RGPD – Partie 3 : Quels droits et comment les respecter ?
RGPD : Quels sont les droits de vos utilisateurs ?
Le droit d’information
On ne le répètera jamais assez : avant toute chose, pour respecter l’esprit RGPD, la transparence est la clé ! Le droit à l’information pour vos utilisateurs est un principe fondamental du Règlement Général de la Protection des Données.
Vos utilisateurs ont le droit de savoir :
- Quelles données personnelles sont récoltées à leur sujet, et par quel biais (quel outil ou dispositif, quelle origine des données ?) ;
- Si la collecte de ces données est obligatoire ou facultative ;
- Dans quel but ces données sont récoltées et exploitées (la finalité du traitement) ;
- Qui gère la récolte, le stockage & l’exploitation de ces données (le responsable de traitement)
- Pendant combien de temps leurs données peuvent être conservées et exploitées ;
- Si leur données sont transférées / traitées ou stockées à l’étranger (d’autant plus s’il s’agit de pays hors UE) ;
En bref : vous devez être clairs et transparents sur le Pourquoi & le Comment de chaque récolte de données.
Une bonne pratique à appliquer pour vous assurer de la bonne compréhension de chacun(e) ? Informer vos utilisateurs de manière claire et concise. Expliquez-leur le plus simplement possible le but et les modalités de chaque récolte de données !
Sans oublier, bien entendu, de leur rappeler les différents droits qu’ils peuvent faire valoir à tout moment sur leurs données !
Droit d’accès, de portabilité, de rectification, d’opposition, d’effacement, de réclamation… Nous allons les décrypter ensemble pour vous aider à y voir plus clair 😉
Les droits d’accès & de gestion de leurs données
Les données de vos utilisateurs les concernent directement. Il est donc logique et essentiel de leur permettre de les consulter et de les récupérer s’ils le souhaitent ! C’est le principe même des droits d’accès et de portabilité.
Droit d’accès et de portabilité : quelle différence?
✓ Droit d’accès :chaque utilisateur est en droit de vous demander l’accès aux données personnelles collectées à son sujet. Vous devez alors lui fournir une copie de ces données dans un délai de courte durée, tout en respectant son droit à l’information (préciser dans votre mail l’origine des données, les finalités du traitement, la durée de conservation, etc.).
✓Droit à la portabilité :grâce à ce droit, vos utilisateurs peuvent récupérer et gérer tout ou partie de leurs données, pour les réutiliser à des fins personnelles ou les transmettre à des prestataires tiers. Pour bien respecter ce droit, vous devez transférer les données de vos utilisateurs dans un format numérique structuré, couramment utilisé et lisible (tableur excel, par exemple).
Au-delà du droit d’accès et de portabilité, vos utilisateurs ont tous les droits pour gérer les données que vous récoltez à leur sujet.
Car l’objectif principal du RGPD est bien de leur permettre de garder le contrôle et maîtriser leurs données !
Ça passe par le rappel & respect de leur :
✓Droit de rectification :pour corriger des données inexactes (exemple : âge, nom de famille mal saisi…) ou compléter des données (adresse postale incomplète…) en lien avec la finalité du traitement de chaque donnée récoltée.
✓Droit à la limitation du traitement :pour geler temporairement l’utilisation de certaines données. Ces données sont alors conservées mais ne peuvent plus être utilisées, le temps de prendre en compte une demande de rectification ou d’opposition, par exemple.
✓Droit d’opposition :pour s’opposer à tout moment à l’utilisation des données personnelles collectées.
2 cas de figure à connaître pour le droit d’opposition :
Prospection commerciale : Dans le cas de collectes réalisées pour de la prospection commerciale, ce droit s’applique automatiquement, sans condition : aucune justification particulière n’est nécessaire. Vous devez immédiatement cesser l’utilisation des données mentionnées par l’utilisateur demandeur.
Hors prospection commerciale : vous conservez un possible droit de refus de cette demande, qu’il faudra toutefois justifier auprès de votre utilisateur. Vous pouvez invoquer des motifs légitimes ou impérieux, le consentement de votre utilisateur en tant que base légale de l’utilisation de ses données, ou un contrat vous liant à l’utilisateur dans ce cadre précis. L’utilisateur pourra alors retirer son consentement ou rompre votre contrat pour re-faire valoir son droit d’opposition.
Le droit d’effacement de données personnelles
Et si l’opposition ne suffit pas… c’est ledroit d’effacement!
Vous devez savoir que vos utilisateurs ont tout-à-fait le droit de vous demander de supprimer les données à caractère personnel que vous avez récoltées à leur sujet !
Votre utilisateur se doit de préciser de façon aussi détaillée que possible les données personnelles à supprimer.
D’après la CNIL : “L’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données [le] concernant”.
Tout comme le droit d’opposition, cette demande n’a besoin d’aucune justification particulière pour être valable si les données ont été récoltées à des fins de prospection commerciale.
