Les données personnelles sont un bien qui a une valeur inestimable. Les entreprises y accordent une valeur économique incontestable. En effet, en faisant recours à des banques de données immenses comprenant des détails précis, les organisations peuvent définir les comportements d’achat des différents groupes de clients, ce qui facilite le ciblage et la mise en œuvre de stratégie publicitaire. Ainsi, elles peuvent alors déterminer des profils personnels correspondant à chaque consommateur, notamment les goûts et préférences de ce dernier.
Cette procédure permet de classifier les consommateurs en divers groupes-cible compte tenu de certains critères spécifiques. Bien évidemment, cette collecte de données a généralement lieu à l’insu des personnes concernées. Il peut donc survenir des abus et des comportements douteux, puisque le client visé n’est au courant de rien. C’est la raison pour laquelle, il est important d’assurer la protection des données pour couvrir les utilisateurs de certains risques qu’ils ignorent.
A quoi renvoie une donnée personnelle ?
Une donnée personnelle est une information liée à une personne physique de manière directe ou indirecte. Il peut s’agir du nom, d’une photo, d’une empreinte digitale ; d’un enregistrement vocal, d’un numéro de téléphone, et bien d’autres encore. Certaines données sont dites sensibles, car elles ont trait aux informations qui peuvent inciter à la discrimination ou aux jugements.
Qui doit respecter la protection des données ?
Toute entreprise qui manipule les données à caractère personnel des individus vivant en Europe a l’obligation de se conformer au RGPD, que ce soit une entreprise, un sous-traitant, ou même un organisme public. Toutes les grandes entreprises qui réalisent leur chiffre d’affaires via internet, notamment, Facebook, Google, Amazon, bien qu’américaines, doivent être conformes à la protection des données si elles veulent exercer sur le continent Européen. Aussi, même les start-ups et petites entreprises se doivent de protéger les données dans la mesure où elles en collectent pour mener à bien leurs activités.
Le principe de la protection des données
La protection des données personnelles a pour finalité d’assurer que le respect en toutes circonstances du principe de la proportionnalité, en d’autres termes, que le recensement et la gestion concerneront le minimum de données possibles. Ainsi, le but est de limiter l’usage de la quantité de données, en impliquant seulement le strict nécessaire. Elle a donc le devoir de garantir à l’utilisateur concerné, la possibilité d’assurer le contrôle le plus absolu sur le traitement de ses données, afin qu’il puisse, au besoin, s’opposer à leur usage.
Il est donc nécessaire que chaque personne soit en droit de demander aux tenants des fichiers, quels sont les données dont il dispose la concernant. De ce fait, la législation sur la protection des données envisage un droit d’accès, auquel il est possible de recourir auprès des maîtres des fichiers.
L’objectif de la protection des données
La protection des données personnelles est un texte qui est entré en vigueur dans toute l’Union européenne le 25 mai 2018. Il s’agit d’une nouvelle réforme de la loi en Europe qui est venu changer l’ancienne, considérée comme inadaptée à la situation actuelle. En effet, de nos jours, la technologie fait des grands pas, et il est primordial de mettre des limites aux données qui peuvent être utilisées par les entreprises. Le but d la protection des données est donc d’harmoniser les lois européennes concernant la sauvegarde de la vie privée, afin que les mêmes règlements soient applicables à tous les membres de l’Union. De cette manière, les personnes peuvent être assurées que leurs informations personnelles ne sont pas utilisées à de mauvaises fins. Et même si cela venait à arriver, ils ont des voies de recours pour se protéger.
Le cadre de la protection des données dans l’Union européenne
D’après la législation dans l’UE, tout individu est en droit de réclamer le respect de sa vie propre et familiale, de son domicile et de tous les contours de sa vie personnelle, ainsi que la protection contre l’usage abusif de ses données. Cette loi s’applique à toute personne, sans exception, et ceux qui ne la respectent pas sont sévèrement sanctionnés.
