Protection des données et respect de la vie privée en ligne
Les règles de l'Union relatives à la protection des données protègent vos données à caractère personnel où qu'elles soient recueillies — par exemple, lorsque vous effectuez un achat en ligne, sollicitez un emploi ou demandez un prêt bancaire. Ces règles s'appliquent tant aux entreprises qu'aux organisations (publiques et privées), établies dans ou en dehors de l'UE, qui y proposent des biens ou des services, comme Facebook ou Amazon, lorsqu'elles demandent ou réutilisent les données à caractère personnel de citoyens de l'UE.
Peu importe le format des données — en ligne dans un système informatique ou sur papier dans un dossier structuré —, lorsque des informations vous identifiant directement ou indirectement en tant qu'individu sont stockées ou traitées, vos droits en matière de protection des données doivent être respectés.
Quand le traitement de données est-il autorisé?
Les règles de l'UE en matière de protection des données, également connues sous le nom de «règlement général sur la protection des données» (ou RGPD), décrivent différentes situations dans lesquelles une entreprise ou organisation est autorisée à recueillir ou réutiliser vos informations à caractère personnel:
- lorsqu'elle a conclu un contrat avec vous — par exemple, un contrat pour la fourniture de biens ou de services (lorsque vous effectuez un achat en ligne) ou un contrat de travail;
- lorsqu'elle respecte une obligation légale — par exemple, lorsque le traitement de vos données est une exigence légale, comme dans le cas où votre employeur fournit des informations sur votre rémunération mensuelle à l'organisme de sécurité sociale, afin que vous disposiez d'une couverture sociale;
- lorsque le traitement des données est dans votre intérêt vital — par exemple, lorsque cela pourrait protéger votre vie;
- lorsqu'elle est chargée d'une mission d'ordre public — en particulier une de celles qui incombent aux établissements publics tels que les écoles, les hôpitaux et les municipalités;
- lorsque des intérêts légitimes sont en jeu — par exemple, si votre banque utilise vos données à caractère personnel pour vérifier si vous pouvez obtenir un compte d'épargne avec un taux d'intérêt plus élevé.
Dans toutes les autres situations, l'entreprise ou l'organisation doit vous demander votre accord (également appelé «consentement») avant de recueillir ou réutiliser vos données à caractère personnel.
Donner son accord («consentement») pour le traitement des données
Lorsqu'une entreprise ou organisation demande votre consentement, vous devez expressément marquer votre accord, par exemple en signant un formulaire de consentement ou en répondant «oui» (au lieu de «non») à une demande de consentement figurant de manière claire sur une page web.
Il ne suffit pas de s'opposer au traitement de vos données, par exemple en cochant une case indiquant que vous ne souhaitez pas recevoir des courriels publicitaires. Vous devez expressément marquer votre accord et accepter que vos données à caractère personnel soient conservées et/ou réutilisées à cette fin.
Par ailleurs, vous devez recevoir les informations suivantes avant de marquer votre accord:
- des informations sur l'entreprise/organisation qui traitera vos données à caractère personnel, notamment ses coordonnées, et les coordonnées du délégué à la protection des données, s'il y en a un;
- la raison pour laquelle l'entreprise/organisation utilisera vos données;
- combien de temps elle compte conserver vos données;
- les coordonnées de toute autre entreprise ou organisation qui recevra vos données;
- des informations sur vos droits en matière de protection des données (accès, rectification, suppression, plaintes et retrait du consentement).
Toutes ces informations doivent être présentées de façon claire et compréhensible.
Retrait du consentement à l'utilisation de données à caractère personnel et droit de s'opposer
Si vous avez déjà autorisé une entreprise ou organisation à utiliser vos données à caractère personnel, vous pouvez contacter le responsable du traitement des données (la personne ou l'organe traitant vos données à caractère personnel) et retirer cette autorisation à tout moment. Une fois l'autorisation retirée, l'entreprise ou l'organisation ne peut plus utiliser vos données à caractère personnel.
Lorsqu'une organisation traite vos données à caractère personnel pour son propre intérêt légitime, dans le cadre d'une mission d'intérêt général ou pour le compte d'une autorité, il est possible que vous ayez le droit de vous y opposer. Dans certains cas particuliers, l'intérêt général peut prévaloir et l'entreprise ou organisation peut être autorisée à continuer à utiliser vos données à caractère personnel. Cela peut être le cas, par exemple, à des fins statistiques ou de recherche scientifique ou pour des tâches effectuées dans le cadre des activités officielles d'une autorité publique.
