le cas dans les précédentes versions du système d’exploitation.
Comment protéger nos données personnelles ?
Sur votre ordinateur, mettez régulièrement à jour vos logiciels (navigateur, antivirus, pare-feu, etc.). C’est l’assurance de profiter de la meilleure protection.
Ne saisissez pas vos coordonnées personnelles sur des forums. Ces espaces de discussions sont trop exposés.
Ne relayez pas de messages type chaîne de lettres (« Envoie ce message à 10 contacts et tu deviendras riche ») ni par e-mail, ni sur les réseaux sociaux.
Pour vos achats sur Internet, assurez-vous du sérieux du site marchand : la connexion est-elle bien sécurisée (vérifiable avec la mention « https »), y a-t-il un numéro de téléphone, une adresse de siège social, etc.).
Effacez vos cookies sur ordinateur et smartphone.
Pour en savoir plus :
Refusez les cookies dans les paramètres (« Vie privée » ou « Confidentialité ») de votre navigateur Internet.
Activez aussi l’option « Do not track » (« Ne pas me pister »).
N’usez pas du même pseudonyme pour tous les services.
Diversifiez vos mots de passe et choisissez-les complexes. Changez-les régulièrement. Évitez de vous connecter à des sites avec vos identifiants Facebook.
Pour en savoir plus :
N’enregistrez pas les mots de passe dans votre navigateur.
Dans les paramètres de votre smartphone, limitez l’accès des applications à votre localisation, vos contacts (répertoire), etc.
Désinscription des newsletters : à la main ou avec des outils comme Unroll.me. Mais certains sites ne jouent pas le jeu et se désinscrire confirme juste que le mail est actif, les incitant à continuer d’envoyer du courrier indésirable.
Sur votre smartphone, supprimez les applications que vous n’utilisez pas et restreignez autant que possible les autorisations d’accès.
Désactivez le suivi publicitaire.
Limitez la géolocalisation.
Activez, quand elle est proposée, la validation en deux étapes.
Sur les réseaux sociaux, paramétrez la confidentialité de vos comptes Facebook, Twitter et autres.
Pour en savoir plus :
- Facebook (vidéo) – Sécurisez votre profil
- Twitter (vidéo) – Sécurisez votre compte
- Google+ (vidéo) – Bien paramétrer son compte
Contrôlez ce que vous postez en ligne et protégez votre identité (ne donnez pas de renseignements permettant de vous identifier, par exemple).
Voir aussi :
LES GÉANTS DU WEB ET NOS DONNÉES PERSONNELLES
Où en sont Google et Facebook dans l’exploitation de nos données, respectent-ils les lois ?
Google et Facebook vivent grâce à nos données personnelles qu’ils exploitent allègrement. Ils sont parfois dans l’illégalité. En 2015, l’UFC-Que Choisir a engagé une action devant le tribunal pour nettoyer les conditions générales des réseaux sociaux. L’action est toujours en cours.
Que peut-on faire lorsqu’on découvre, comme cela a été le cas avec Yahoo, que des accès à des comptes e-mails ont été piratés ? L’hébergeur ne nous dit pas si notre compte a été concerné. De plus, le délai d’information (plus d’un an dans le cas de Yahoo) ne permet pas de bien mesurer les impacts.
En cas de failles de sécurité et de violation des données personnelles, la loi prévoit actuellement que l’entreprise prévienne sans délai la Cnil. Avec l’entrée en vigueur de la réglementation européenne, ce délai sera fixe et porté à 72 h. Les personnes concernées ne sont notifiées qu’en cas de failles importantes (risque élevé).
Un petit mot quand même sur ce qu’on pourrait qualifier de « bizarrerie »… Suite à cette fuite, de nombreux utilisateurs ont constaté que le bouton qui permettait de rapatrier en un clic tous ses contacts était devenu inactif. De là à penser que Yahoo a eu un peu peur que ses clients changent de crémerie…
LES SERVICES ALTERNATIFS À GOOGLE
Existe-t-il des navigateurs Internet et des sites de recherche qui ne nous suivent pas à la trace et préservent notre vie privée ?
Il existe de nombreux services alternatifs à ceux de Google. Citons par exemple Qwant ou DuckDuckGo pour les moteurs de recherche.
Je viens de choisir Qwant comme moteur de recherche pour protéger mes données, ai-je fait le bon choix ?
Qwant affirme qu’il n’exploite pas nos données personnelles pour donner ses résultats de recherche. Attention, il reste partenaire de Bing (Microsoft) dont il est client de la régie publicitaire.
Je voudrais quitter Google Mail pour OpenMailbox, mais les commentaires ne sont pas engageants (pannes plus ou moins fréquentes, confidentialité des données incertaine…). Existe-t-il une boîte mail vraiment fiable ?
Choisir une boîte e-mail autre que celle de Google est déjà un bon réflexe en soi si l’on veut protéger au maximum sa vie privée. Difficile de conseiller un prestataire plutôt qu’un autre sans les avoir testés, mais la démarche d’OpenMailbox ou de ProtonMail est louable.
Je souhaite supprimer le pistage effectué par Google. Comment faire ?