Les difficultés rencontrées par la loi sur la protection des données
La loi concernant la protection des données permet une grande liberté dans l’examen des atteintes à la sauvegarde des informations personnelles d’un individu. Pourtant, il est généralement impossible d’émettre des déclarations générales intégrales. De manière globale, vous devez évaluer les cas spécifiques, c’est-à-dire, ne pas se limiter aux cas qui impliquent des personnes particulières, mais des cas qui impliquent des procédures de traitement de données.
Le souci est qu’une procédure déterminée peut soulever des problèmes d’ordre technique ou organisationnel. Notons que les technologies de l’information de la communication réalisent des progrès extraordinaires, et facilitent la collecte et le lien entre des quantités immenses de données.
Les individus en charge du traitement de ces informations ne sont pas toujours conscients de ces avancées techniques. Les individus – qu’il s’agisse de ce qui traitent l’information ou alors des personnes qui en sont concernés – ne sont très souvent pas suffisamment informés au sujet de la protection des données personnelles, qui est un sujet très complexe. En effet, les données liées à la personnalité sont en général traitées à la légère sur le Web.
Les sanctions prévues en cas de non-respect de la protection des données
Pour ceux qui dérogent au RGPD, des sanctions pénales sont prévues par la législation. Toutefois, ces sanctions prennent forme lorsque le non-respect des obligations de déclarer, renseigner et de collaborer est volontaire. Tous les autres faits liés à l’atteinte de la personnalité relèvent du droit civil.
Les données les plus sensibles
Cet aspect est particulièrement difficile à déterminer, car même des données qui semblent inoffensives – comme le nom, l’adresse e-mail – peuvent servir des intentions mauvaises. Cependant, comme données délicates, on peut noter celles qui ont trait à la santé de l’individu. Selon le contexte, ces données peuvent varier et prendre un autre sens.
Le champ d’action de la protection des données
La protection des données est appliquée aux entreprises, organismes et associations assimilées, peu importe leur taille ou leur secteur d’activité, dès le moment où ils collectent et traitent des données relatives aux personnes physiques présentes dans l’UE. Le critère sur lequel le RGPD s’applique ne dépend pas du lieu dans lequel la société est établie. En effet, même si une entreprise est située hors de l’Union européenne, mais qu’elle traite des données concernant les citoyens de l’UE, la protection des données s’applique également à elle.
Que comportent les données personnelles ?
Il s’agit d’informations propres à une personne bien déterminée, notamment, les nom et prénom, l’adresse électronique, l’adresse personnelle, le numéro de portable, les données de santé, le numéro de CNI, etc. il existe plusieurs formes de données à caractère personnel et des critères de classification bien distincts selon le cas.
Le traitement des données : comment ça marche ?
Le traitement de données implique toutes les actions effectuées sur des données d’ordre personnel, allant de la collecte des informations, à leur utilisation. Dans le processus de traitement, le chargé de traitement peut soit enregistrer, stocker, modifier, consulter, diffuser ou même effacer les données, de manière manuelle ou automatique.
La gestion du personnel, l’envoi de newsletters automatiques, l’affichage d’une image privée sur le Web, etc. font partie du traitement de données.
Les droits des personnes sur les données personnelles
Les personnes dont les données sont collectées ont le droit :
- De solliciter des informations sur le traitement de leurs données d’ordre personnel.
- D’accéder à leurs données d’ordre personnel détenues par les chargés du traitement.
- De demander la correction de données de type personnel s’il s’avère qu’elles sont fausses, incorrectes ou incomplètes.
- D’exiger que les données à caractère personnel soient supprimées dès le moment où leur usage n’est plus nécessaire ou lorsque leur traitement devient illégal.
- De faire opposition au traitement de leurs informations personnelles pour la finalité de prospection ou pour des motifs rattachés à leur situation spécifique.
- D’exiger que le traitement de leurs données soit limité dans certains cas particuliers.
- De récupérer leurs données à caractère personnel, dans une configuration lisible et compréhensible par ordinateur, pour des raisons définies.