Les entreprises qui souhaitent vous envoyer des courriels de marketing direct vantant les mérites de marques ou produits particuliers doivent obtenir votre consentement préalable. Toutefois, si vous êtes déjà client(e) d'une entreprise, celle-ci peut vous envoyer des courriels de marketing direct concernant leurs propres produits ou services similaires. Vous avez le droit de vous opposer à tout moment à recevoir ces courriels. Dans ce cas, l'entreprise doit arrêter immédiatement d'utiliser vos données.
Dans tous les cas, l'entreprise ou organisation concernée doit toujours vous informer sur votre droit de vous opposer à l'utilisation de vos données à caractère personnel la première fois qu'elle prend contact avec vous.
Histoire vécue
Vous pouvez vous opposer à l'utilisation de vos données personnelles à des fins de marketing direct
Anatolios achète en ligne deux billets pour assister au concert de son groupe préféré. Après son achat, il commence à recevoir des courriels publicitaires pour des concerts et des événements qui ne l'intéressent pas. Il contacte alors l'entreprise de billetterie en ligne pour lui demander d'arrêter de lui envoyer ces publicités. L'entreprise l'a immédiatement retiré de ses listes de marketing direct, à la satisfaction d'Anatolios, qui ne reçoit plus les courriels publicitaires de l'entreprise.
Règles spécifiques pour les enfants
Si vos enfants souhaitent utiliser des services en ligne, tels que des médias sociaux, ou télécharger de la musique ou des jeux, ils auront souvent besoin de votre consentement, en votre qualité de parent ou tuteur légal, car ces services utilisent les données à caractère personnel de vos enfants. Ils n'auront plus besoin de consentement parental une fois qu'ils auront atteint l'âge de 16 ans (dans certains États membres de l'UE, cette limite d'âge peut être abaissée jusqu'à 13 ans). Les contrôles destinés à vérifier le consentement parental doivent être efficaces: il peut s'agir, par exemple, de l'envoi d'un message de vérification à l'adresse électronique d'un parent.
Accès à vos données à caractère personnel
Vous pouvez demander d'accéder aux données à caractère personnel qu'une entreprise ou organisation possède vous concernant, et vous avez le droit d'obtenir gratuitement une copie de ces données, dans un format accessible. L'entreprise ou organisation concernée doit vous répondre dans un délai d'un mois et vous fournir une copie de vos données à caractère personnel et toutes les informations utiles relatives à la façon dont ces données ont été, ou sont, utilisées.
Histoire vécue
Vous avez le droit de savoir quelles données sont conservées à votre sujet et comment elles sont utilisées
Maciej, de Pologne, s'inscrit au programme de fidélité de son supermarché local. Peu après son inscription, il commence à recevoir des bons de réduction correspondant mieux aux achats qu'il effectue. Il se demande alors s'il existe un lien avec le programme de fidélité, et demande au délégué à la protection des données du supermarché quelles informations sont conservées à son sujet et comment elles sont utilisées. Maciej apprend que le supermarché conserve les données relatives aux produits qu'il achète chaque semaine, afin de pouvoir lui fournir des bons de réduction correspondant aux produits qu'il a l'habitude d'acheter.
Rectifier vos données à caractère personnel
Si une entreprise ou organisation conservé des données à caractère personnel vous concernant qui sont inexactes ou lacunaires, vous pouvez lui demander de rectifier ou mettre à jour vos données.
Histoire vécue
Vous avez le droit de rectifier les données inexactes vous concernant
Alison demande un prêt hypothécaire à sa banque pour acheter une nouvelle maison en Irlande. En remplissant le formulaire d'enregistrement, elle commet une erreur en introduisant sa date de naissance, ce qui a pour conséquence que la banque enregistre son âge de manière inexacte dans son système.
Lorsqu'Alison reçoit les propositions de la banque pour son nouvel emprunt hypothécaire et pour l'assurance vie qui l'accompagne, elle se rend compte de son erreur, car la prime d'assurance proposée est beaucoup plus élevée que sa prime actuelle. Elle contacte la banque pour lui demander de rectifier ses données à caractère personnel dans le système. Elle reçoit ensuite une nouvelle version de la proposition d'assurance indiquant sa date de naissance exacte.
Transférer vos données à caractère personnel (droit au transfert des données)
Dans certaines situations, vous pouvez demander à une entreprise ou organisation de vous renvoyer vos données ou de les transférer directement à une autre entreprise ou organisation, si c'est techniquement possible. C'est ce que l'on appelle la «transférabilité (ou portabilité) des données». Vous pouvez exercer ce droit notamment si vous décidez de passer d'un service à un autre service similaire — par exemple, passer d'un site de médias sociaux à un autre — et que vous souhaitez que vos données à caractère personnel soient rapidement et facilement transférées vers le nouveau service.
