Protege tes donnees personnelles
VIE PRIVEE EN DANGER
MES DROITS
EN PRATIQUE
EN SAVOIR PLUS
Qui utilise tes donnees
et quelles regles doivent etre respectees ?

Tu utilises et tu produis tous les jours des données personnelles : chaque fois que tu surfes sur Internet, que tu fais un achat en ligne, que tu utilises ta géolocalisation, que tu parles avec tes ami·e·s sur les réseaux sociaux. 

Quand quelqu’un utilise tes données, on l’appelle le “responsable du traitement”. Il est « responsable », ce qui veut dire qu’il ne peut pas faire n’importe quoi avec tes données et qu’il doit respecter certains principes qui sont inscrits dans un règlement européen (le RGPD – Règlement Général de Protection des Données).

Pour pouvoir traiter tes données, le responsable doit être « autorisé » à le faire. Il a le choix entre 6 bases juridiques : 

  • tu lui as donné ton accord (consentement) ;
  • tu es lié·e au responsable par un contrat (ou un pré-contrat) ;
  • une loi oblige le responsable à traiter tes données personnelles ;
  • le traitement de tes données est indispensable pour sauvegarder tes intérêts vitaux (pour sauver ta vie) ;
  • une loi oblige le responsable à traiter tes données personnelles pour exécuter une mission d’intérêt public ;
  • le traitement de données personnelles poursuit un intérêt légitime.

Si le responsable ne s’appuie pas sur au moins une de ces 6 bases juridiques, le traitement de tes données personnelles est illicite. Cela signifie qu’il traite tes données personnelles sans respecter la loi.  Tu peux alors faire respecter la loi en faisant valoir tes droits.

Une autorité en Belgique peut t’aider : il s’agit de l’Autorité de protection des données qui pourra, en fonction de la gravité du non-respect du règlement, imposer une amende au responsable qui aurait mal agi. Pour le secteur privé, ces amendes peuvent s’élever, en fonction des infractions et des circonstances précises, de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel global de l’entreprise. Mais cet argent n’ira pas dans ta poche : il s’agit d’une amende administrative qui a pour but d’amener les responsables à adopter un comportement plus respectueux de la loi et donc, qui respecte ta vie privée et celle des autres.

Si le responsable a bien choisi l’une des 6 bases juridiques, est-ce suffisant ? Non, il faut encore que le responsable soit transparent et loyal vis-à-vis de toi : il doit te donner des informations accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

Le responsable doit être clair sur l’utilisation de tes données personnelles, c’est-à-dire, sur les objectifs poursuivis par le traitement de tes données. Il ne peut pas prétendre utiliser tes données personnelles pour une raison X et te cacher qu’il les utilise aussi pour d’autres raisons W, Y, Z.

Par exemple : le responsable ne peut pas te proposer une carte de fidélité pour que tu puisses gagner des points et avoir des réductions et te cacher qu’il revend ou partage ces informations avec d’autres “partenaires” (des sociétés qui ne portent pas le même nom que le magasin) pour qu’ils puissent eux aussi t’envoyer de la publicité pour leurs produits.

Le responsable ne peut pas traiter les données dont il n’a pas vraiment besoin : il peut seulement traiter tes données personnelles s’il en a absolument besoin. 

Par exemple, si tu achètes un vêtement en ligne, il devra d’office avoir ton nom et ton adresse pour pouvoir te l’envoyer mais il n’a pas besoin de savoir si tu as des frères ou sœurs ou de connaitre ton groupe sanguin.

Et si on te le demandait quand même ?  Tu peux refuser et rappeler ce principe de minimisation des données inscrite dans le Règlement européen. Si le responsable refuse de te vendre quelque chose sous prétexte que tu ne veux pas lui donner des données dont il n’a pas besoin, n’hésite pas à te plaindre auprès de l’Autorité de protection des données : cela pourrait coûter cher au responsable!

Le responsable doit s’assurer que les données personnelles qu’il traite sont exactes et qu’il les tient à jour. 

Par exemple, tu ne souhaites pas qu’une photo de toi à 4 ans figure sur ta carte d’identité alors que tu en as 18, ou bien que tout ton courrier arrive à une adresse à laquelle tu ne résides plus depuis 10 ans, et c’est bien normal !

Si jamais tu constates que le responsable traite des données qui ne sont plus à jour, tu peux exercer ton droit de rectification (hyperlien vers la partie droit de rectification) pour faire corriger les données qui ne seraient pas ou plus exactes.

Le responsable ne peut pas conserver les données plus longtemps que nécessaire. En d’autres termes, tes données personnelles ne peuvent pas être gardées indéfiniment. Le responsable doit définir la « durée de conservation« , c’est-à-dire une période après laquelle il effacera tes données. Il s’agit du principe de limitation de la conservation.

