Actualités

RGPD : UN PARAPLUIE POUR PROTÉGER SES DONNÉES PERSONNELLES

Auteure : Caro­­­­­­­­­­­line Sauveur, AB-REOC

Nous avons tous entendu parler du fameux RGPD, le nouveau règle­­­­­­­­­­­ment euro­­­­­­­­­­­péen sur la protec­­­­­­­­­­­tion des données person­­­­­­­­­­­nelles, entré en vigueur en Europe depuis le 25 mai dernier. De qui s’agit-il ? Nous protège-t-il de tous les abus en matière d’uti­­­­­­­­­­­li­­­­­­­­­­­sa­­­­­­­­­­­tion de nos données person­­­­­­­­­­­nelles à des fins commer­­­­­­­­­­­ciales ?

En Europe, nous sommes mieux proté­­­­­­­­­­­gés que dans d’autres pays (comme les Etats-Unis par exemple) face à la numé­­­­­­­­­­­ri­­­­­­­­­­­sa­­­­­­­­­­­tion crois­­­­­­­­­­­sante et assauts du marché publi­­­­­­­­­­­ci­­­­­­­­­­­taire. Le RGPD a encore renforcé cette protec­­­­­­­­­­­tion, avec cepen­­­­­­­­­­­dant quelques bémols.

Le RGPD1 (Règle­­­­­­­­­­­ment géné­­­­­­­­­­­ral sur la protec­­­­­­­­­­­tion des données) est entré en vigueur le 25 mai 2018. Il prévoit de nouveaux droits et obli­­­­­­­­­­­ga­­­­­­­­­­­tions en termes de protec­­­­­­­­­­­tion des données person­­­­­­­­­­­nelles. L’in­­­­­­­­­­­ten­­­­­­­­­­­tion du RGPD est qu’il y ait plus de trans­­­­­­­­­­­pa­­­­­­­­­­­rence vis-à-vis des consom­­­­­­­­­­­ma­­­­­­­­­­­teurs, afin qu’ils sachent ce qu’il advient de leurs données person­­­­­­­­­­­nelles, à qui leurs données sont trans­­­­­­­­­­­fé­­­­­­­­­­­rées, dans quel but elles sont trai­­­­­­­­­­­tées…

Que recouvre la notion de données person­­­­­­­­­­­nelles ?

Ce sont toutes les infor­­­­­­­­­­­ma­­­­­­­­­­­tions qui permettent d’iden­­­­­­­­­­­ti­­­­­­­­­­­fier une personne de façon directe ou indi­­­­­­­­­­­recte, comme par exemple : un nom, une adresse, une photo, un iden­­­­­­­­­­­ti­­­­­­­­­­­fiant, un numéro de télé­­­­­­­­­­­phone, une plaque d’im­­­­­­­­­­­ma­­­­­­­­­­­tri­­­­­­­­­­­cu­­­­­­­­­­­la­­­­­­­­­­­tion, une carte de crédit, un dossier médi­­­­­­­­­­­cal… La défi­­­­­­­­­­­ni­­­­­­­­­­­tion du RGPD inclut égale­­­­­­­­­­­ment les données de géolo­­­­­­­­­­­ca­­­­­­­­­­­li­­­­­­­­­­­sa­­­­­­­­­­­tion ou encore le profi­­­­­­­­­­­lage.

Et le respon­­­­­­­­­­­sable de trai­­­­­­­­­­­te­­­­­­­­­­­ment, c’est qui ?

