“RGPD” : quelle protection pour vos données personnelles ? Institut national de la consommation
Il est essentiel de rester vigilant et proactif en adoptant des bonnes pratiques de sécurité, tant au niveau personnel que professionnel. Envisagez de vous inscrire à un service de surveillance du crédit qui vous alertera en cas d’activités suspectes et vous aidera à protéger votre historique de crédit. Cette fonctionnalité intégrée à la plupart des systèmes d’exploitation modernes permet de crypter l’intégralité de votre disque dur ou de votre stockage mobile. Même en cas de vol, vos données resteront illisibles et inaccessibles sans votre mot de passe de chiffrement. Cette mesure de sécurité supplémentaire requiert un code envoyé sur votre téléphone en plus de votre mot de passe pour accéder à vos comptes.
Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
Garantir la sécurité des données
Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s’il est possible d’atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d’identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d’exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d’autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.
Dans le cadre de la mise à disposition de téléservices, la DILA transmet les informations collectées aux administrations partenaires compétentes pour instruire les démarches accomplies via Entreprendre.Service-Public.fr conformément à l’arrêté du 24 février 2016. Selon la CNIL, le CEPD (Comité européen de la protection des données) a publié une déclaration relative au projet de futur règlement ePrivacy dans laquelle il considère que les utilisateurs devraient toujours se voir proposer des alternatives équitables par le même fournisseur de service et ce, indépendamment du secteur d’activité et du modèle économique de l’éditeur. L’OPH de Rennes Métropole ARCHIPEL HABITAT s’est vu infliger une sanction par la CNIL pour avoir traité des données à caractère personnel pour des finalités autres que celles qui étaient prévues au départ. Formulaire d’achat sur un site internet de vente de vêtements ; la collecte de données de géolocalisation ne justifie pas la finalité du traitement (achat d’un bien). La RGPD semble avoir, au moins dans sa phase d’établissement, un effet négatif sur les revenus et les bénéfices des entreprises implantées dans l’Union européenne, essentiellement à cause de l’augmentation des coûts de conformité. Selon Giorgio Presidente, chercheur à l’université Bocconi, et Carl Benedikt Frey, professeur à Oxford, les entreprises européennes devant se soumettre à la RGPD ont vu leurs chiffres d’affaires diminuer de 2% et leurs résultats nets de 8 %.
Jusqu’au 24 mai 2018, la protection des données à caractère personnel reposait sur la mise en œuvre de formalités auprès de la CNIL, notamment par des déclarations ou demandes d’autorisations préalables. Il existe un traitement de données à caractère personnel, dès lors qu’une donnée à caractère personnel est manipulée informatiquement ou manuellement par le biais d’opérations telle que la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement (article 4 du RGPD). Il s’applique aux entreprises, aux organismes publics et aux associations, de toutes tailles, quels que soient leurs activités, du moment qu’ils traitent de données à caractère personnel de citoyens européens. Jusqu’au 24 mai 2018, la protection des données à caractère personnel était encadrée en France par la loi n° du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après loi “Informatique et Libertés”) qui avait intégré la directive européenne 95/46/CE.
Mot de passe faible, absence de chiffrement, partage non sécurisé avec des sous-traitants… sont des portes ouvertes sur les fuites de données. Les entreprises doivent mettre en place des mesures techniques (pare-feu, chiffrement, politique de mot de passe) et organisationnelles adaptées. Des formations en cybersécurité, en gestion des risques informatiques ou en conformité réglementaire (RGPD, CCPA) peuvent vous aider à renforcer vos compétences en matière de protection des données. En utilisant judicieusement ces outils et services, vous renforcez considérablement la sécurité de vos données personnelles et professionnelles, réduisant ainsi les risques de fuite ou de vol d’informations sensibles. Notifiez l’Autorité de protection des données et informez la CNIL dans les 72 heures si un risque élevé est présent, conformément au Règlement Général sur la Protection des Données (RGPD).
Le représentant devrait agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté par toute autorité de contrôle. Le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne les obligations qui lui incombent en vertu du présent règlement. La désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du présent règlement.