Par exemple, dans le journal en ligne de ton école, il y a une photo de toi à 17 ans avec le sous-titre « les dangers du binge drinking, Thomas nous raconte son expérience ». 10 ans plus tard, tu cherches un travail et envoies ton CV un peu partout. Les employeurs font souvent des recherches sur internet avant d’engager quelqu’un et tu doutes que cette photo soit à ton avantage. Il n’est clairement pas utile que cette photo de toi ayant trop bu circule encore sur internet dix ans plus tard.

Que peux-tu faire si le responsable traine et conserve tes données trop longtemps ?  Tu peux exercer ton droit à l’accès à l’information. Grâce à cela, tu sauras quelles données le responsable détient sur toi et depuis combien de temps il les conserve. Si tu n’es pas d’accord avec cette conservation, tu pourras alors faire respecter ton « droit à l’effacement ».

Le responsable doit s’assurer que les données personnelles ne sont modifiées que par des personnes autorisées et selon une procédure établie. Il s’agit du principe d’intégrité.

Par exemple, la banque fait de gros efforts pour que l’intégrité de ton compte bancaire soit correctement protégée ! N’importe qui ne peut pas retirer de l’argent sur ton compte ou ajouter des zéros à ce qui se trouve sur ton compte. Seules les personnes autorisées peuvent accéder à ton compte (la banque et toi et éventuellement tes parents si tu es mineur·e). Cela dit, tu as toi aussi ton rôle à jouer pour assurer ta sécurité, par exemple en ne laissant pas trainer ta carte bancaire avec un post-it sur lequel tu aurais écrit ton code.

Le responsable doit aussi s’assurer que seules les personnes autorisées ont accès à tes données personnelles. Il s’agit du principe de confidentialité.

Par exemple, si tu as envoyé un email à ta petite amie sur son compte email privé, tu n’aimerais pas que ses potes en classe puissent accéder au contenu de cet email en piratant son compte. Ton compte email doit être protégé par le responsable. Et là aussi, tu as ton rôle à jouer ! N’utilise pas de mot de passe faible comme « motdepasse » ou « 1234567 » et ne laisse pas trainer ton mot de passe sur le PC de tes ami·e·s.

Ainsi, le responsable doit prendre des mesures pour assurer la sécurité de tes données personnelles mais, dans une moindre mesure, tu as, toi aussi, ton rôle à jouer pour assurer ta propre sécurité.

Si tu estimes que le responsable n’a pas fait ce qu’il fallait pour protéger tes données personnelles, tu as le droit de t’en plaindre auprès de l’Autorité de protection des données.

Le responsable doit être en mesure de prouver à l’Autorité de protection des données qu’il respecte bien tous les principes du Règlement européen. Il s’agit du principe de responsabilité.

Il ne suffit pas que le responsable dise “oui, j’y ai réfléchi”, il faut qu’il le prouve.

Par exemple en présentant son registre, en prouvant qu’il a ton consentement et que tu ne l’as jamais retiré, en démontrant que la durée de conservation est bien justifiée…

Quels sont tes droits
et comment les exercer ?

Droit d'acces

Droit de rectification

Droit a l’effacement

Droit d'opposition

Droit decision automatisee

Newsletter

Recevez les dernières actualités et appels à l’action de la LDH !

Suivre la LDH

FACEBOOK

INSTAGRAM

TWITTER

LINKEDIN

YOUTUBE

Soutiens

    
© LDH - Ligue des Droits Humains asbl - Vie privée et politique de confidentialité

- FERMER CETTE FENÊTRE -

Droit d'acces :
Article 15 du RGPD

quelques exemples

Nour fait ses courses dans un magasin où elle va souvent. Du coup, elle a une carte de fidélité (avec un système de comptage de points). La semaine dernière, elle a reçu des publicités de sociétés dont elle n’avait jamais entendu parler auparavant et qui semblent avoir réussi à deviner plus ou moins son âge, ses centres d’intérêt ainsi que quelques petits détails relevant de son intimité.

Comment savent-ils tout cela ? Les sociétés n’ont pas réalisé un tour de magie.  Ce que Nour ignore, c’est qu’en acceptant, les yeux fermés, d’obtenir la carte de fidélité du magasin en question, elle a partagé ses données personnelles avec ce magasin mais aussi avec toute la chaîne, les sociétés filiales, les sociétés partenaires, les sous-traitants, les franchisés, des consultants et des sociétés qui analysent son comportement d’achat.