Vaste chantier ! Google vous suit à la trace dans tout ce que vous faites dès lors que vous avez un compte : les mêmes identifiants servent pour tous les services, de Gmail à Google Maps, de Youtube à Google Drive. Ceci dit, en paramétrant scrupuleusement votre compte, vous pouvez fermer certaines vannes, comme par exemple le suivi de vos déplacements physiques en temps réel. Voici le lien pour gérer vos paramètres de confidentialité et désactiver l’historique des positions : https://privacy.google.com/#
Je cherche à me libérer de l’emprise de Google. Mais je n’ai pas trouvé de solution alternative pour les alertes et Google Maps. Existe-t-il des alternatives aussi performantes et peu chères ?
Excellente initiative, optez pour des services alternatifs à ceux de Google ! Il en existe des dizaines, dans tous les domaines. Framasoft en propose de nombreux. Pour les alertes, essayez Framanews. Et pour remplacer Google Maps, regardez du côté d’OpenStreetMaps.
OBTENIR LA SUPPRESSION DE SES DONNÉES PERSONNELLES
Peut-on exiger l’effacement de nos données personnelles sur un site français, et si oui comment peut-on vérifier cet effacement ?
Toute personne physique justifiant d’un motif légitime peut demander la suppression de ses données par le biais de son droit d’opposition.
La Cnil a mis en ligne un formulaire dédié permettant de créer un courrier officiel en seulement quelques minutes. Une fois votre lettre créée, vous devez la transmettre par voie postale au site à qui vous demandez de supprimer vos données personnelles. L’adresse d’un site Internet se situe généralement dans les mentions légales, en bas de la page d’accueil. Le site devra justifier, sans frais pour le demandeur, qu’il a procédé à la suppression.
Si votre demande reste lettre morte pendant plus de deux mois après réception de la lettre, ou si le site refuse votre demande, vous pouvez alors déposer une plainte en ligne auprès de la Cnil.
La loi numérique de 2016 a instauré un vrai droit à l’oubli pour les mineurs et pour les morts. Le règlement européen étend ce droit à l’oubli pour tous : vous pourrez, dès mai 2018, demander à une entreprise d’effacer vos données sous certaines conditions (par exemple, si vous aviez donné votre consentement pour que cette entreprise collecte vos données et que vous souhaitez retirer ce consentement).
L’entreprise devra également demander à toute autre partie qui duplique les données d’effacer vos données du traitement, de supprimer tout lien vers ces données ou toute copie ou reproduction de celles-ci.
Impossible de supprimer mes coordonnées (nom, prénom, adresse, numéro de téléphone fixe) du site Gepatroj.com, annuaire téléphonique par nom propre.
Gepatroj s’engage pourtant à supprimer sans délais vos coordonnées si vous ne désirez plus qu’elles soient affichées sur le Web, en cliquant sur l’icône en bas de votre adresse : c’est faux, ça ne se supprime pas. J’ai envoyé 3 messages restés sans réponse. Comment puis-je procéder pour obtenir la suppression effective de mes coordonnées ?
Vous avez fait jouer votre droit d’opposition auquel le site ne veut pas faire droit.
Si cela fait plus de deux mois que votre demande de désinscription a été faite, sans retour de la part du site, votre recours est maintenant de déposer une plainte en ligne auprès de la Cnil. Cette plainte sera traitée par la Cnil dans un délai de deux à trois semaines.
Depuis des années, un forum associatif et un article paru dans un journal apparaissent lorsque je tape les nom et prénom de mon époux dans Google, comment faire pour qu’ils disparaissent ?
Le droit d’opposition ne peut pas être exercé lorsque le traitement de données est nécessaire pour exercer le droit à la liberté d’expression et d’information. La jurisprudence considère d’ailleurs que les organes de presse peuvent refuser de donner satisfaction à une demande d’opposition dès lors que le retrait des données personnelles litigieuses priverait un article de tout son intérêt.
J’aimerais savoir s’il est possible d’effacer certaines traces qu’on laisse sur Internet, par exemple, celles que l’on obtient en tapant son nom ou en faisant des recherches sur Google (photos, adresses, voire commentaires…). Si oui, comment procéder ?
La Cour de justice de l’Union européenne a consacré en 2014 un droit au déréférencement qui vous permet de demander à un moteur de recherche de supprimer les liens de résultats de recherche qui apparaissent à la saisie de vos nom et prénom dans le moteur de recherche. Le droit au déréférencement ne signifie pas l’effacement de l’information sur le site Internet source : le contenu original reste consultable en allant directement sur le site à l’origine de la diffusion. Et si le moteur de recherche estime qu’une demande est manifestement abusive, il peut refuser d’y donner suite. Les principaux moteurs de recherche mettent à disposition un formulaire de demande de suppression de résultats de recherche.
Mes noms, adresse, date de naissance et tous mes numéros de téléphone s’affichent sur Google sans que je sache comment c’est possible. De plus, je ne suis pas abonnée sur les réseaux sociaux. Que puis-faire pour supprimer ces données ?
Il faut trouver la source de cette fuite : sur quel site Google a-t-il trouvé vos coordonnées ? Si ce n’est pas les réseaux sociaux, cela peut être un listing d’une association dont vous êtes membre, qui protège mal ses fichiers, par exemple. Une fois que vous avez identifié la source, faites supprimer vos données et Google finira par les désindexer au bout de quelques jours.
COURRIER INDÉSIRABLE PAR E-MAIL
Que pensez-vous de la confidentialité de Google+ ? Malgré un paramétrage strict, je reçois des notifications venant d’adresses e-mails étrangères à ma correspondance habituelle.