Hors prospection commerciale, une personne peut exercer son droit et demander la suppression de ses données quand :
- Elle juge que les données ne sont plus nécessaires pour poursuivre vos objectifs (motif de récolte de ses données a été rempli ou n’est plus valable, la “durée limite d’utilisation” de ses données est dépassée),
- Elle retire son consentement concernant l’utilisation de ses données,
- Les données sont traitées de façon illégale ou doivent être effacées pour respecter une nouvelle obligation légale.
Si aucun motif légitime ou réellement critique ne justifie la remise en question de cette demande, vous n’avez plus qu’à respecter le souhait de votre utilisateur !
Les droits RGPD hors Union Européenne (UE) : ce qu’il faut savoir
Ces droits concernent tous les organismes basés dans l’UE.
Mais qu’en est-il des traitements de données réalisés à l’extérieur de l’Europe ?
Pour rappel : Le RGPD s’applique pour tous les organismes traitant des données à caractère personnel dans l’Union Européenne (UE), mais aussi pour les organismes proposant une offre de biens/services à des personnes résidant dans l’Union Européenne !
Le RGPD s’applique donc dans 2 cas de figure :
- Si votre organisme est basée dans un pays appartenant à l’Union Européenne.
- Si votre organisme cible directement des utilisateurs de l’Union Européenne.
Techniquement, Google, Facebook et autres GAFA sont donc tenus de respecter le RGPD, tout comme vous !
Que vous soyez une entreprise basée hors UE visant des utilisateurs européens ou à l’inverse, un organisme européen ciblant des utilisateurs hors de l’Europe, ces droits sont à prendre en compte dans vos activités.
Et en dehors de la juridiction de l’Union Européenne ?
Les utilisateurs hors UE voient leurs données protégées différemment.
Par exemple, aux Etats – Unis, dans certains cas, vous ne pouvez pas stocker les données personnelles européennes.
D’après la CNIL, “Les États-Unis disposent d’une législation nationale en matière de protection des données personnelles et d’une autorité de protection des données reconnue par la Global Privacy Assembly.”
Dans le cas de transfert de données hors UE :
Vous pouvez transférer les données de vos utilisateurs hors Union européenne à condition d’assurer un niveau de protection des données suffisant et approprié, via des outils encadrés (clauses contractuelles, code de conduite, certification ou arrangement administratif).
En bref : les données personnelles européennes transférées vers les USA ou hors Union Européenne doivent être soigneusement encadrées par des outils et procédures de transfert adéquats.
Mais pas de panique ! Il vous est également possible de continuer à exploiter les données que vous avez collectées tout en respectant le RGPD et la vie privée de vos utilisateurs.
Comment exploiter des données en respectant la vie privée de vos utilisateurs ?
La pseudonymisation et l’anonymisation de données personnelles
Vous vous demandez sûrement s’il n’existe pas d’alternative à l’effacement ou l’arrêt de récolte de données ? La réponse est oui, et il s’agit de la pseudonymisation et de l’anonymisation !
La différence ? L’un protège plus les données que l’autre !
Niveau de protection 1 : la Pseudonymisation – Pseudonymiser les données de vos utilisateurs consiste à remplacer les données directement (nom, prénom..) identifiantes par des identifiants indirects (numéro de série, pseudo..). Avec le bon code de lecture, il est toutefois possible de retrouver l’identité de la personne étudiée. C’est donc le niveau minimum de protection !
Niveau de protection 2 : l’Anonymisation : “Anonymiser les données consiste à “rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible”. C’est le niveau de protection et de sécurisation supérieur ! Bien effectué, il peut vous permettre de continuer à traiter des données personnelles collectées, sans menacer la vie privée des personnes concernées !
En empêchant de remonter vers l’utilisateur-cible, ce procédé permet de conserver des données statistiques sans mettre en péril la vie privée de vos utilisateurs, et même au-delà de leur durée limite de conservation !
Pratique, non ? Et vous savez ce qui est encore plus pratique ?
Être accompagné(e)s par une agence web pour vous conseiller sur les bonnes pratiques à suivre, pour respecter le RGPD… comme le confort et les besoins de vos utilisateurs clés !
Alors, on monte un projet ensemble ?
Au-delà du RGPD… Découvrez nos domaines d’expertise préférés !
Rappel – les 4 piliers du RGPD :
1 –Finalité & Minimisation des données– Ne collecter que les données vraiment nécessaires: quels sont vos objectifs ? Quelles données sont vraiment pertinentes, indispensables pour les remplir ?
2 – Transparence – Informer les utilisateurs sur la collecte et l’utilisation de leurs données : quelles données sont collectées ? Dans quel but ? Qui gère la collecte et le traitement de ces données ?
3 – Droits – Connaître & respecter les droits des personnes sur leurs données
4 – Confidentalité & Sécurité – Mettre en place un accès contrôlé aux données collectées, des dispositif de sécurisation adaptés à la sensibilité des données traitées
Pour en savoir plus, rendez-vous sur le site de la CNIL ou auprès de votre agence web préférée !
Sources, pour en savoir plus :
- Petit bonus, notre article sur la conformité RGPD est en ligne !
- Retrouvez notre FAQ RGPD !