Nour rencontre une amie qui lui explique qu’elle devrait peut-être exercer ses droits auprès de la société : demander quelles données personnelles cette société détient sur elle, sur quelle base juridique et à quels destinataires la société a transféré ces données. La lettre de réponse lui parvient trois semaines plus tard. On lui apprend que ses données personnelles sont traitées sur base de son « consentement » et qu’elles ont été transférées à de nombreuses sociétés différentes. Nour n’est pas contente !  Elle retire son consentement et demande à ce que ses données soient effacées. À l’avenir, elle réfléchira à deux fois avant d’accepter une carte de fidélité. 

Mais il reste encore une question : comment s’assurer que toutes les autres sociétés n’utiliseront plus ses données personnelles ?  En principe, c’est le magasin en question qui  doit avertir tous les autres que Nour ne veut plus que l’on traite ses données et qu’il n’y a plus « consentement ».  Si le magasin en question n’y parvient pas (par exemple, il estime que c’est impossible ou que cela représente un effort disproportionné vu le nombre de personnes à qui il a transféré les données), le magasin doit alors communiquer à Nour des informations sur les autres sociétés afin qu’elle puisse exercer ses droits auprès de ces sociétés. 

Virginie décide de ne plus utiliser un certain réseau social parce que ce n’est plus vraiment à la mode, elle supprime son compte. Quelques mois plus tard, Virginie s’aperçoit en recherchant son nom dans un moteur de recherche, que les photos et vidéos de son ancien compte sont encore visibles sur internet. Virginie n’est pas contente, mais elle n’est pas sûre de savoir si c’est bien normal : elle contacte le réseau social et lui demande quelles données il a encore sur elle, pourquoi il les traite encore alors qu’elle a supprimé son compte et combien de temps ses données seront encore traitées. Le responsable lui répond et Virginie demande alors de supprimer ces photos définitivement. Pour être bien sûre que, cette fois, tout a bien été supprimé, Virginie peut très bien recontacter le responsable quelques mois plus tard et lui demander quelles données il possède sur elle.

 

explications

Le droit d’accès te permet d’obtenir l’accès à tes données mais aussi à toutes les informations qui vont te permettre de comprendre ce que le responsable en fait. Avec les informations que tu recevras du responsable, tu pourras évaluer toi-même si tes données personnelles sont utilisées en conformité avec le Règlement général de protection des données ou pas.

Le droit d’accès est souvent le premier droit à exercer pour savoir quel·s autre·s droit·s tu pourrais faire jouer. Par exemple, tu ne peux pas faire jouer ton droit à l’effacement si tu ne sais pas d’abord quelle donnée le responsable est censé effacer. Tu devras souvent faire jouer ton droit d’accès en premier pour savoir ensuite quels autres droits tu souhaites faire respecter.

Le droit d’accès peut aussi te permettre de contrôler que tout est bien rentré dans l’ordre.

Pour résumer, le droit d’accès  te permet  d’en savoir plus sur la façon dont le responsable traite tes données : quelles données il a sur toi, sur quelle base juridique il s’appuie, pourquoi il les utilise, à qui il les transfère, combien de temps il prévoit de les conserver, etc.  

Si tes données personnelles sont envoyées par le responsable vers un pays qui se trouve en dehors de l’Union européenne (par exemple vers les États-Unis), tu dois être informé·e des mesures prises pour protéger tes droits.

N’oublie pas : quand tu demandes l’accès à tes données personnelles, si le responsable ne te connaît pas bien ou qu’il a des doutes sur ton identité, il peut demander une preuve de ton identité, à l’aide d’une copie de ta carte d’identité (uniquement le recto) par exemple.

Comment introduire une demande ?

Modèle de courrier à envoyer pour exercer ton droit d’accès

Formulaire Droit d'accès

Peut-on me refuser mon droit d'acces ?

En principe, le droit d’accès ne peut t’être refusé. Mais il y a des exceptions, par exemple le responsable peut refuser de te donner accès à tes données si ta demande est manifestement infondée ou excessive.

Par exemple, si ta demande est faite de manière répétitive sans que cela ne se justifie (si tu demandes une fois par jour un accès à tes données personnelles). Mais tu peux faire des demandes à des intervalles raisonnables sans que cela ne soit un motif de refus.

Il y a aussi des exceptions prévues par des lois ou des arrêtés : par exemple, tu ne peux pas accéder à certains fichiers de police ou à des informations traitées par les services de renseignement.

- FERMER CETTE FENÊTRE -

Droit de rectification :
Article 16 du RGPD

quelques exemples

– Tu as officiellement changé de genre à la commune et une société n’en tient pas compte. Tu peux lui demander de corriger cela.

– Tu as déménagé et une société n’en tient pas compte pour l’envoi de colis. Tu peux lui demander de modifier ton adresse dans sa base de données.

– Un réseau social bloque ton compte car il pense que tu n’as pas l’âge requis. Tu peux lui indiquer qu’il s’est trompé en renseignant ta vraie date de naissance.