C’est l’en­­­­­­­­­­­tre­­­­­­­­­­­prise, l’au­­­­­­­­­­­to­­­­­­­­­­­rité publique, l’or­­­­­­­­­­­ga­­­­­­­­­­­nisme qui décide « pourquoi » (l’objec­­­­­­­­­­­tif de la récolte de données) et « comment » (par quels moyens) vos données person­­­­­­­­­­­nelles devront être trai­­­­­­­­­­­tées. Le RGPD s’im­­­­­­­­­­­pose à toute entre­­­­­­­­­­­prise, euro­­­­­­­­­­­péenne ou inter­­­­­­­­­­­­­­­­­­­­­na­­­­­­­­­­­tio­­­­­­­­­­­nale, qui propose des biens ou services sur le marché euro­­­­­­­­­­­péen. Dès qu’une entre­­­­­­­­­­­prise collecte des données à carac­­­­­­­­­­­tère person­­­­­­­­­­­nel sur un citoyen euro­­­­­­­­­­­péen, alors le RGPD s’ap­­­­­­­­­­­plique.

Les grandes nouveau­­­­­­­­­­­tés intro­­­­­­­­­­­duites par le RGPD

MINIMALISATION. Seules les données perti­­­­­­­­­­­nentes et limi­­­­­­­­­­­tées à ce qui est néces­­­­­­­­­­­saire par rapport à l’objec­­­­­­­­­­­tif pour­­­­­­­­­­­suivi peuvent être récol­­­­­­­­­­­tées. Si davan­­­­­­­­­­­tage de données person­­­­­­­­­­­nelles sont deman­­­­­­­­­­­dées au consom­­­­­­­­­­­ma­­­­­­­­­­­teur par rapport à ce qui est néces­­­­­­­­­­­saire, cela entre en conflit avec le RGPD. C’est le prin­­­­­­­­­­­cipe de limi­­­­­­­­­­­ta­­­­­­­­­­­tion, de mini­­­­­­­­­­­ma­­­­­­­­­­­li­­­­­­­­­­­sa­­­­­­­­­­­tion des données. Un exemple. Votre nouvelle banque propose des prêts au loge­­­­­­­­­­­ment à des taux inté­­­­­­­­­­­res­­­­­­­­­­­sants. Vous ache­­­­­­­­­­­tez une nouvelle maison et déci­­­­­­­­­­­dez de chan­­­­­­­­­­­ger de banque. Vous deman­­­­­­­­­­­dez à votre ancienne banque de clôtu­­­­­­­­­­­rer tous vos comptes et de suppri­­­­­­­­­­­mer toutes vos données à carac­­­­­­­­­­­tère person­­­­­­­­­­­nel. L’an­­­­­­­­­­­cienne banque est toute­­­­­­­­­­­fois soumise à une loi qui l’oblige à conser­­­­­­­­­­­ver toutes les infor­­­­­­­­­­­ma­­­­­­­­­­­tions rela­­­­­­­­­­­tives à ses clients. L’an­­­­­­­­­­­cienne banque ne peut donc pas suppri­­­­­­­­­­­mer vos données, mais vous pouvez lui deman­­­­­­­­­­­der de ne conser­­­­­­­­­­­ver les données que durant la période exigée par la loi et ne plus s’en servir à des fins de marke­­­­­­­­­­­ting.

INFORMATION, OPPOSITION, EFFACEMENT. De plus, les droits exis­­­­­­­­­­­tants comme le droit d’être informé sur la fina­­­­­­­­­­­lité du trai­­­­­­­­­­­te­­­­­­­­­­­ment, le droit d’op­­­­­­­­­­­po­­­­­­­­­­­si­­­­­­­­­­­tion et à l’ef­­­­­­­­­­­fa­­­­­­­­­­­ce­­­­­­­­­­­ment des données sont mieux contrô­­­­­­­­­­­lés et enca­­­­­­­­­­­drés.