Un paramétrage de la confidentialité de Google n’empêche pas les spams, malheureusement.
Comment faire pour arriver à ne plus recevoir de pub ? L’option se désinscrire d’un mail (quand elle existe) ne marche qu’un moment, puis les pubs des mêmes entreprises reviennent. Comment faire pour s’opposer à l’utilisation de mes données ?
Les informations que vous communiquez à une entreprise peuvent être réutilisées pour vous envoyer ultérieurement des prospections commerciales par mail. Les échanges, locations ou cessions de fichiers clients sont monnaie courante dans les pratiques des entreprises. Des sociétés sont aujourd’hui spécialisées dans la
« compilation » de données concernant les internautes pour établir des « profils » de consommateurs qui seront ensuite revendus aux annonceurs, publicitaires et sociétés commerciales.
Mais des règles existent pour protéger les internautes : avant tout envoi d’une sollicitation par mail, l’entreprise doit recueillir le consentement du consommateur à recevoir de tels messages, sauf à ce que la sollicitation commerciale concerne des produits ou services analogues ou similaires à ceux que le consommateur a déjà acquis auprès de la même entreprise. Dans le second cas, vous devez au moins être informé que votre adresse électronique sera utilisée à des fins de prospection ultérieure et l’entreprise doit vous permettre de vous opposer à l’utilisation de vos coordonnées à tout moment, de manière simple et gratuite.
Avant de céder ou d’échanger vos coordonnées avec une autre entreprise, l’entreprise à laquelle vous avez donné vos données personnelles doit obtenir votre consentement par un moyen simple et spécifique (par le biais d’une case à cocher). Idem, vous devez pouvoir vous opposer à ce partage de données à tout moment de façon simple et gratuite. Pour des informations plus détaillées, consultez le guide de la Cnil.
Afin de déceler si une entreprise revend votre adresse, vous pouvez vous amuser à faire une faute d’orthographe dans votre nom ou prénom, ce qui permettra en cas de réception d’un mail comportant la même faute de savoir quel site a revendu votre adresse mail.
Je reçois régulièrement des mails publicitaires de diverses sociétés, et je tente désespérément de me désinscrire, comme proposé, mais les mails publicitaires indésirables reviennent sans cesse. Que peut-on faire ?
Il est fréquent que le bouton de désinscription ne fonctionne effectivement pas et que vous receviez par la suite de nouveaux mails de prospection de la part de l’entreprise émettrice. Dans ce cas, vous pouvez dénoncer cette entreprise comme spammeur à l’association « Signal Spam » (www.signal-spam.fr), plateforme nationale de lutte contre le spam, ou au service 33700 (www.33700-spam-sms.fr) et paramétrer votre navigateur de messagerie pour que les mails provenant de cette entreprise arrivent directement dans votre dossier courriers indésirables.
SUPPRIMER UN COMPTE DE MESSAGERIE
Est-il possible de supprimer définitivement un compte de messagerie et toutes les données qu’elles contiennent ?
La loi Informatique et libertés garantit à toute personne le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. En d’autres termes, l’accord donné pour le traitement de données relatives aux messageries électroniques peut être retiré si ce retrait est justifié par un motif légitime. La cessation de l’utilisation des services de messagerie devrait en tout état de cause constituer un motif légitime.
Dans ces conditions, vous pouvez donc exiger d’un fournisseur de services de communication au public en ligne qu’il supprime définitivement votre compte de messagerie, cesse ainsi de traiter l’ensemble de vos données de messagerie et exiger la confirmation qu’il ne traite plus ces données. Vous pouvez toujours porter plainte si vos demandes justifiées sont restées sans réponses.
Le règlement européen applicable à compter du 25 mai 2018, consacre par ailleurs le droit à l’effacement dit « droit à l’oubli ».
MORT NUMÉRIQUE
Lorsque quelqu’un décède, que deviennent ses e-mails et toutes ses données ?
La gestion, après leur mort, des diverses données mises en ligne par les consommateurs pose problème. D’abord, les héritiers n’en ont pas toujours connaissance. Ensuite, ils se heurtent, concernant les données personnelles, au refus des plateformes qui, même dans le cadre d’une succession, n’ont pas le droit de les transmettre. Depuis la loi numérique, chacun peut exprimer de son vivant ses volontés sur la conservation et la communication de ses données après son décès. Une personne pourra être désignée pour exécuter ces directives.
Lorsque la personne décédée n’a pas laissé d’instructions à un tiers de confiance, certains sites comme les réseaux sociaux et messageries offrent la possibilité de supprimer le compte d’un défunt de votre famille, via des formulaires de demande de suppression d’un compte d’un défunt.
Google accepte de collaborer avec la famille immédiate et les représentants légaux de l’utilisateur décédé afin de clôturer son compte. Dans certaines circonstances, Google offre la possibilité de restituer des contenus issus du compte du défunt.
Sur Facebook, l’utilisateur a la possibilité de demander la transformation d’un compte en compte de commémoration (sans pouvoir supprimer du contenu). De votre vivant, vous pouvez désigner un contact légataire qui gérera votre compte ou choisir tout de suite de le supprimer à votre mort.
Sur Twitter, vous pouvez demander la désactivation d’un compte sur le site, avec copie de votre carte d’identité et copie du certificat de décès.