– Ton professeur s’est planté dans le bulletin et a indiqué « Thomas n’arrête pas de bavarder, pas étonnant qu’il soit nul en math ! » sauf que tu t’appelles Tarek que tu as eu 15/20 de moyenne à toutes tes interros. Tu as le droit de demander à ce que ton bulletin soit rectifié.

– Le journal en ligne de l’école indique « Sofie fait son cinéma ! » et présente une jolie photo de ta sœur en première page pour expliquer ton projet de film scolaire. D’abord, c’est Sophie et pas Sofie et puis tu as beau penser que ta sœur et toi vous vous ressemblez un peu, tu aimerais que ce soit ta photo et pas celle de ta petite sœur qui figure en dessous de l’article présentant ton beau projet. Tu souhaites que le journal en ligne de l’école corrige ces erreurs.

Exemples de complément d’information :

– Tu as raté ton année parce que tu étais sous certificat de maladie. Tu peux demander à ce que l’école ajoute cette information dans ton bulletin.

Tu t’appelles Jean Dupont. Comme ton prénom et ton nom sont très courants, tu préfères que ton deuxième prénom soit également indiqué : «Côme», car il est beaucoup plus rare, cela limite fortement les erreurs.

explications

Le droit de rectification contient deux sous-droits :

  1. Le droit de rectification te permet d’obtenir, dans les meilleurs délais, la correction de tes données personnelles inexactes.

  2.  Tu as aussi le droit d’exiger que tes données à caractère personnel qui sont incomplètes soient complétées.

Attention ! Ces deux sous-droits peuvent-être invoqués par rapport aux données qui sont traitées par un responsable. Mais tu peux aussi demander à ce responsable de communiquer les mêmes rectifications aux autres destinataires à qui il a envoyé tes données personnelles.

Comment introduire une demande ?

Modèle de courrier à envoyer pour exercer ton droit de rectification


Peut-on me refuser mon droit de rectification ?

En principe, le droit de rectification ne peut t’être refusé. Mais tu pourrais essuyer un refus dans certains cas très spécifiques. Par exemple, si une disposition légale ou réglementaire impose ou autorise le traitement de tes données personnelles, si la donnée est nécessaire à l’exécution de ton contrat ou bien si ta demande est infondée ou manifestement excessive.

Exemples de cas où l’on peut te refuser ton droit : 

  • Tu exiges de ton employeur qu’il rectifie ton nom et qu’il t’appelle “Mademoiselle Citron” sur tous tes documents officiels parce que tu as perdu un pari (ton nom figurant dans le registre national n’étant évidemment pas “Mademoiselle Citron”).
  • Tu exiges que le SPF Finances efface toutes tes données personnelles afin qu’il ne puisse pas calculer tes impôts.
  • Tu voudrais que la police ne conserve pas ton casier judiciaire parce que tu as été condamné·e pour un délit il y a six ou trois mois et que tu as déjà payé une amende pénale.

- FERMER CETTE FENÊTRE -

Droit a l’effacement (droit a l’oubli) : Article 17 du RGPD

quelques exemples

Manon a quinze ans.  Sa pire ennemie s’appelle Charlotte. Charlotte publie sur le web des photos de Manon sans son consentement : Manon en train de manger un sandwich au thon « Thon Manon », Manon en train de courir en gym « Run, Manon, Run », etc. Manon n’en peut plus ! Elle doit absolument en parler à des adultes (PMS, professeurs, direction de l’école, la police, les parents, etc.) mais elle peut aussi s’adresser directement au réseau social sur lequel Charlotte publie toutes ces photos d’elle, leur prouver qu’il s’agit bien d’elle, que les propos tenus sont diffamatoires et leur indiquer qu’elle souhaite exercer son droit à l’oubli numérique. En exécutant une recherche avec son prénom et son nom, les photos et insultes ne seront plus représentées.

Le comportement de Charlotte s’appelle du cyber-bullying ou du cyber-harcèlement. C’est grave et cela peut mener Manon à se sentir vraiment très mal. Si le droit à l’oubli numérique peut être une solution pour faire disparaître ce qui existe déjà, cela n’est pas à une solution à long terme. Pour faire en sorte que Charlotte ne recommence pas, l’idéal est quand même d’en parler à Charlotte, aux professeurs, à la direction, au PMS, aux parents de Charlotte… Si tu connais une Manon, ne la laisse pas tomber et n’hésite pas à dire à sa Charlotte que tu estimes son comportement totalement inapproprié !

Tu peux aussi téléphoner au 103 (tous les jours de 10h à 24h) ou bien écrire à Clickhelp@childfocus.org pour leur dire ce que tu as pu observer. Ils t’aideront à trouver des pistes de solution.

