Lorsque vous visitez un site internet, le propriétaire derrière ce site n’est pas libre de faire ce qu’il veut avec vos données personnelles (en théorie). Il doit suivre certaines règles et procédures connues sous le nom de Règlement général sur la protection des données (RGPD), qui est en place dans l’UE depuis 2018.
Je sais ce que vous vous dites, comme pour 99% de ce qui concerne la cyber sécurité : « c’est encore un truc chiant qui sert à rien ! »
La plupart d’entre nous identifie les RGPD aux bannières de cookies qui surgissent chaque fois que vous visitez un nouveau site internet Les bannières de cookies sont ennuyeuses pour les utilisateurs et ne sont certainement pas le meilleur moyen de réglementer le partage des données personnelles
Mais le RGPD va bien au-delà des bannières de cookies !
Pourquoi avons nous besoin du RGPD ?
Lorsque vous visitez un site internet, le propriétaire derrière ce site n’est pas libre de faire ce qu’il veut avec vos données personnelles (en théorie). Il doit suivre certaines règles et procédures connues sous le nom de Règlement général sur la protection des données (RGPD), qui est en place dans l’UE depuis 2018.
Je sais ce que vous vous dites, comme pour 99% de ce qui concerne la cyber sécurité : « c’est encore un truc chiant qui sert à rien ! »
Détournement de données
En 2021, la plateforme de rencontres en ligne LGBTQ aurait vendu des données de localisation, qui se sont retrouvées entre les mains des rédacteurs en chef d’un magazine catholique. Sur la base des données obtenues, ils ont publié une histoire alléguant qu’il était un visiteur fréquent des clubs gays. Suite à la publicité, Burril a dû démissionner et a fait face à une tempête de débats sur le célibat et la promiscuité homosexuelle. Bien que ces retombées soient déjà assez graves, dans d’autres pays, il aurait pu aller en prison ou même être tué.
La plupart d’entre nous identifie les RGPD aux bannières de cookies qui surgissent chaque fois que vous visitez un nouveau site internet Les bannières de cookies sont ennuyeuses pour les utilisateurs et ne sont certainement pas le meilleur moyen de réglementer le partage des données personnelles
Mais le RGPD va bien au-delà des bannières de cookies !
Lorsque nous utilisons Internet, une grande partie de nos informations personnelles peuvent être mises à la disposition de ceux qui veulent nous espionner. Cela peut inclure les adresses e-mail dont nous avons besoin lors de la connexion, notre emplacement ou ce que nous tapons dans les moteurs de recherche. Ces données peuvent en dire long sur nous – ce que nous aimons et comment elles peuvent nous être commercialisées – et sont extrêmement précieuses pour les entreprises qui souhaitent que nous achetions leurs produits. Sans réglementation, les entreprises peuvent utiliser nos données d’une manière qui ne sert pas nos intérêts.
Qui est couvert par le RGPD ?
D’une manière générale, il existe trois catégories d’entités et d’individus couverts par le RGPD :
Le premier, le responsable du traitement, est une agence ou une organisation gouvernementale (publique ou privée) qui initie la collecte et le traitement des données personnelles. Le responsable du traitement est l’entité qui collecte et utilise les données personnelles ou partage ces informations.
Les seconds, les sous-traitants, sont ceux engagés par le responsable du traitement pour traiter les données personnelles. Il s’agit généralement de sociétés informatiques ou de sociétés de marketing tierces, mais le terme « processeur de données » peut également concerner tout logiciel utilisé pour traiter des données. Par conséquent, les applications utilisées pour collecter ou traiter des données personnelles sont également soumises à la conformité RGPD. Dans de nombreuses circonstances, la même organisation peut être à la fois responsable du traitement et sous-traitant.
Enfin, les troisièmes sont les personnes concernées. Ce sont les personnes dont les informations personnelles sont collectées, utilisées et traitées par les contrôleurs et les sous-traitants. Ces personnes conservent le droit d’accéder à leurs données personnelles, de corriger les erreurs et de demander la suppression des informations collectées à leur sujet. Dans tous les cas, ces demandes doivent être traitées dans un délai de trente jours. Le RGPD donne également aux personnes concernées le droit à la portabilité, ce qui signifie que les informations doivent être fournies dans un format électronique structuré.
Existe-t-il des exceptions au RGPD ?
Exemples d’exceptions au traitement
Préoccupations de défense
Prévention de la criminalité
Sécurité financière
Poursuite d’un crime
Évasion fiscale présumée
Préoccupations de santé publique
La liberté d’information
Comme on peut s’y attendre, toutes les organisations opérant au sein de l’UE ne doivent pas se conformer au RGPD. Ces exemptions sont décrites dans les articles 85 et 91, bien que les États membres puissent demander des exemptions spécifiques.