PORTABILITE. Autre nouveauté : le droit à la porta­­­­­­­­­­­bi­­­­­­­­­­­lité des données. A l’ave­­­­­­­­­­­nir, le consom­­­­­­­­­­­ma­­­­­­­­­­­teur pourra deman­­­­­­­­­­­der à un pres­­­­­­­­­­­ta­­­­­­­­­­­taire de service de lui four­­­­­­­­­­­nir ses données person­­­­­­­­­­­nelles dans un format courant et lisible faci­­­­­­­­­­­le­­­­­­­­­­­ment, et de les trans­­­­­­­­­­­mettre à un autre pres­­­­­­­­­­­ta­­­­­­­­­­­taire de service. Problème : Le droit à la porta­­­­­­­­­­­bi­­­­­­­­­­­lité ne vise que les données person­­­­­­­­­­­nelles que le consom­­­­­­­­­­­ma­­­­­­­­­­­teur a « acti­­­­­­­­­­­ve­­­­­­­­­­­ment » fourni au respon­­­­­­­­­­­sable de trai­­­­­­­­­­­te­­­­­­­­­­­ment (photos, commen­­­­­­­­­­­tai­­­­­­­­­­­res…). Mais quel sort est réservé aux autres données « géné­­­­­­­­­­­rées » par le consom­­­­­­­­­­­ma­­­­­­­­­­­teur (comme les données de loca­­­­­­­­­­­li­­­­­­­­­­­sa­­­­­­­­­­­tion ou les cookies par exemple) ? Sont-elles aussi visées par ce droit à la porta­­­­­­­­­­­bi­­­­­­­­­­­lité ? Le RGPD est malheu­­­­­­­­­­­reu­­­­­­­­­­­se­­­­­­­­­­­ment muet sur ce point. Par ailleurs, le RGPD ne dit rien non plus quant à une éven­­­­­­­­­­­tuelle utili­­­­­­­­­­­sa­­­­­­­­­­­tion ulté­­­­­­­­­­­rieure des données trans­­­­­­­­­­­fé­­­­­­­­­­­rées par le premier opéra­­­­­­­­­­­teur. Sera-t-il auto­­­­­­­­­­­risé à le faire ? Devra-t-il infor­­­­­­­­­­­mer le consom­­­­­­­­­­­ma­­­­­­­­­­­teur ?

CONSENTEMENT. Le consen­­­­­­­­­­­te­­­­­­­­­­­ment doit être demandé de manière claire et concise, en utili­­­­­­­­­­­sant des termes faciles à comprendre, et se distin­­­­­­­­­­­guer clai­­­­­­­­­­­re­­­­­­­­­­­ment des autres infor­­­­­­­­­­­ma­­­­­­­­­­­tions telles que les condi­­­­­­­­­­­tions de vente. La demande doit préci­­­­­­­­­­­ser l’usage qui sera fait de vos données à carac­­­­­­­­­­­tère person­­­­­­­­­­­nel et comprendre les coor­­­­­­­­­­­don­­­­­­­­­­­nées du respon­­­­­­­­­­­sable qui traite les données. Et le consen­­­­­­­­­­­te­­­­­­­­­­­ment doit être donné de manière volon­­­­­­­­­­­taire. Un exemple. Le consen­­­­­­­­­­­te­­­­­­­­­­­ment peut être donné en cochant une case sur un site inter­­­­­­­­­­­­­­­­­­­­­net ; il ne sera par contre pas valable si la case est pré-cochée à l’avance. Et le consom­­­­­­­­­­­ma­­­­­­­­­­­teur pourra reti­­­­­­­­­­­rer son consen­­­­­­­­­­­te­­­­­­­­­­­ment à tout moment et tout aussi faci­­­­­­­­­­­le­­­­­­­­­­­ment qu’il l’a donné. Par exemple, en cliquant sur un lien de désins­­­­­­­­­­­crip­­­­­­­­­­­tion en bas d’une news­­­­­­­­­­­let­­­­­­­­­­­ter qui vous est envoyé.

Quels recours pour le consom­­­­­­­­­­­ma­­­­­­­­­­­teur ?