À 13 ans, une amie de Mila a posté sur YouTube une vidéo de Mila qui danse. Quelques années plus tard, des gens de sa classe ressortent cette vidéo pour se moquer d’elle. Mila veut absolument supprimer cette vidéo mais son ancienne amie est injoignable. Elle peut contacter Youtube pour demander l’effacement de cette vidéo sans délai.

Victor quitte son boulot et souhaite que son nom n’apparaisse plus sur le site de son ex-employeur. Il peut tout à fait demander que son ancien employeur ne fasse plus référence à lui sur son site.

Hugo adore les jeux vidéo. Il y joue minimum 1 heure par jour sur son ordinateur. Il remarque que dans son jeu vidéo apparaissent de plus en plus de publicités et que ces publicités sont liées aux recherches qu’il a faites sur son ordinateur. Il comprend rapidement que lorsqu’il fait des recherches, elles sont enregistrées et partagées avec le fournisseur de jeu vidéo. Il décide de prendre contact avec ce fournisseur pour lui demander sur quelle base il traite ses données et avec qui il les partage. Le cas échéant, il peut aussi retirer son consentement et demander l’effacement de certaines données

explications

Être complètement “oublié·e” sur le web est pratiquement impossible. Et ce, notamment parce qu’un oubli sur un moteur de recherche peut ne concerner qu’un continent mais pas tous.  Mais cela ne veut pas dire que tu ne peux rien faire ! Ton droit à l’effacement et au déréférencement peut quand même t’aider à agir dans une certaine mesure. Le RGPD reconnait en fait deux facettes au droit à l’oubli ou à l’effacement :

a) Droit à l’effacement

Si le responsable n’a pas respecté les principes (hyperlien vers la partie « Qui utilise tes données et quelles règles doivent être respectées ? »), tu peux lui demander d’effacer tes données (de les oublier). Il pourra juste conserver une trace de ta demande et créer une liste spécifique (par exemple “ne pas contacter cette personne, elle a demandé à ne plus être importunée”).

Quelques exemples pour lesquels tu peux demander à ce que le responsable efface tes données personnelles:

– Le responsable n’a aucune des 6 bases juridiques pour traiter tes données mais il les traite quand même.

– Tes données personnelles ont été traitées par le club de sport parce que tu avais un abonnement mais elles ne sont plus nécessaires parce que tu as résilié ton abonnement depuis longtemps.

– Tu avais donné ton consentement pour recevoir une newsletter mais tu as maintenant retiré ton consentement parce que tu en recevais beaucoup trop. Comme la base juridique du responsable pour utiliser tes données personnelles était ton consentement et que tu l’as retiré, le responsable n’a plus de base. 

– Tu t’opposes au traitement de tes données et le responsable n’a pas d’argument valable à opposer à ton refus.

– Le droit a changé et désormais ce traitement est interdit.

– Les données traitées sont inadéquates, inexactes, non pertinentes ou excessives par rapport aux finalités poursuivies. Par exemple, tu te rends compte que l’application que tu as sur ton téléphone pour améliorer tes photos a collecté tous tes contacts et te géolocalise sans cesse.

– Tes données personnelles sont conservées pendant une durée excessive, c’est-à-dire, qui dépasse ce qui est nécessaire pour le traitement. Sauf s’il s’agit d’un traitement à des fins historiques, statistiques ou scientifiques. Par exemple, 10 ans après avoir loué un vélo électrique à une borne quand tu étais en vacances aux États-Unis, tu reçois encore des promotions pour l’utilisation de ce type de vélo.

b)  Droit au déréférencement

Tu peux t’adresser directement aux moteurs de recherche pour qu’en tapant ton prénom et ton nom, plus personne ne puisse faire le lien direct avec des photos gênantes. Cette suppression ne conduit pas à effacer l’information sur le site internet source : le contenu original reste inchangé et est toujours accessible, en utilisant d’autres critères de recherche ou bien en allant directement sur le site à l’origine de la diffusion.

Concrètement cela signifie que le moteur de recherche « coupe » les liens associant ton identité aux sites web (URL) que tu auras mentionnés mais que la photo malveillante est toujours publiée sur le site web problématique. Pour l’effacer, tu dois en plus t’adresser au responsable du site web en question pour exercer ton droit à l’oubli auprès de lui ou lui opposer d’autres droits comme le droit à la rectification, par exemple.

Comment introduire une demande ?

Pour cela, il faut remplir les formulaires disponibles en ligne sur les sites de moteurs de recherche ou leur écrire.

Les principaux moteurs de recherche mettent à disposition un formulaire de demande de suppression de résultats de recherche.

 

BING

Formulaire de demande en ligne

GOOGLE

Formulaire de demande en ligne

IXQUICK

Surfboard Holding B.V.