Suppression de vos données à caractère personnel (droit à l'oubli)
Si vos données à caractère personnel ne sont plus nécessaires ou si elles sont utilisées de manière illégale, vous pouvez demander à ce qu'elles soient supprimées. C'est ce que l'on appelle le «droit à l'oubli».
Ces règles s'appliquent également aux moteurs de recherche, tels que Google, qui sont également considérés comme des responsables du traitement. Vous pouvez demander que les liens renvoyant vers des pages web où figure votre nom soient retirés des résultats fournis par des moteurs de recherche, si les informations concernées sont inexactes, inadéquates, non pertinentes ou excessives.
Si une entreprise a mis en ligne vos données à caractère personnel et que vous lui demandez la suppression de ces données et des liens vers celles-ci, l'entreprise doit également en informer tous les autres sites web avec lesquels elles ont été partagées.
Afin de protéger d'autres droits, tels que la liberté d'expression, certaines données peuvent ne pas être automatiquement supprimées. Par exemple, des déclarations polémiques faites dans la sphère publique pourraient ne pas être supprimées si leur maintien en ligne sert mieux l'intérêt général.
Histoire vécue
Vous pouvez demander que vos données à caractère personnel soient supprimées d'autres sites
Alfredo décide de ne plus utiliser aucun média social; il supprime donc son profil sur les sites des médias sociaux qu'il utilisait. Toutefois, quelques semaines plus tard, en recherchant son nom dans un moteur de recherche, il constate que les photos des profils de ses anciens comptes de médias sociaux sont encore visibles en ligne. Alfredo contacte les entreprises de médias sociaux concernées et leur demande de faire le nécessaire pour que ces photos soient supprimées. Lorsqu'il effectue la même recherche un mois plus tard, il constate que les photos ont effectivement été retirées et n'apparaissent plus dans les résultats du moteur de recherche.
Accès non autorisé à vos données (violation de données)
Si vos données à caractère personnel sont volées ou perdues ou font l'objet d'un accès illégal — appelé « violation de données à caractère personnel» —, le responsable du traitement des données (la personne ou l'organe traitant vos données à caractère personnel) doit en informer l' autorité nationale chargée de la protection des données. Le responsable du traitement doit également vous informer directement si cette violation entraîne un risque grave pour vos données personnelles ou votre vie privée.
Déposer plainte
Si vous estimez que vos droits en matière de protection des données n'ont pas été respectés, vous pouvez déposer plainte directement auprès de votre autorité nationale chargée de la protection des données, qui examinera votre plainte et vous répondra dans un délai de trois mois.
Vous pouvez aussi choisir de poursuivre directement en justice l'entreprise ou organisation concernée sans passer préalablement par votre autorité nationale chargée de la protection des données.
Vous pourriez avoir droit à une indemnisation si vous avez subi un préjudice matériel (comme une perte financière) ou moral (comme une souffrance psychologique) parce qu'une entreprise ou organisation n'a pas respecté les règles de l'UE en matière de protection des données.
Utilisation des cookies
Les cookies sont de petits fichiers texte que les sites web demandent à votre navigateur de stocker sur votre ordinateur ou appareil mobile. Ils sont fréquemment utilisés pour renforcer l'efficacité des sites web en sauvegardant vos préférences. Ils sont également utilisés pour suivre votre utilisation d'internet lorsque vous naviguez, créer vos profils d'utilisateur et afficher des publicités en ligne ciblées en fonction de vos préférences.
Tout site web souhaitent utiliser des cookies doit obtenir votre consentement avant d'installer un cookie sur votre ordinateur ou appareil mobile. Un site web ne peut pas se contenter de vous informer qu'il utilise des cookies ou d'expliquer comment vous pouvez les désactiver.
Les sites doivent expliquer comment les informations qu'ils recueillent au moyen de cookies seront utilisées. Vous devez également avoir la possibilité de retirer votre consentement. Si vous faites ce choix, le site doit continuer à vous fournir un « service minimum», en vous donnant accès à une partie de son contenu, par exemple.
Tous les cookies ne nécessitent pas votre consentement. Les cookies utilisés dans le seul but d'effectuer la transmission d'une communication ne nécessitent pas de consentement. Il s'agit, par exemple, des cookies employés pour «l'équilibrage de la charge» (permettant de répartir les requêtes d'un serveur web sur un ensemble de machines plutôt que sur une seule). Les cookies qui sont indispensables pour vous fournir un service en ligne que vous avez explicitement demandé ne nécessitent pas non plus de consentement. Il s'agit, par exemple, des cookies utilisés lorsque vous remplissez un formulaire en ligne ou lorsque vous utilisez un panier d'achats sur une boutique en ligne.