Vous devez tout d’abord contac­­­­­­­­­­­ter le respon­­­­­­­­­­­sable du trai­­­­­­­­­­­te­­­­­­­­­­­ment. Celui-ci doit répondre à votre demande dans les meilleurs délais et au plus tard dans un délai d’un mois. Si vous esti­­­­­­­­­­­mez son motif injus­­­­­­­­­­­ti­­­­­­­­­­­fié ou s’il ne vous répond pas du tout, vous pour­­­­­­­­­­­rez dépo­­­­­­­­­­­ser une plainte à l’Au­­­­­­­­­­­to­­­­­­­­­­­rité de protec­­­­­­­­­­­tion des données2.

Trois options possibles :
• Dépo­­­­­­­­­­­ser une récla­­­­­­­­­­­ma­­­­­­­­­­­tion auprès de l’Au­­­­­­­­­­­to­­­­­­­­­­­rité de protec­­­­­­­­­­­tion des donnéesSes missions sont notam­­­­­­­­­­­ment de rece­­­­­­­­­­­voir les plaintes des citoyens, de sensi­­­­­­­­­­­bi­­­­­­­­­­­li­­­­­­­­­­­ser le public sur la protec­­­­­­­­­­­tion des données person­­­­­­­­­­­nelles, de surveiller la bonne appli­­­­­­­­­­­ca­­­­­­­­­­­tion du RGPD et d’im­­­­­­­­­­­po­­­­­­­­­­­ser des amendes.
• Inten­­­­­­­­­­­ter vous-même une action en justice
Désor­­­­­­­­­­­mais, vous pouvez deman­­­­­­­­­­­der au respon­­­­­­­­­­­sable du trai­­­­­­­­­­­te­­­­­­­­­­­ment concerné une répa­­­­­­­­­­­ra­­­­­­­­­­­tion du dommage subi (cela peut être une perte finan­­­­­­­­­­­cière ou une perte de répu­­­­­­­­­­­ta­­­­­­­­­­­tion), en allant devant un juge.
• Inten­­­­­­­­­­­ter une action collec­­­­­­­­­­­tive
Si vous ne voulez pas dépo­­­­­­­­­­­ser une récla­­­­­­­­­­­ma­­­­­­­­­­­tion indi­­­­­­­­­­­vi­­­­­­­­­­­duelle auprès du tribu­­­­­­­­­­­nal, vous pouvez manda­­­­­­­­­­­ter une orga­­­­­­­­­­­ni­­­­­­­­­­­sa­­­­­­­­­­­tion (telle que Test-Achats) qui pourra agir en votre nom.

Ce type d’ac­­­­­­­­­­­tion collec­­­­­­­­­­­tive devrait augmen­­­­­­­­­­­ter consi­­­­­­­­­­­dé­­­­­­­­­­­ra­­­­­­­­­­­ble­­­­­­­­­­­ment car, fina­­­­­­­­­­­le­­­­­­­­­­­ment, les viola­­­­­­­­­­­tions du RGPD affec­­­­­­­­­­­te­­­­­­­­­­­ront un grand nombre de personnes. Pensez par exemple à une “fuite de données”. À l’ave­­­­­­­­­­­nir, un recours collec­­­­­­­­­­­tif dans ce contexte est donc possible. Non seule­­­­­­­­­­­ment l’ac­­­­­­­­­­­tion collec­­­­­­­­­­­tive pourra contri­­­­­­­­­­­buer à augmen­­­­­­­­­­­ter l’ef­­­­­­­­­­­fec­­­­­­­­­­­ti­­­­­­­­­­­vité des droits des consom­­­­­­­­­­­ma­­­­­­­­­­­teurs, mais une action collec­­­­­­­­­­­tive permet aussi de parta­­­­­­­­­­­ger les coûts de procé­­­­­­­­­­­dure. Le RGPD permet égale­­­­­­­­­­­ment aux orga­­­­­­­­­­­ni­­­­­­­­­­­sa­­­­­­­­­­­tions de faire une récla­­­­­­­­­­­ma­­­­­­­­­­­tion collec­­­­­­­­­­­tive indé­­­­­­­­­­­pen­­­­­­­­­­­dam­­­­­­­­­­­ment du mandat des personnes impliquées. Ce sont des cas dans lesquels cette orga­­­­­­­­­­­ni­­­­­­­­­­­sa­­­­­­­­­­­tion est d’avis que les droits des personnes impliquées ont été violés. La Belgique n’uti­­­­­­­­­­­lise malheu­­­­­­­­­­­reu­­­­­­­­­­­se­­­­­­­­­­­ment pas cette option (pour le moment).