· Réseaux sociaux (vidéo) • Comment gérer un décès
Microsoft propose d’envoyer un DVD contenant toutes les données du compte de la personne décédée (mails, pièces jointes, contacts) et de le clôturer. Certificat de décès, preuve du lien avec le défunt et copie de la pièce d’identité sont obligatoires.
Apple ne propose aucune démarche en ligne. L’examen des demandes se fait sur appel au service client.
BOUTIQUES PHYSIQUES, E-COMMERCES, SERVICES EN LIGNE ET DONNÉES PERSONNELLES
J’ai récemment utilisé plusieurs comparateurs d’assurance qui me demandent des renseignements très précis sur ma vie privée et ma situation professionnelle, mon respect du code de la route, mon numéro de téléphone et j’en passe. Quel usage est fait de ces données ?
La loi prévoit explicitement que toute collecte de vos données personnelles se fasse dans un but déterminé et que seules les données pertinentes pour atteindre ce but soient collectées. Par exemple, il apparaît logique dans le cas d’un comparateur (assurance habitation, mutuelle, énergie…), que l’internaute soit invité à renseigner le profil de consommateur le plus approchant de sa situation personnelle afin que les résultats proposés soient personnalisés et correspondent effectivement à sa situation.
Il n’en reste pas moins que le site doit vous informer de l’utilisation faite de vos données personnelles et le but de leur collecte. Les données renseignées doivent ainsi être celles qui sont utiles, nécessaires à l’entreprise pour vous fournir le service.
Si vous ne voulez pas répondre à toutes les questions, vous n’obtenez aucun prix, aucun devis. Ces données sont naturellement destinées à de futurs envois publicitaires. Pourquoi est-ce légal ? Pourquoi la loi n’oblige-t-elle pas ces sites à fournir leurs informations même si nous ne souhaitons pas répondre à leurs questionnaires indiscrets ?
Un certain de nombre de sites notamment « non payants » demandent en effet un enregistrement préalable via un formulaire pour accéder au service. L’adage selon lequel « si c’est gratuit, c’est que c’est vous le produit » est ressenti par bon nombre de consommateurs. Ces données servent bien souvent à alimenter des fichiers en vue de prospection commerciale et peuvent également faire l’objet d’échange, location, cession à des partenaires commerciaux.
Il n’en reste pas moins que la réception de publicités est facultative : aucun achat ne peut être conditionné à l’acceptation de recevoir une newsletter ou des sollicitations commerciales. Vous pouvez ainsi vous opposer à tout futur envoi publicitaire de la part de ce site par voie électronique, ce type de publicité nécessitant le recueil de votre consentement préalable, qui se matérialise par exemple par une case (ou des cases) à cocher pour accepter ces sollicitations.
Peut-on donner de fausses informations concernant notre identité (date de naissance, par exemple), sur des sites qui nous les demandent obligatoirement pour qu’on puisse s’inscrire, alors que ces informations ne sont pas indispensables pour la suite ?
Si certaines informations sont obligatoires à la création d’un compte client (comme les coordonnées pour les livraisons), d’autres sont facultatives (c’est souvent le cas de la date de naissance). Dans les cas où ces renseignements demandés ne sont pas nécessaires à la fourniture du service, par exemple la finalisation d’une commande en ligne, ils ne devraient pas être rendus obligatoires pour accéder à ce service. La fourniture d’une fausse information n’est pas problématique en soi à partir du moment où cette information n’est pas nécessaire à la fourniture du service ou non requise lors d’une déclaration officielle (impôts, sécurité sociale, vérification d’identité…).
Attention toutefois aux cas où cette donnée obligatoire vous ouvre un droit particulier, par exemple, une promotion ou un tarif préférentiel pour les moins de 25 ans ou encore la fourniture d’informations nécessaires à la finalisation d’une commande avec livraison (numéro de téléphone, adresse postale). Dans ces cas, la donnée est nécessaire à la transaction et un renseignement erroné pourrait potentiellement entraîner votre responsabilité contractuelle (fraude) ou tout simplement vous empêcher de recevoir le produit.
Qu’advient-il de nos données quand on nous demande notre nom, date de naissance ou ville dans un magasin, entre autres pour obtenir des avantages ou une carte fidélité ?
En effet, la proposition d’une carte de fidélité est bien souvent la norme lors du passage en caisse. Ces cartes vous invitent notamment à cumuler des points en fonction de vos achats qui vous permettront d’obtenir des bons d’achat ou des cadeaux. Pour y souscrire, des données personnelles vous sont demandées. Elles permettent aux enseignes de constituer des fichiers, bases de données qui dressent le portrait de vos habitudes de consommation, sur la base desquelles les entreprises pourront vous proposer des offres ciblées et des réductions sur des produits que vous êtes susceptibles d’acheter.
Mais là encore, le droit s’applique: l’entreprise doit vous informer de l’utilisation qui sera faite de vos données et vous permettre de vous opposer à toute sollicitation ultérieure par elle ou ses partenaires commerciaux. Faites donc bien attention, lors de la souscription à ces cartes, au consentement que vous donnez à l’entreprise pour l’utilisation de vos données. La loi vous permet également de pouvoir consulter les informations vous concernant détenues par le professionnel.
Pendant combien de temps les sites d’e-commerce, qui présentent de nombreux avantages par rapport aux magasins physiques, vont-ils pouvoir nous imposer le racket de nos données, même pour un seul achat ? Nous devrions avoir le droit de dire non sans être mis au ban.