Postbus 1079

3700 BB Zeist

Pays-Bas

QWANT

Demande de déréférencement

à effectuer auprès de privacy@qwant.com  

YAHOO! EMEA Ltd

Formulaire de demande en ligne

Quelques conseils pratiques:

– Adresse-toi au moteur de recherche via son formulaire en ligne s’il existe et s’il n’y en a pas, pense à t’inspirer des autres formulaires pour préciser tous les éléments de ta demande.

– Précise bien l’adresse web (url) du résultat faisant l’objet de ta demande. Pour cela, faire un clic droit sur le lien de résultat et sélectionne « copier l’adresse du lien » (ou ctrl + C).

– Motive bien ta demande, en indiquant au moteur de recherche pourquoi tu souhaites que ce lien soit déréférencé. N’oublie pas les critères (expliqués plus bas dans la partie « peut-on me refuser mon droit à l’effacement ? ») et si tu estimes que le lien actuel risque de te porter préjudice indique pourquoi (employeur, relations professionnelles, relations familiales, etc).

Attention, pense à conserver une copie de tes démarches ! Car si tu reçois un refus, tu peux encore t’adresser à l’Autorité de protection des données qui te demandera la preuve des démarches déjà entamées.

Si le formulaire ne prévoit pas de pouvoir t’envoyer une copie de ta démarche, pense à réaliser une capture d’écran à l’aide de la touche « impr écran » (ou PrtScr). Il s’agit d’une touche souvent située dans la barre des F-Keys F1 à F12, en haut à droit de ton clavier (PC). Si tu possèdes un Mac, le raccourci clavier est cmd (ctrl) + MAJUSCULE + 4.

Enfin si tu introduis ta demande via ton GSM, n’oublie pas d’en faire une photo.

Modèle de courrier à envoyer pour exercer ton droit à l’effacement

Peut-on me refuser mon droit a l’effacement (a l’oubli) /au dereferencement ?

Ce droit peut t’être refusé dans certains cas. Le droit à l’effacement ou à l’oubli n’est pas un droit absolu, il connait des limites et des exceptions.

Concernant les limites, d’autres droits peuvent être opposés à ton droit à l’oubli comme le droit à la liberté d’expression et d’information. Plus tu es une figure connue du grand public, plus le droit d’expression et d’information des autres peut être étendu.

Par exemple, si un Ministre saccage sa chambre d’hôtel après une soirée arrosée, les journaux auront le droit de publier l’info et le Ministre ne pourra pas tout de suite exiger d’exercer son droit à l’oubli/au déréférencement. En revanche, il pourrait peut-être le faire 10 ans plus tard car il n’a jamais recommencé et en a assez que cette vieille affaire ressorte à chaque fois que l’on recherche son prénom et son nom sur internet.

Concernant le droit au déréférencement, une appréciation au cas par cas devra être faite pour examiner si ton droit à l’oubli prédomine sur le droit à l’information des internautes et à la liberté d’expression de l’autre ou s’il existe d’autres exceptions ou limitations. Quels sont les critères pour déterminer si ton droit à l’oubli prédomine ou pas ?

C’est la Cour de justice européenne (CJUE) qui a fixé ces critères dans sa jurisprudence 1 :

  • la  personne concernée est-t-elle connue du (grand) public ? Si oui, le droit à l’information des autres et la liberté d’expression des journalistes est plus étendu que si la réponse est non ;
  • quel est l’âge de la personne concernée ? Si la personne est mineure, le droit à l’oubli est plus étendu ;
  • Les données référencées sont-elles exactes ? À jour ? Pertinentes ? Excessives ? Si ces données ne sont pas exactes, à jour et pertinentes et/ou si elles sont excessives, le droit à l’oubli est plus étendu ;
  • la personne concernée subit-elle un préjudice ? Si oui (même un risque potentiel), le droit à l’oubli est plus étendu. Si les données peuvent être considérées comme sensibles ou relevant de l’une des catégories particulières, le risque qu’elles puissent porter préjudice à la personne concernée est plus grand et le droit à l’oubli plus étendu ;
  • quel est le contexte de la publication ? Si tu as toi-même publié des infos gênantes, ton droit à l’oubli peut être amoindri (sauf si tu étais mineur·e au moment des faits). Mais il peut arriver de regretter ses actes et cela ne veut pas dire que ton droit à l’oubli cesse de te protéger complètement : le moteur de recherche prendra tous les éléments en compte.

Il peut aussi y avoir des exceptions qui s’opposent à ton droit à l’oubli :

– Si une disposition légale impose le traitement.

– S’il existe un motif d’intérêt public relatif à la santé publique

– Si le traitement est exécuté à des fins d’archives, de recherche scientifique, historique ou statistiques.