Le RGPD vise à protéger les données personnelles, même si cela peut signifier enfreindre d’autres règles du RGPD. Si un individu constitue une menace pour les droits et libertés d’autrui, il arrive souvent que ses données ne soient plus protégées par le RGPD de la même manière que les données d’autres citoyens.
À l’inverse, les États membres peuvent souhaiter appliquer des garanties supplémentaires aux données des citoyens. Indépendamment de ces mesures supplémentaires, toutes les exigences du RGPD doivent être respectées.
Quels sont les droits d’utilisation ?
Le RGPD énonce 7 droits d’utilisation de base pour les internautes en Europe. Cela signifie que vous avez un éventail de droits et la possibilité d’intervenir si ceux-ci sont violés.
Le droit d’être informé
Vous avez le droit d’être informées de qui traite vos données et dans quel but. Ceci est important, car vous devez savoir qui contacter si vous pensez que vos données sont utilisées à mauvais escient. La politique de confidentialité doit être rédigée de manière à pouvoir être facilement comprise.
Le droit d’accès
Si vous souhaitez savoir quelles données personnelles une entreprise stocke et comment elles sont utilisées, vous pouvez simplement envoyer une demande pour en accéder gratuitement à une copie
Le droit de rectification
Si vous remarquez que quelqu’un détient des informations incorrectes à votre sujet, vous avez le droit de les faire corriger . Bien entendu, les tiers qui ont reçu vos données doivent également être informés.
Le droit à l’effacement
Ce droit est plus communément appelé « droit à l’oubli »”. En principe, vous pouvez demander à une entreprise de supprimer les données qu’elle détient à votre sujet. Votre demande ne peut pas toujours être respectée – par exemple, les banques peuvent ne pas être en mesure de supprimer toutes vos données immédiatement car elles peuvent avoir besoin de les conserver pour des questions légales.
Il est très difficile d’effacer complètement les données une fois qu’elles sont publiées sur internet. La plupart des petits e-commerce ne sont jamais contrôlés.
Le droit de restreindre le traitement
Une situation peut survenir dans laquelle vous souhaitez qu’une entreprise cesse d’utiliser vos données. La première chose qui vous vient à l’esprit est que je vais leur demander de le supprimer. Cependant, cela peut ne pas être possible ou pas immédiatement. Dans de tels cas, vous pouvez toujours demander aux entreprises de ne rien faire avec vos données au-delà de ce que la loi leur impose de faire, par exemple de stocker des données pendant un certain temps.
Le droit à la portabilité des données
Imaginons que vous utilisiez une plateforme de streaming musical mais que vous vouliez en changer. Pourtant, vous hésitez car vous souhaitez conserver vos playlists. Le droit à la portabilité des données vise à garantir que vous n’êtes pas coincé avec votre ancien fournisseur simplement parce que vous n’avez ni le temps ni l’énergie pour recréer ces listes. Étant donné que vous êtes le propriétaire de vos données en vertu du RGPD , vous pouvez demander vos données à votre ancienne plateforme de streaming dans un format transférable au nouveau fournisseur de services. Pratique non ?
Droits liés à la prise de décision automatisée et au profilage
La prise de décision automatisée (ADM) fait référence à la prise de décision par une machine basée sur des données. Le profilage signifie que vous êtes placé dans une catégorie (par exemple, éligible à un prêt ou non) sur la base d’informations provenant de données personnelles. ADM promet d’être plus impartial que la prise de décision humaine, mais comme il est basé sur l’apprentissage de modèles et des données (parfois incorrectes) alimentées par des humains, la véritable objectivité est encore loin d’être atteinte.
RGPD, barbant mais pas que..
Si vous êtes arrivé jusqu’ici, vous n’êtes officiellement plus un débutant en matière de RGPD. Alors qu’avons-nous appris ?
Nous avons appris que nous sommes tracé et que les données personnelles sont précieuses pour les entreprises.
Une fois de plus nous avons vu que oui la cybersécurité c’est lourd mais qu’elle est la pour nous protéger. Prendriez vous une voiture sans porte ?
Le RGPD n’offre pas une protection étanche contre toutes sortes d’atteintes à la vie privée – d’autant plus que les autorités ont du mal à l’appliquer mais si le RGPD est un instrument juridique positif qui nous permet de nous protéger, il n’est utile que dans la mesure où il est exécutoire.
Prenez soins de vos données et ce que vous faites sur internet car oui nous sommes dans un monde où tout se vends et tout s’achète même nos données numériques.