- De demander que les choix fondés sur une automatisation des données qui a des effets significatifs sur eux soient traités par des personnes physiques, et pas seulement par des ordinateurs. Aussi, ils peuvent donner leur avis, et même s’opposer à certaines décisions qui les concernent.
- S’il advient un dommage matériel ou moral à cause du non-respect du RGPD, les utilisateurs ont un recours à leur disposition. Il suffit de déposer une réclamation à la Commission nationale Informatique et libertés (CNIL) ou alors lancer une action collective en appelant les associations nationales agréées de défense des consommateurs.
Les obligations des entreprises concernant la protection des données
Puisque les organismes collectent les données des personnes physiques pour leur usage, cela leur confère des responsabilités énormes. Ainsi, les entreprises se doivent absolument :
- D’observer un respect du principe de protections données à caractère personnel et la vie privée imposée par le RGPD, dès le moment où le projet est conçu.
- De dénombrer les traitements qu’elles mettent en place, dans un cahier spécial.
- De pouvoir prouver que les systèmes de traitement de données de type personnel mis en place sont conformes aux règles en vigueur, en mettant une ligne de conduite en action et en décrochant une certification.
- D’informer de toute forme de violation de données personnelles par le chargé de traitement et les sous-traitants aux autorités compétentes et aux victimes.
- D’effectuer une étude de répercussion sur la vie privée dans le cas des traitements sensibles.
- De désigner un délégué chargé de la protection des informations pour les entreprises qui effectuent un suivi constant et systématique des individus à grande échelle ou pour des organismes qui gèrent des données particulièrement sensibles.
- De garantir que les individus sont clairement et précisément informés de la durée du stockage des informations, de l’existence d’une étude de préférence des clients et de leurs prérogatives et recours possibles.
- De donner le droit aux individus dont les données sont utilisées, de faire recours à tous leurs droits.
Comment se protéger des pratiques abusives ?
Certaines entreprises ont profité de la mise en exécution du RGPD pour prospecter des professionnels – entreprises, associations, organismes – parfois, sans prendre des mesures adéquates, afin de commercialiser un service d’aide à la mise en régularité au RGPD. Compte tenu de ces pratiques de vente douteuses et mensongères, la CNIL et la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes) ont défini quelques conseils dans le but de :
- Contrôler l’identité des sociétés prospectrices qui n’ont pas l’autorisation de l’Etat de proposer des prestations de conformation au RGPD contre rémunération.
- De s’assurer de la qualité des services offerts : la conformation au rgpd demande plus qu’un simple échange ou le transfert de documents. Le travail doit être réalisé par un professionnel et suivi avec le temps.
Parfois, il s’agit tout simplement d’escroqueries et il faut se retourner vers l’autorité de contrôle du RGPD.
Qui contrôle la conformité de la protection des données ?
Chaque Etat dispose d’une autorité autonome pour le contrôle de l’application de la loi relative à la protection des données. En France, il s’agit du CNIL. Ces contrôleurs possèdent des prérogatives d’enquêtes et peuvent au besoin, imposer des mesures de correction, lorsqu’il y a eu infraction.
Elles offrent également des conseils de professionnels au sujet de la protection des données et se chargent de répondre aux réclamations concernant les violations.
Le cas du CNIL
Le rgpd dédie le processus de « guichet unique« . Lorsque les données à caractère personnel sont transférées hors de la zone UE, la Commission nationale Informatique et libertés est le partenaire unique pour l’ensemble des organismes du chargé du traitement de informations, incluant ceux qui sont situés hors de l’Union européenne.
Les décisions rendues par la CNIL sont valables dans toute l’étendue de l’Union européenne, ce qui rend les recours plus simples pour les clients, car il s’agit de l’unique interlocuteur pour les Français. La protection des données vise à rendre les entreprises plus responsables de leurs actes, tout en préservant la liberté des personnes physiques.
Entrepreneur, investisseur immobilier et passionné de liberté financière, j’ai accompagné des milliers de personnes à réussir sur internet au travers de formations en ligne, guides et coaching personnalisés.