Dans le cadre des recours juridictionnels relatifs à l’application du présent règlement, les juridictions nationales qui estiment qu’une décision sur la question est nécessaire pour leur permettre de rendre leur jugement peuvent ou, dans le cas prévu à l’article 267 du traité sur le fonctionnement de l’Union européenne, doivent demander à la Cour de justice de statuer à titre préjudiciel sur l’interprétation du droit de l’Union, y compris le présent règlement. Toutefois, une juridiction nationale peut ne pas soumettre une question relative à la validité d’une décision du comité à la demande d’une personne physique ou morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier si elle était concernée directement et individuellement par ladite décision, et ne l’a pas fait dans le délai prévu à l’article 263 du traité sur le fonctionnement de l’Union européenne. Il y a lieu que les autorités de contrôle surveillent l’application des dispositions en vertu du présent règlement et contribuent à ce que cette application soit cohérente dans l’ensemble de l’Union, afin de protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et de faciliter le libre flux de ces données dans le marché intérieur. À cet effet, les autorités de contrôle devraient coopérer entre elles et avec la Commission sans qu’un accord doive être conclu entre les États membres sur la fourniture d’une assistance mutuelle ou sur une telle coopération. Il y a lieu d’encourager les associations ou autres organismes représentant des catégories de responsables du traitement ou de sous-traitants à élaborer des codes de conduite, dans les limites du présent règlement, de manière à en faciliter la bonne application, compte tenu des spécificités des traitements effectués dans certains secteurs et des besoins spécifiques des micro, petites et moyennes entreprises. Ces codes de conduite pourraient, en particulier, définir les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques.
Sites inaccessibles aux européens
Cette pratique est déterminante pour garantir la protection des données personnelles et la fiabilité de votre sécurité informatique. Le registre des traitements est obligatoire dans toutes les entreprises traitant des données personnelles. Trop de sociétés négligent sa mise à jour, se contentent d’un document de façade ou d’une politique de confidentialité générique non adaptée à leurs traitements réels. Face à ces menaces persistantes, il est impératif d’adopter une approche proactive et de mettre en œuvre des techniques efficaces pour sécuriser ses données personnelles. La vigilance et la prévention sont les clés pour se prémunir contre les accès non autorisés et limiter les risques de fuites dévastatrices. Des cas récents de fuites de données massives, comme celle subie par Marriott International en 2024 qui a exposé les informations de plus de 500 millions de clients, démontrent l’ampleur des dégâts potentiels.
L’acronyme « BYOD » signifie « Bring Your Own Device » et fait référence à l’utilisation d’équipements informatiques personnels dans un contexte professionnel. Par exemple, un employé qui utilise un équipement personnel tel qu’un ordinateur, une tablette ou un téléphone pour se connecter au réseau de l’entreprise. Les signatures numériques, assurent non seulement l’intégrité, mais permettent également de vérifier l’origine de l’information et son authenticité. Sous-dimensionner ou négliger la maintenance de l’environnement de la salle des serveurs (climatisation, onduleur, etc.). Une panne de ces installations entraîne souvent l’arrêt des machines ou l’ouverture d’accès aux locaux (circulation de l’air), ce qui a pour effet de neutraliser les mesures de sécurité. La gestion des API doit, pour ce faire, s’inscrire dans la politique de sécurité des systèmes d’information et faire l’objet d’une coordination entre fournisseurs et consommateurs d’API.
À l’issue de la formation en cybersécurité pour débutants, vous serez capable de mettre en place des stratégies de sécurité informatique, de sensibiliser vos équipes et de démontrer votre expertise dans la protection des données personnelles. Enfin, il est indispensable de se tenir informé des aspects juridiques et réglementaires, comme le RGPD, pour comprendre vos droits et obligations en matière de protection des données personnelles. Avec la multiplication des fuites de données et des cyberattaques, il est essentiel de prendre des mesures proactives pour protéger ses informations sensibles.
