Tu utilises et tu produis tous les jours des données personnelles : chaque fois que tu surfes sur Internet, que tu fais un achat en ligne, que tu utilises ta géolocalisation, que tu parles avec tes ami·e·s sur les réseaux sociaux.
Quand quelqu’un utilise tes données, on l’appelle le “responsable du traitement”. Il est « responsable », ce qui veut dire qu’il ne peut pas faire n’importe quoi avec tes données et qu’il doit respecter certains principes qui sont inscrits dans un règlement européen (le RGPD – Règlement Général de Protection des Données).
Pour pouvoir traiter tes données, le responsable doit être « autorisé » à le faire. Il a le choix entre 6 bases juridiques :
- tu lui as donné ton accord (consentement) ;
- tu es lié·e au responsable par un contrat (ou un pré-contrat) ;
- une loi oblige le responsable à traiter tes données personnelles ;
- le traitement de tes données est indispensable pour sauvegarder tes intérêts vitaux (pour sauver ta vie) ;
- une loi oblige le responsable à traiter tes données personnelles pour exécuter une mission d’intérêt public ;
- le traitement de données personnelles poursuit un intérêt légitime.
Si le responsable ne s’appuie pas sur au moins une de ces 6 bases juridiques, le traitement de tes données personnelles est illicite. Cela signifie qu’il traite tes données personnelles sans respecter la loi. Tu peux alors faire respecter la loi en faisant valoir tes droits.
Une autorité en Belgique peut t’aider : il s’agit de l’Autorité de protection des données qui pourra, en fonction de la gravité du non-respect du règlement, imposer une amende au responsable qui aurait mal agi. Pour le secteur privé, ces amendes peuvent s’élever, en fonction des infractions et des circonstances précises, de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel global de l’entreprise. Mais cet argent n’ira pas dans ta poche : il s’agit d’une amende administrative qui a pour but d’amener les responsables à adopter un comportement plus respectueux de la loi et donc, qui respecte ta vie privée et celle des autres.
Si le responsable a bien choisi l’une des 6 bases juridiques, est-ce suffisant ? Non, il faut encore que le responsable soit transparent et loyal vis-à-vis de toi : il doit te donner des informations accessibles, faciles à comprendre, et formulées en des termes clairs et simples.
Le responsable doit être clair sur l’utilisation de tes données personnelles, c’est-à-dire, sur les objectifs poursuivis par le traitement de tes données. Il ne peut pas prétendre utiliser tes données personnelles pour une raison X et te cacher qu’il les utilise aussi pour d’autres raisons W, Y, Z.
Par exemple : le responsable ne peut pas te proposer une carte de fidélité pour que tu puisses gagner des points et avoir des réductions et te cacher qu’il revend ou partage ces informations avec d’autres “partenaires” (des sociétés qui ne portent pas le même nom que le magasin) pour qu’ils puissent eux aussi t’envoyer de la publicité pour leurs produits.
Le responsable ne peut pas traiter les données dont il n’a pas vraiment besoin : il peut seulement traiter tes données personnelles s’il en a absolument besoin.
Par exemple, si tu achètes un vêtement en ligne, il devra d’office avoir ton nom et ton adresse pour pouvoir te l’envoyer mais il n’a pas besoin de savoir si tu as des frères ou sœurs ou de connaitre ton groupe sanguin.
Et si on te le demandait quand même ? Tu peux refuser et rappeler ce principe de minimisation des données inscrite dans le Règlement européen. Si le responsable refuse de te vendre quelque chose sous prétexte que tu ne veux pas lui donner des données dont il n’a pas besoin, n’hésite pas à te plaindre auprès de l’Autorité de protection des données : cela pourrait coûter cher au responsable!
Le responsable doit s’assurer que les données personnelles qu’il traite sont exactes et qu’il les tient à jour.
Par exemple, tu ne souhaites pas qu’une photo de toi à 4 ans figure sur ta carte d’identité alors que tu en as 18, ou bien que tout ton courrier arrive à une adresse à laquelle tu ne résides plus depuis 10 ans, et c’est bien normal !
Si jamais tu constates que le responsable traite des données qui ne sont plus à jour, tu peux exercer ton droit de rectification (hyperlien vers la partie droit de rectification) pour faire corriger les données qui ne seraient pas ou plus exactes.
Le responsable ne peut pas conserver les données plus longtemps que nécessaire. En d’autres termes, tes données personnelles ne peuvent pas être gardées indéfiniment. Le responsable doit définir la « durée de conservation« , c’est-à-dire une période après laquelle il effacera tes données. Il s’agit du principe de limitation de la conservation.
Par exemple, dans le journal en ligne de ton école, il y a une photo de toi à 17 ans avec le sous-titre « les dangers du binge drinking, Thomas nous raconte son expérience ». 10 ans plus tard, tu cherches un travail et envoies ton CV un peu partout. Les employeurs font souvent des recherches sur internet avant d’engager quelqu’un et tu doutes que cette photo soit à ton avantage. Il n’est clairement pas utile que cette photo de toi ayant trop bu circule encore sur internet dix ans plus tard.
Que peux-tu faire si le responsable traine et conserve tes données trop longtemps ? Tu peux exercer ton droit à l’accès à l’information. Grâce à cela, tu sauras quelles données le responsable détient sur toi et depuis combien de temps il les conserve. Si tu n’es pas d’accord avec cette conservation, tu pourras alors faire respecter ton « droit à l’effacement ».
Le responsable doit s’assurer que les données personnelles ne sont modifiées que par des personnes autorisées et selon une procédure établie. Il s’agit du principe d’intégrité.
Par exemple, la banque fait de gros efforts pour que l’intégrité de ton compte bancaire soit correctement protégée ! N’importe qui ne peut pas retirer de l’argent sur ton compte ou ajouter des zéros à ce qui se trouve sur ton compte. Seules les personnes autorisées peuvent accéder à ton compte (la banque et toi et éventuellement tes parents si tu es mineur·e). Cela dit, tu as toi aussi ton rôle à jouer pour assurer ta sécurité, par exemple en ne laissant pas trainer ta carte bancaire avec un post-it sur lequel tu aurais écrit ton code.
Le responsable doit aussi s’assurer que seules les personnes autorisées ont accès à tes données personnelles. Il s’agit du principe de confidentialité.
Par exemple, si tu as envoyé un email à ta petite amie sur son compte email privé, tu n’aimerais pas que ses potes en classe puissent accéder au contenu de cet email en piratant son compte. Ton compte email doit être protégé par le responsable. Et là aussi, tu as ton rôle à jouer ! N’utilise pas de mot de passe faible comme « motdepasse » ou « 1234567 » et ne laisse pas trainer ton mot de passe sur le PC de tes ami·e·s.
Ainsi, le responsable doit prendre des mesures pour assurer la sécurité de tes données personnelles mais, dans une moindre mesure, tu as, toi aussi, ton rôle à jouer pour assurer ta propre sécurité.
Si tu estimes que le responsable n’a pas fait ce qu’il fallait pour protéger tes données personnelles, tu as le droit de t’en plaindre auprès de l’Autorité de protection des données.
Le responsable doit être en mesure de prouver à l’Autorité de protection des données qu’il respecte bien tous les principes du Règlement européen. Il s’agit du principe de responsabilité.
Il ne suffit pas que le responsable dise “oui, j’y ai réfléchi”, il faut qu’il le prouve.
Par exemple en présentant son registre, en prouvant qu’il a ton consentement et que tu ne l’as jamais retiré, en démontrant que la durée de conservation est bien justifiée…