Enfin, le traitement peut être nécessaire à la constatation, à l’exercice ou à la défense de droits en justice. Exemple : tu ne peux pas demander à exercer ton droit à l’oubli concernant la photo de la plaque d’immatriculation de ta moto afin d’éviter de payer une amende pour excès de vitesse.

1. CJUE, GC, AF, BH, ED c. Commission nationale de l’informatique et des libertés (CNIL), C-136/17, 24 septembre 2019, in http://curia.europa.eu/juris/document/document.jsf?docid=218106&doclang=FR.

- FERMER CETTE FENÊTRE -

Droit d’opposition :
article 21 du RGPD

quelques exemples

Noah reçoit presque chaque mois un sms l’informant de promotions dans son magasin de sport préféré. Il y va souvent et il se souvient avoir donné son numéro de téléphone pour la création de sa carte de fidélité. Il ne veut plus recevoir ces sms. Comment peut-il faire ?

Hugo adore les jeux vidéo. Il y joue minimum 1 heure par jour sur son ordinateur. Il remarque que dans son jeux vidéo apparaissent de plus en plus de publicités et que ces publicités sont liées aux recherches qu’il a faites sur Google sur son ordinateur. Il comprend rapidement que lorsqu’il fait des recherches sur le net, elles sont enregistrées et partagées avec le fournisseur de jeu vidéo. Il décide de prendre contact avec ce fournisseur pour objecter au traitement de ses données et en demander l’effacement.

Julie achète en ligne deux billets pour assister au concert de son groupe préféré. Après son achat, elle commence à recevoir des e-mails publicitaires pour des concerts et des événements qui ne l’intéressent pas. Elle contacte alors l’entreprise de billetterie en ligne pour lui demander d’arrêter de lui envoyer ces publicités.

Isabelle visite un site de vente en ligne pour choisir un casque audio pour son anniversaire. Finalement, elle change d’avis et décide d’acheter une guitare. Toutefois, elle n’arrête pas de recevoir des notifications par email pour des casques. Elle peut demander au site de vente en ligne d’arrêter d‘envoyer ce genre de publicité.

explications

Le droit d’opposition te donne le droit de t’opposer à certains traitements de tes données. Mais tu ne peux pas t’opposer à tous les traitements. Il faut d’abord déterminer la base juridique (hyperlien vers le principe 1 : principe de licéité, de loyauté et de transparence) qui justifie le traitement et identifier le but poursuivi par le responsable du traitement. Mais comment savoir si le responsable a bien le droit de traiter tes données ? En cas de doute, exerce d’abord ton “Droit d’accès” (hyperlien vers la partie « droit d’accès).

Tu peux t’opposer :

– À tout moment, en expliquant pour quelles raisons tenant à ta situation particulière, aux traitements de tes données personnelles (y compris au profilage) qui sont :

– nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable ;

– nécessaires aux fins des intérêts légitimes poursuivis par le responsable ou par un tiers.

– À tout moment, sans motivation, lorsque tes données personnelles sont traitées à des fins de marketing/pub, y compris au profilage.

Le responsable a l’obligation de t’informer de ton droit de t’opposer au plus tard au moment de la première communication avec toi et cette info doit être présentée clairement et séparément de toute autre information.  

Pour te simplifier la vie, tu peux déjà mettre fin à l’envoi d’offres, personnalisées ou non, entre autres en :

– Cliquant sur le lien « se désinscrire » situé en bas de tous les e-mails de nature commerciale.

– Adaptant tes paramètres de protection de la vie privée sur les sites web sur lesquels tu possèdes un compte personnel (banques, mutuelles, assurances, magasins).

– T’inscrivant sur la liste « Ne m’appelez plus ». Plus d’infos.

La disponibilité généralisée de données à caractère personnel sur le web, l’Internet des objets (IoT) et les progrès technologiques (intelligence artificielle, capacité des ordinateurs de gérer de très grosses bases de données,…) permettent de déterminer, d’analyser et de prévoir certains aspects de ta personnalité ou de ton comportement, de tes intérêts et de tes habitudes. C’est ce qu’on appelle le “profilage”. Ceci peut s’avérer pratique et économique (offre de chauffage quand on en a besoin à un tarif plus avantageux, assurance au km quand on ne roule pas beaucoup, forfait adapté pour ton téléphone portable, etc.).

Mais cela peut également avoir un impact significatif sur tes droits : profil désavantageux sur base de stéréotypes non adaptés à ta situation réelle, augmentation du taux d’un prêt, refus de couverture par une assurance, etc. Avec le droit d’objecter, tu peux aussi couvrir le profil qui aurait été fait sur toi.

Comment introduire une demande ?

Modèle de courrier à envoyer pour exercer ton droit d’opposition


Peut-on me refuser mon droit d'opposition ?