Conclu­­­­­­­­­­­sion : « Bien », mais aurait pu mieux faire

Certes, les objec­­­­­­­­­­­tifs du RGPD sont louables : assu­­­­­­­­­­­rer plus de trans­­­­­­­­­­­pa­­­­­­­­­­­rence pour le consom­­­­­­­­­­­ma­­­­­­­­­­­teur, afin qu’il soit mieux informé de ses droits, et qu’il devienne plus « consom’ac­­­­­­­­­­­teur ». Lui octroyer de nouveaux droits, comme le droit à l’ac­­­­­­­­­­­cès et à la porta­­­­­­­­­­­bi­­­­­­­­­­­lité de ses données, le droit à la limi­­­­­­­­­­­ta­­­­­­­­­­­tion du trai­­­­­­­­­­­te­­­­­­­­­­­ment, sont de très belles avan­­­­­­­­­­­cées dans un monde digi­­­­­­­­­­­tal qui ne cesse
de prendre de l’am­­­­­­­­­­­pleur. Cepen­­­­­­­­­­­dant, permettre des limi­­­­­­­­­­­ta­­­­­­­­­­­tions à l’exer­­­­­­­­­­­cice de ces nouveaux droits remet en ques­­­­­­­­­­­tion leur plus-value pour le consom­­­­­­­­­­­ma­­­­­­­­­­­teur. De plus, sur certains aspects, le RGPD est muet, ne précise pas assez les termes employés. La porte est (trop) souvent ouverte au respon­­­­­­­­­­­sable de trai­­­­­­­­­­­te­­­­­­­­­­­ment dans l’éva­­­­­­­­­­­lua­­­­­­­­­­­tion de l’ inté­­­­­­­­­­­rêt des parties concer­­­­­­­­­­­nées. Où sont les garde-fous ? Nous devrons donc rester extrê­­­­­­­­­­­me­­­­­­­­­­­ment atten­­­­­­­­­­­tifs à la lecture du RGPD qui sera faite par la Cour de Justice de l’Union euro­­­­­­­­­­­péenne et à la bonne appli­­­­­­­­­­­ca­­­­­­­­­­­tion de celui-ci en regard des déci­­­­­­­­­­­sions qui seront prises par l’Au­­­­­­­­­­­to­­­­­­­­­­­rité de protec­­­­­­­­­­­tion des données (pour­­­­­­­­­­­vues qu’elles soient rendues publiques…).

Notes de bas de page

1. Règle­­­­­­­­­­­ment (UE) 2016/679 du Parle­­­­­­­­­­­ment euro­­­­­­­­­­­péen et du conseil du 27
avril 2016 rela­­­­­­­­­­­tif à la protec­­­­­­­­­­­tion des personnes physiques à l’égard du
trai­­­­­­­­­­­te­­­­­­­­­­­ment des données à carac­­­­­­­­­­­tère person­­­­­­­­­­­nel et à la libre circu­­­­­­­­­­­la­­­­­­­­­­­tion de
ces données, et abro­­­­­­­­­­­geant la direc­­­­­­­­­­­tive 95/46/ce.
2. https://www.auto­­­­­­­­­­­ri­­­­­­­­­­­te­­­­­­­­­­­pro­­­­­­­­­­­tec­­­­­­­­­­­tion­­­­­­­­­­­don­­­­­­­­­­­nees.be/
3. Idem

Autres actualités

Voir toutes les actualités