De nombreux acteurs, dont l’UFC-Que Choisir, luttent au quotidien pour protéger au mieux les données personnelles des consommateurs, des internautes, des citoyens que nous sommes tous. Et croyez-nous, le combat est rude. Le commerce en ligne apporte en effet de nombreux avantages. Mais gardons en tête que la collecte de données personnelles se joue aussi dans les magasins physiques : cartes de fidélité, code postal demandé en caisse, etc.
La loi prévoit que la durée de conservation des données ne doit pas excéder la finalité, c’est-à-dire les raisons pour lesquelles elles ont été communiquées au professionnel. Par exemple, si vous avez obtenu un prêt bancaire, la banque pourra légitimement conserver les documents transmis pour l’obtention de ce prêt pendant toute la durée du prêt et jusqu’à la date de la dernière échéance du crédit.
DONNÉES PERSONNELLES ET PÉTITIONS
Je signe de nombreuses pétitions sur Internet. Quels inconvénients peut-il y avoir pour moi ? Je constate que je reçois de plus en plus de demandes de pétitions, y compris par des particuliers.
La signature de pétitions en ligne est, soumise à votre consentement. Il n’en reste pas moins que cette signature est conditionnée à votre enregistrement préalable sur le site qui héberge cette pétition, et donc à la collecte de certaines de vos données personnelles (notamment adresse e-mail). Ces données sont utilisées par le site pour lui permettre de vous envoyer par la suite des pétitions en rapport, a priori, avec les causes que vous avez soutenues.
Comme pour tout autre site, ces opérateurs sont tenus de respecter la législation sur les données personnelles et vos droits sont les mêmes que pour une commande en ligne, par exemple : votre consentement doit être recueilli pour le partage de vos données avec les partenaires du site et vous pouvez à tout moment vous opposer à recevoir de nouvelles sollicitations et vous désinscrire de la liste. Je vous invite à consulter notre dernière enquête sur le sujet.
PAYER SUR INTERNET EN TOUTE SÉCURITÉ
Je fais des achats sur Internet. Est-ce que je dois plutôt les faire sur mon smartphone, ma tablette ou mon PC ? Existe-t-il une différence pour la sécurité ?
Non, les cybermarchands offrent un niveau de sécurité identique quel que soit l’appareil avec lequel vous réalisez vos achats.
Comment payer en toute sécurité sur Internet ?
Ne communiquez jamais vos données bancaires sur un site non sécurisé.
Avant d’acheter, renseignez-vous systématiquement sur la réputation du site et privilégiez les achats sur les sites reconnus. Vérifiez, avant de payer en ligne, que le formulaire comprend une sécurisation HTTPS (un petit cadenas est visible dans la barre d’adresse de votre navigateur).
N’acceptez pas de communiquer une copie de votre carte de paiement sur demande d’un commerçant en ligne : il n’en a pas le droit.
Ne jamais conserver/enregistrer vos données relatives à la carte de paiement sur l’application ou dans votre navigateur, dans la mesure où ces terminaux ne sont pas nécessairement conçus pour garantir une sécurité optimale des données bancaires.
Mettez en place une double sécurité de paiement proposée par votre banque.
Faites attention aux faux sites (de la banque, de l’administration, d’un service auquel vous avez souscrit), qui vous demandent par quelque moyen que ce soit (e-mail, téléphone, écrit…) de fournir vos codes personnels et/ou identifiants et/ou coordonnées bancaires.
Pensez à bien sécuriser vos outils de paiement et vos terminaux : installez un antivirus fiable et mettez régulièrement à jour système d’exploitation, logiciels et applications.
J’hésite à communiquer mon numéro de carte bancaire mais sur certains sites, de transports notamment, on ne peut pas faire autrement pour acheter des billets. Quelle sécurité ? Y a-t-il des risques de piratage ?
Les sites sérieux de commerce en ligne utilisent les protocoles de cryptage les plus évolués (SSL). Mais le risque zéro n’existe pas, malheureusement.
Que faire face aux sites de vente en ligne qui conservent les données de carte bancaire par défaut sans prévenir l’acheteur ? Est-il possible d’obliger ces sites à supprimer ces données et à prouver cette suppression ?
En principe, les données bancaires doivent être supprimées un fois la transaction effectuée. Toutefois, les sites marchands peuvent conserver ces données à condition d’avoir recueilli l’accord des personnes concernées et de les avoir informées de l’objectif poursuivi. Quant au cryptogramme visuel, ce dernier peut être demandé à l’occasion de la transaction mais ne doit en aucun cas être conservé.
Aux termes de la loi Informatique et libertés, toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel, notamment en vue d’obtenir la confirmation que les données la concernant font ou ne font pas l’objet de ce traitement.
La loi Informatique et libertés garantit également à toute personne le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fasse l’objet d’un traitement.
En d’autres termes, l’accord donné pour la conservation des données bancaires peut être retiré si ce retrait est justifié par un motif légitime. La cessation de l’utilisation des services d’un site marchand ou encore l’absence de consentement au traitement des données bancaires devraient en tout état de cause constituer un motif légitime.
Dans ces conditions, vous pouvez donc exiger d’un site marchand qu’il cesse de conserver vos données bancaires et exiger la confirmation qu’il ne traite plus ces données. Vous pouvez toujours l’assortir d’une plainte si vos demandes justifiées sont restées sans réponses.
Certains sites marchands gardent les numéros de cartes bancaires en mémoire, et sans notre consentement : ces données sont-elles réellement en sécurité ?
