Le droit d’être informé sur l’utilisation de vos données
Un organisme qui collecte des informations sur vous doit vous fournir une information claire sur l’utilisation de vos données et sur l’exercice de vos droits.
Qu'est-ce que le droit à l'information ?
Vos données sont au cœur de votre quotidien. Mais connaissez-vous vos droits ? Dans l'Union européenne et en France, vos données personnelles sont protégées par des textes comme le RGPD et la loi Informatique et Libertés. Chaque organisme privé ou public doit vous permettre d'exercer vos droits gratuitement.
Dans tous les cas, avant de saisir la CNIL, vous devez exercer votre droit auprès de la société, de l'association ou encore de l'administration qui détient vos données.
Voyons à présent ce qu'est le droit à l'information. Un organisme qui collecte vos données personnelles doit vous informer de manière claire, simple et accessible. Il doit vous dire comment et pourquoi vos données vont être utilisées et comment exercer vos droits.
Prenons l'exemple de Mathilde. Elle se demande où trouver ses informations sur son site de e-commerce préféré. Le plus souvent, elle peut les trouver sur la page d'accueil du site dans la rubrique politique de confidentialité
ou données personnelles
.
Mathilde n'a pas trouvé toutes ses réponses. Elle a le droit de demander gratuitement à l'organisme des informations complémentaires. Comme pour toutes ces démarches, elle sauvegarde sa demande et fait des captures d'écran du formulaire. Cela lui permettra d'adresser une plainte à la CNIL en cas de refus, de réponses insatisfaisantes ou d'absence de réponses dans un délai d'un mois.
À quoi ça sert ?
Une bonne information permet de savoir comment vos données vont être traitées, comment exercer vos droits et donc décider si vous confiez ou non vos données à un organisme. C’est le premier baromètre pour déterminer le degré de confiance à accorder à un organisme.
Le règlement européen sur la protection des données a donc prévu d’améliorer l’information des personnes et de faciliter l’exercice de leurs droits.
Pour faciliter cet accès à l’information, les organismes publics et privés qui mettent vos données au cœur de leur activité (ex. réseau social, hôpital, mairie…) disposent d’un délégué à la protection des données (DPO), un interlocuteur privilégié à contacter pour l’exercice de vos droits ou la remontée de dysfonctionnements.
Comment se caractérise ce droit l’information ?
-
Vous avez facilement accès à l’information
L’information doit être concise et lisible et facilement accessible. Elle doit être rédigée de la manière la plus claire, précise et simple possible ! Concrètement, un utilisateur n’a pas besoin d’être un expert pour prendre connaissance de la charte de confidentialité d’un réseau social ou d’une banque. De la même manière, si un organisme cible des enfants ou des personnes vulnérables, celui-ci devra proposer une information adaptée.
Avant de collecter vos données, un organisme doit donc faire preuve de transparence et vous permettre de savoir :
- Pourquoi l’organisme collecte vos données ?
- Comment il sera amené à les utiliser ?
- Comment maîtriser vos données et exercer vos droits.
-
Une lecture suffit pour avoir un bon aperçu de l’utilisation qui sera faite de vos données
L'organisme doit vous proposer une notice d’information sur la protection de de vos données. Cette page doit être accessible depuis la page d’accueil du site de l’organisme sous un intitulé clair (« politique de confidentialité », « page vie privée », ou « données personnelles »). Celle-ci doit notamment vous informer sur :
- les coordonnées du délégué à la protection des données de l’organisme, ou d’un point de contact sur les questions liées à la protection des données personnelles ;
- l’utilisation qui sera faite de vos données ;
- ce qui autorise l’organisme à traiter ces données ;
- les tiers qui auront accès aux données ;
- la durée de conservation de vos données ;
- les modalités d’accès à vos droits et la possibilité d’introduire une réclamation à la CNIL ;
- l’utilisation de vos données hors de l’UE
- la base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
Selon le cas :
- l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée.
- le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
- les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (exemple : prévention de la fraude) ;
- le droit au retrait du consentement à tout moment ;
- la faculté d’accéder aux documents autorisant le transfert de données hors de l’Union européenne (exemples : clauses contractuelles types de la Commission européenne) ;
Et en cas de collecte indirecte effectuée par un partenaire commercial :
- les catégories de données recueillies ;
- la source des données en indiquant notamment si cette source est accessible au public.
Géolocalisation des véhicules d’un salarié
une société peut par exemple adresser une note individuelle au salarié et mettre à disposition une notice dans la voiture ou sur l’intranet de l’entreprise.
Site de e-commerce
une information doit être visible sur tous les formulaires d’inscription ainsi qu’une page dédiée à la protection des données personnelles.
Votre réseau social a subi un piratage massif
après avoir notifié ce piratage à l’autorité de protection, celui-ci devra dans certains cas adresser un message aux utilisateurs en leur conseillant de changer de mots de passe au plus vite.
-
Vous devez rester bien informé à tout moment, surtout si la sécurité de vos données est compromise
Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou illicite, une violation de données à caractère personnelles, c’est à dire la destruction, la perte, l'altération ou la divulgation non autorisée de données vous concernant.
Quelques exemples :
- Vos données ont été accidentellement supprimées ;
- Vos données ont été perdues (perte d’une clef USB non sécurisée) ;
- Une personne malveillante a réussi à accéder à la base de données d‘un l’organisme pour récupérer vos données et celles d’autres utilisateurs ;
- Vos données sont temporairement inaccessibles, ce qui vous porte préjudice.
L’organisme doit signaler une violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour vos droits et libertés. Si ces risques sont élevés, l’organisme doit également vous en informer le plus rapidement possible et vous adresser des conseils pour protéger vos données (ex. modification du mot de passe, paramétrage vie privée…).