Ce droit peut t’être refusé, ou pas, cela dépend : 

Si ta demande d’opposition concerne le marketing/la pub/la prospection : non, on ne peut pas te refuser ton droit d’opposition.

Si ta demande d’opposition ne concerne pas le marketing/la pub, tu ne peux pas t’opposer au traitement lorsque :

– il existe des motifs légitimes et impérieux qui prévalent sur ton droit ;

– le traitement est nécessaire pour la constatation, l’exercice ou la défense de droits en justice ;

– tu as consenti à ce traitement auparavant. Dans ce cas tu dois simplement retirer ton consentement ; à l’avenir, le responsable ne pourra plus traiter tes données sur cette base.

– un contrat te lie avec l’organisme et ce traitement est nécessaire pour l’exécution du contrat ;

– il y a une obligation légale qui impose au responsable du traitement de traiter tes données ;

– le traitement est nécessaire à la sauvegarde de tes intérêts vitaux ou à ceux d’une autre personne physique.

– les données sont traitées à des fins historiques, statistiques ou scientifiques car il s’agit alors d’une mission d’intérêt public.

- FERMER CETTE FENÊTRE -

Droit de ne pas faire l’objet d’une decision individuelle uniquement automatisee (y compris le profilage) : article 22 du RGPD

quelques exemples

Tu aimes les séries coréennes et tu en regardes beaucoup sur une plateforme de streaming légale. Au bout d’un certain temps, tu t’aperçois qu’on ne te propose plus que cela. Pourtant tu aimerais aussi regarder des séries américaines comme Riverdale, 13 reasons why ou the Lord of the Rings.

Tu aimerais partir au Japon ou à New York et tu as déjà surfé sur quelques sites, tu n’arrêtes pas de voir les prix grimper, il est temps que tu achètes les billets parce qu’à ce rythme cela va vite devenir impayable ! Ton amie qui rêve quant à elle de partir à Rome regarde pour la première fois les prix pour New York, elle observe un prix largement inférieur à celui que tu as constaté. Tu n’en reviens pas, que s’est-il passé ?

Une boîte recrute du personnel pour son service informatique. Tous les CV des femmes finissent automatiquement “déclassés”. Au bout d’un certain temps, l’entreprise s’en aperçoit et se demande ce qui a bien pu se passer. L’algorithme avait simplement constaté qu’il y a plus d’hommes que de femmes dans le secteur et avait donc “déclassé” automatiquement tous les CV féminins.

explications

Le profilage consiste à utiliser tes données personnelles en vue d’analyser et de prédire ton comportement : que vas-tu regarder? Que vas-tu vouloir acheter ? Quel prix es-tu prêt à payer ? Ainsi que les risques que tu peux représenter (prêt pour une banque, assurances pour une compagnie d’assurances, performances à ton travail pour ton employeur…).

Certaines décisions prises à ton égard sont entièrement automatisées, c’est-à-dire qu’elles ont été prises par un ordinateur qui se fonde sur des algorithmes appliqués à tes données personnelles sans qu’aucun être humain n’intervienne dans le processus.

Tu as le droit de t’opposer à ce qu’une décision qui te concerne et qui peut t’affecter de manière significative soit prise uniquement par un ordinateur. Tu peux demander à ce qu’un être humain évalue ta situation personnelle.

Ainsi, tu peux demander à ta banque qu’elle te reçoive afin que tu puisses expliquer ta situation personnelle et qu’elle ne se fonde pas uniquement sur une décision automatisée.

Comment introduire une demande ?

Modèle de courrier à envoyer pour exercer ton droit de ne pas faire l’objet d’une décision individuelle uniquement automatisée 

Peut-on me refuser mon droit de ne pas faire l’objet d’une decision individuelle uniquement automatisee (y compris le profilage) ?

Dans certains cas, il est possible de te refuser ce droit si :

  • Tu as donné ton consentement explicite (pense à le retirer pour l’avenir). S’il s’agit de données qui relèvent de “catégories particulières”, le responsable du traitement ne peut en principe pas justifier son traitement en se reposant uniquement sur ton consentement SAUF si le traitement est nécessaire pour des motifs d’intérêt public important ou si la loi n’a pas interdit que tu puisses donner ton consentement ;
  • La décision est nécessaire à un contrat que tu as conclu avec l’organisme.

Dans ces cas, tu as quand même la possibilité :

  • d’être informé·e qu’une décision entièrement automatisée a été prise à ton encontre.
  • de demander à connaître la logique et les critères employés pour prendre la décision.
  • de contester la décision et d’exprimer ton point de vue.
  • de demander l’intervention d’un être humain qui puisse réexaminer la décision.

Mais il est également possible de te refuser ton droit si la décision automatisée est autorisée par des dispositions légales spécifiques.