En matière de sécurité et de confidentialité des données bancaires, la Cnil exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit « fort ». Les accès et les liaisons au site marchand doivent être également sécurisés.
La Cnil contrôle régulièrement des sites marchands en ligne pour s’assurer du respect de la loi Informatique et libertés. Elle s’assure ainsi notamment que les obligations en matière de sécurité, de droit d’accès et de suppression sont bien respectées.
Par ailleurs, le règlement européen applicable à compter du 25 mai 2018, consacre le droit à l’effacement, dit droit à l’oubli. Et renforce pour les entreprises les obligations de respect des droits des personnes avec des sanctions dissuasives.
Est-on en sécurité en réglant ses achats sur Internet par l’intermédiaire de Paypal ?
Bien que le risque zéro n’existe pas, les sites sérieux de commerce en ligne utilisent les protocoles de cryptage les plus évolués (SSL).
PAIEMENT SANS CONTACT
La carte bancaire qui permet de payer sans contact est-elle facilement piratable ? Peut-on refuser une telle carte à sa banque ?
À nouveau, le risque zéro n’existe pas. Mais pour communiquer, le terminal de paiement et la carte de paiement sans contact doivent être très proches. Pour pirater la transaction, il faudrait positionner un smartphone à quelques centimètres de la carte pour envoyer les données à un second téléphone, positionné, lui, près du terminal de paiement. Nous n’avons eu vent d’aucune attaque de ce type à ce jour. Quant à savoir si on peut la refuser, en théorie oui, mais dans la pratique, peu de banques laissent le choix. Seule La Banque postale nous a assuré qu’elle demandait le consentement exprès de son client.
BANQUES ET DONNÉES PERSONNELLES
Le plus important étant de protéger nos données lorsque nous interrogeons notre banque, comment faire pour une protection maximum ?
Les banques utilisent les protocoles de cryptages les plus sécurisés. Ils évitent aussi le piratage des comptes clients en utilisant un clavier virtuel pour les mots de passe. Cela permet de déjouer les attaques par enregistrement des données saisies sur clavier.
DÉMARCHAGE TÉLÉPHONIQUE ET BLOCTEL
Comment se défendre contre les appels téléphoniques publicitaires répétés ? Existe-t-il un service où s’adresser pour s’en plaindre et les interdire ?
La prospection téléphonique est aujourd’hui le seul système de démarchage où le consentement par défaut du consommateur (opt-out) est admis (contrairement aux e-mails et les SMS où le consommateur doit expressément accepter de recevoir des sollicitations). Et les secteurs ayant le plus recours au démarchage téléphonique sont souvent également les plus présents dans les litiges de consommation (travaux de la maison, énergie renouvelable, fournisseurs d’énergie), comme souligné dans la dernière enquête de l’UFC-Que Choisir sur le sujet. Il est donc en effet urgent de se prémunir contre ce démarchage.
Depuis le 1er juin 2016, les consommateurs peuvent s’inscrire sur une nouvelle liste d’opposition au démarchage téléphonique : le dispositif Bloctel. Il vous suffit de vous inscrire directement sur le site www.bloctel.gouv.fr.
Le service Bloctel étant, de toute évidence, un échec, que pouvons-nous faire pour stopper les appels commerciaux en tout genre ?
La mise en place du service Bloctel est récente (moins d’un an). Pour rappel, en 2011, le dispositif existant, Pacitel, était facultatif : rien n’obligeait une entreprise à adhérer au dispositif, lacune maintes fois dénoncée par l’UFC-Que Choisir. Le fait que les entreprises pratiquant le démarchage aient désormais l’obligation d’adhérer au dispositif Bloctel (loi du 17 mars 2014) devrait rendre le dispositif plus efficace que ses prédécesseurs.
Cependant, mis en place il y a moins d’un an, le bilan reste aujourd’hui mitigé du côté de l’efficacité. Notre enquête de janvier révèle ainsi que l’immense majorité des consommateurs s’y étant inscrits constatent que le nombre d’appels reçus dans le cadre d’un démarchage n’a pas ou que trop peu baissé. Sachez que si vous continuez à être démarché alors que vous êtes inscrit sur cette liste d’opposition, vous pouvez directement porter réclamation sur le service Bloctel. Je vous invite à consulter nos questions-réponses sur le sujet.
Je reçois encore des appels téléphoniques sur les économies d’énergie alors que je suis inscrit sur Bloctel, pourquoi ?
L’utilisation des coordonnées téléphoniques d’une personne inscrite sur une liste d’opposition constitue une infraction pénale. Mais pour que les entreprises soient sanctionnées, encore faut-il que l’application de la loi soit contrôlée.
Ainsi, lors de notre enquête en décembre 2016, 330 000 réclamations portées à la connaissance de Bloctel n’avaient abouti qu’à 2 sanctions administratives contre des professionnels. Cette déconnexion manifeste entre les réclamations et les sanctions souligne les efforts à conduire pour que les enquêtes menées par la DGCCRF se multiplient, et aboutissent rapidement à des sanctions.
Par ailleurs, si depuis la loi consommation de 2014, les sociétés pratiquant le démarchage téléphonique n’ont plus le droit de passer des appels en numéro masqué, certaines entreprises arrivent à contourner le dispositif illégalement et ne sont pas clairement identifiables. L’UFC-Que Choisir plaide ainsi pour la mise en place d’un système d’identification par un indicatif spécifique des appels à des fins de prospections commerciales, clairement identifiable par les consommateurs. Je vous invite à consulter notre pétition lancée sur le sujet.