Un aboutissement que l’UFC-Que Choisir a évidemment salué, après plusieurs années d’investissement sur ce dossier dont les enjeux se complexifient à mesure que la donnée s’invite au cœur de nos modes de consommation. Ce sont toute information qui se rapporte directement ou indirectement à une personne physique (article 4 du RGPD). Pour les données moins sensibles, l’État aura recours à un cloud géré par un prestataire extérieur mais sur des machines exclusivement dédiées55. Pour les données les plus sensibles des administrations, le gouvernement français a fait le choix d’un système de nuage informatique d’État.
Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s’appliquer à ce traitement, étant entendu qu’il ne devrait pas s’appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l’intérêt public devraient être des services qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l’humanité, notamment l’Holocauste, ou aux crimes de guerre.
- Il est rappelé qu’utiliser les données d’activités pour compter les heures travaillées est un détournement de finalité, sanctionné par la loi.
- Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.
- Les petites et moyennes entreprises du secteur des technologies de l’information ont été les plus négativement affectées, connaissant une baisse des bénéfices de 12 % à cause de la RGPD.
- Le registre des activités de traitement permet de recenser les traitements de données et d’avoir d’une vue d’ensemble des utlisations de ces données personnelles.
Il devrait, en outre, tenir compte de l’objectif de l’Union mentionné à l’article 179, paragraphe 1, du traité sur le fonctionnement de l’Union européenne, consistant à réaliser un espace européen de la recherche. Par «fins de recherche scientifique», il convient également d’entendre les études menées dans l’intérêt public dans le domaine de la santé publique. Pour répondre aux spécificités du traitement de données à caractère personnel à des fins de recherche scientifique, des conditions particulières devraient s’appliquer, en particulier, en ce qui concerne la publication ou la divulgation d’une autre manière de données à caractère personnel dans le cadre de finalités de la recherche scientifique.
Le guide de la sécurité des données personnelles a pour but de rappeler les précautions de sécurité à mettre en œuvre. Cette nouvelle version restructure le guide et introduit de nouvelles fiches, notamment sur l’intelligence artificielle, les applications mobiles, l’informatique en nuage (cloud) et les interfaces de programmation applicative (API). En avril 2012, l’UFC-Que Choisir a lancé un site factice pour mener une campagne de sensibilisation sur l’importance de la protection des données personnelles à travers le prisme des comportements des consommateurs. Offrant des réductions importantes sur de nombreux bien et services, ce faux site proposait aux consommateurs de s’inscrire en laissant, s’ils le souhaitaient, de nombreux renseignements sur leur comportement et celui de leur entourage (famille, collègues), sans qu’il soit mentionné nulle part que le groupe derrière ce site respectait la loi informatique et libertés de 1978.
Si les données à caractère personnel qu’il traite ne lui permettent pas d’identifier une personne physique, le responsable du traitement ne devrait pas être tenu d’obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Toutefois, le responsable du traitement ne devrait pas refuser des informations supplémentaires fournies par la personne concernée afin de faciliter l’exercice de ses droits. L’identification devrait comprendre l’identification numérique d’une personne concernée, par exemple au moyen d’un mécanisme d’authentification tel que les mêmes identifiants utilisés par la personne concernée pour se connecter au service en ligne proposé par le responsable du traitement.
Cependant, les risques spécifiques liés au recours au cloud doivent être pris en compte lors de la mise en œuvre d’un traitement de données. Ce règlement, applicable à partir du 25 mai 2018, est « obligatoire dans tous ses éléments et directement applicable dans tout État membre »8. Le scandale Facebook-Cambridge Analytica, autour du vol, puis de l’analyse et de la réutilisation manipulatrices de données personnelles, à des fins électorales, aux Etats-Unis et au Royaume-Uni, éclate peu de temps avant sa mise en application. On constatera aussi l’existence d’entreprises comme Aggregate IQ (entreprise-sœur, canadienne, de Cambridge Analytica, créé par la même maison-mère) qui utilisent le big data (y compris des données personnelles illégalement acquises sur les comptes Facebook de 87 millions d’internautes) pour produire des messages électoraux trompeurs et ciblés empêchant le libre arbitre des électeurs de s’exercer9,10,11.