LE CLOUD ET LES COFFRES-FORTS ÉLECTRONIQUES
Nos données stockées sur le cloud ou dans un coffre-fort électronique sont-elles en sécurité ?
Les services de cloud, que ce soit des services spécialisés comme Dropbox ou le cloud des opérateurs, ne sont pas à l’abri d’une attaque informatique ou d’une fuite de données. Protéger son compte avec un mot de passe fort, composé de minuscules, de majuscules, de chiffres et de caractères spéciaux, est essentiel. Des hackers auront bien plus de mal à accéder à vos données.
OBJETS CONNECTÉS, COMPTEUR LINKY ET DONNÉES PERSONNELLES
Les efforts fantastiques des fabricants pour nous faire acheter des « objets connectés » dont nous avons en fait très peu besoin vont à l’encontre de la nécessité pour la planète de stabiliser (à défaut de réduire) la consommation effrénée des ressources. De plus, ces objets ne sont-ils pas eux-mêmes appelés à collecter encore plus de ces données pour le plus grand bénéfice des fabricants ?
La mode des objets connectés part un peu dans tous les sens, c’est vrai. Ils sont bel et bien susceptibles de collecter des données. Les bracelets de bien-être, par exemple, en savent beaucoup sur votre activité quotidienne. Ces données pourraient intéresser des assureurs, par exemple. C’est inquiétant, mais l’UFC-Que Choisir veille au grain.
Que pensez-vous des données personnelles qui seront bientôt collectées par les futurs compteurs dit « intelligents », Linky, Gaspar… et de leur utilisation éventuelle à des fins commerciales ou de surveillance de notre vie privée ?
Le compteur communicant Linky ouvre à la fois des opportunités (meilleure connaissance de sa consommation d’énergie) mais génère aussi de nouveaux risques, notamment d’intrusion dans la vie privée (utilisation des données personnelles, piratage, etc.). La Cnil a largement participé au cadrage technique de la gestion des données.
Par délibération du 15 novembre 2012, la Cnil avait recommandé que la courbe de charge pour la gestion du réseau de distribution puisse être collectée sans le consentement des personnes. En revanche, les données destinées à la mise en place de tarifs adaptés à la consommation ne peuvent être collectées qu’avec le consentement exprès des personnes concernées. Elle avait par ailleurs recommandé que les abonnés puissent bénéficier d’une information spécifique lors de l’installation des compteurs communicants par la remise d’une plaquette d’information explicative.
La Cnil a par ailleurs considéré que l’enregistrement des données de consommation précises de l’abonné était légal si et seulement si cet enregistrement respectait les conditions suivantes :
- les compteurs Linky seraient paramétrés pour enregistrer en local la courbe de charge, au pas horaire, pour une durée maximale d’un an ;
- le consentement de l’abonné serait demandé pour la remontée de la courbe de charge dans le système d’information d’ERDF ainsi que pour la transmission de la courbe de charge aux tiers ;
- l’usager serait en position de s’opposer au déclenchement de ce stockage en local, par le biais d’une case à cocher, sans avoir à motiver sa décision ;
- l’usager pourrait, à tout moment, désactiver ce stockage et purger ses données (notamment en cas de déménagement).
Le compteur Linky peut mesurer trois grands types de données :
Les index de consommation : le compteur communique vers le gestionnaire de réseau les index nécessaires à la facturation sans consentement des personnes concernées.
La courbe de charge : représentation graphique de l’évolution de la consommation d’énergie pendant une durée déterminée, elle ne peut être collectée qu’avec le consentement de la personne concernée. Exceptionnellement, uniquement en cas de problème ciblé, la courbe de charge pourra être collectée sans le consentement.
Les données de qualimétrie et sur la sécurité du compteur : ces données n’ont pas un caractère personnel. Elles permettent à Enedis de vérifier les coupures de courant ou encore de vérifier les ouvertures du capot du compteur afin d’éviter les actes frauduleux.
Si vous avez un doute, vous pouvez toujours faire une demande d’accès aux données vous concernant traitées par Enedis et collectées via Linky, voire formuler une plainte auprès de la Cnil en cas de refus ou de manquement à l’obligation d’information. Mais dans tous les cas, la Cnil va être amenée à contrôler le respect de ces règles par Enedis.
En cas de non-respect, la Cnil pourra, à partir de mai 2018, infliger un simple avertissement (qui pourra être rendu public) dans les cas les moins graves, une injonction d’arrêter le traitement et, dans les cas les plus graves, une sanction pécuniaire pouvant représenter 4 % du chiffre d’affaires mondial avec un plafond à 3 millions d’euros.
Consultez notre dossier Linky
DONNÉES PERSONNELLES ET EMPLOYEUR
Quelles sont les données personnelles sur ses salariés qu’un employeur a le droit d’enregistrer dans ses bases de données ? Peut-il enregistrer les compétences de ses salariés, ou scanner et archiver des documents personnels comme le permis de conduire, par exemple ? Avec la nouvelle loi sur la dénonciation des salariés par leurs employeurs, la collecte des permis de conduire est de plus en plus répandue.
Les entreprises informatisent souvent leur processus de recrutement. Elles en ont le droit mais doivent néanmoins veiller à utiliser les informations collectées à bon escient. Les données collectées ne doivent servir qu’à évaluer la capacité du candidat à occuper l’emploi proposé.
Ainsi, l’entreprise ne peut pas demander le numéro de sécurité sociale du candidat, pas plus que ses opinions politiques ou syndicales par exemple. Lors de votre recrutement, si le travail proposé exige la conduite d’un véhicule, votre futur employeur peut vous demander si vous possédez un permis de conduire en cours de validité.
Une fois passé le stade du recrutement, l’employeur peut demander des informations complémentaires lors de l’embauche relatives à la gestion administrative du personnel (type de permis de conduire, personne à prévenir en cas d’urgence…), seules les personnes chargées de la gestion du personnel et vos supérieurs hiérarchiques, dans l’exercice de leurs fonctions, peuvent consulter les informations vous concernant.
Peut-on demander à notre ancien employeur d’effacer nos données personnelles de l’entreprise ?
Si vous ne demandez pas la destruction de votre dossier, les données sont automatiquement détruites 2 ans après votre dernier contact avec le recruteur. Une conservation d’une plus longue durée n’est possible qu’avec votre accord.
S’agissant des salariés, les données sont bien sûr conservées pendant toute la durée de la relation de travail.
Une fois que vous quittez l’entreprise, ces informations ne devront pas être conservées indéfiniment par l’employeur, la durée de conservation précise doit être déterminée en fonction de la finalité de chaque fichier (par exemple : le temps de la présence du salarié s’agissant d’une application de gestion des carrières, cinq ans pour un fichier de paie, deux ans après le dernier contact avec le candidat à un emploi pour un fichier de recrutement, un mois pour les enregistrements de vidéosurveillance…).
QUECHOISIR.ORG ET LES DONNÉES PERSONNELLES
Le site de QueChoisir.org fait appel à des fonctionnalités de GoogleTagManager. En participant à ce tchat, nous avons donc aidé Google à nous profiler, ne serait-ce qu’en lui apprenant que nous nous sentions concernés par le respect de notre vie privée. Considérez-vous qu’en tant que site de protection des consommateurs, vous devriez préserver la vie privée de vos visiteurs ? En conséquence, allez-vous retirer les fonctionnalités des GAFAM (Google Apple Facebook Amazon Microsoft) de votre site Internet ?
Nous ne pouvons pas retirer les outils Google de notre site car nous ne sommes pas en mesure d’assurer nous-même le service qu’ils rendent (notamment l’analyse du trafic de notre site via Google Analytics). Nos pages n’envoient aucune donnée personnelle autre que l’adresse IP, inévitable pour l’analyse du trafic.
Les outils réseaux sociaux n’envoient des données à ces plateformes sur votre activité que si vous êtes connectés sur la plateforme en question et si vous naviguez sur d’autres sites en même temps. Nous vous invitons donc à vous déconnecter de vos sessions de réseaux sociaux ou de vos comptes e-mails pendant que vous naviguez sur Internet. Une solution consiste à paramétrer son navigateur pour supprimer ses cookies à chaque fermeture.
PRIVACY SHIELD
Pour entrer aux USA, il est question d’avoir à communiquer aux autorités américaines les mots de passe des smartphones, tablettes, ordinateurs… donnant ainsi accès à toutes les données personnelles ou professionnelles que contiennent ces équipements. Comment l’Union européenne peut-elle répliquer ? Comment peut-elle protéger ses citoyens ?
Pour l’instant, ce n’est pas une obligation qui est faite aux citoyens européens mais un renseignement facultatif. Ceci dit, la préoccupation est bien présente et l’incertitude sur les futures évolutions américaines l’amplifie.
Sachez que le droit européen s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les cibler.
Entre l’Union européenne et les États-Unis, il existe le Privacy Shield, adopté en fin d’année dernière et qui prévoit que les États-Unis assurent un niveau de protection au moins égal à celui prévu pour les ressortissants européens en cas de transfert de données. Suite aux derniers développements américains, les Cnil européennes restent vigilantes sur leur conformité.
LABEL DE BONNES PRATIQUES
Pourquoi n’existe-t-il pas une charte de déontologie avec un logo clairement identifiable pour les sites respectant les données personnelles des utilisateurs (pas d’exploitation commerciale, droit de regard simplifié et droit à l’oubli à la demande, par exemple) ?
La Cnil peut délivrer un label aux procédures utilisées par les entreprises pour vérifier que les traitements mis en œuvre sont conformes à la loi Informatique et libertés. La Cnil peut également déterminer elle-même les procédures susceptibles de bénéficier d’un label, dès lors qu’elles assurent la protection des données à caractère personnel.
Toutefois, à ce jour, les labels Cnil ne s’appliquent pas directement à des traitements mis en œuvre par les entreprises mais seulement aux procédures utilisées pour vérifier que ces traitements sont bien conformes.
Par ailleurs, afin de favoriser la transparence et le respect du règlement européen applicable à compter du 25 mai 2018, ce dernier prévoit que les États membres et la Cnil en France devront encourager la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données.
Cette obligation a pour objectif de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent la nouvelle réglementation.
À la différence des labels Cnil actuellement mis en place, ces mécanismes de certification ont vocation à s’appliquer non seulement aux procédures de contrôle, mais également directement aux opérations de traitement.
Camille Gruhier
Karine De Crescenzo
Justine Massera