Le RGPD, c’est quoi ?
En quelques mots, le règlement général sur la protection des données (RGPD) est un règlement européen s’appliquant dans toute l’Union européenne depuis 2018. Il énonce la manière dont les organisations doivent traiter les données à caractère personnel. Autrement dit, l’objectif du règlement est de protéger les données à caractère personnel des personnes physiques ainsi que leurs droits relatifs à l’utilisation de leurs données.
Au regard du RGPD, une donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable[1] ». On entend par identifiée ou identifiable la personne pouvant être directement ou indirectement reconnue au travers notamment de son nom, de son identifiant, de sa localisation, etc.
Le RGPD va s’appliquer tant aux données à caractère personnel au format papier qu’aux données électroniques aux mêmes conditions. Concernant les données électroniques, l’exemple-type est l’apparition d’une bannière lorsque vous ouvrez une page internet. Sur celle-ci est indiquée que le site requiert l’utilisation de cookies pour son fonctionnement et demande le consentement de l’utilisateur. Le RGPD a permis de réglementer la collecte et le traitement des données via les cookies auxquels un accord est préalablement demandé.
Seulement, qu’est-ce qu’un cookie concrètement ?
Il s’agit d’un petit fichier que le site web en question va placer sur les appareils des utilisateurs (ordinateur, smartphone) lors de leur connexion. En acceptant leur utilisation, cela va permettre de collecter et conserver diverses informations telles que l’identité de l’utilisateur, son âge, son lieu de résidence, ses centres d’intérêt, etc… Les cookies vont identifier les préférences pour ensuite améliorer la « visite » de l’utilisateur et lui proposer des publicités et/ou produits adaptés. En effet, beaucoup d’internautes remarque qu’après avoir consulté un site proposant un certain type de produits, des publicités vont faire apparaitre des produits similaires à vos précédentes recherches.
Le refus de cookies est évidemment une option mais en refusant l’utilisation de cookies, certains sites vont partiellement ou totalement limiter l’accès aux informations. Le choix n’est cependant pas définitif. En effet, il est possible de gérer les paramétrages à tout moment ainsi que d’effacer les cookies déjà présents dans le navigateur.
Concernant le traitement de données à caractère personnel de manière générale, pour qu’il soit valable, le RGPD énonce 6 principes fondamentaux à respecter (article 5, 1° RGPD) notamment :
- La légalité, la loyauté et la transparence : la personne concernée doit facilement comprendre la manière dont seront traitées ses données à caractère personnel ainsi que la légalité sur laquelle repose l’utilisation. Il faut que l’information utilisée le soit de manière loyale.
- La limitation des finalités : les objectifs du traitement doivent être déterminés de façon explicite et légitime avant toute collecte de données.
- La minimisation des données : le traitement des données doit utiliser seulement les données adéquates, pertinentes et limitées au regard des objectifs déterminées précédemment.
- L’exactitude : les données collectées et traitées doivent être correctes et à jour. En cas d’erreur, l’entreprise ou l’organisation se doit d’y remédier dans les plus brefs délais.
- La durée de conservation : la durée est fixée en fonction du temps nécessaire au traitement. Une fois les finalités atteintes, les données seront effacées à l’exception du cadre légal permettant une conservation plus longue à des fins archivistiques, scientifiques ou historiques.
- L’intégrité et la confidentialité : le responsable du traitement a un devoir de sécurité envers la personne concernée, il doit pouvoir protéger le traitement notamment contre d’éventuelles fuites de données.
Comme cela est expliqué plus haut, le RGPD limite l’utilisation des données mais les sites internet peuvent malgré tout mettre en place un système de cookies. Pour collecter des données légalement, il faut avant tout obtenir un consentement explicite de la personne concernée. Concrètement, pour ce qui est des cookies, cela implique de ne pas prévoir de cases cochées par défaut (exceptés les cookies strictement nécessaires).
En pratique, il existe une réelle difficulté pour les entreprises et organismes publics de se mettre en conformité dans le cadre de la collecte des données. En effet, de nombreuses décisions de l’autorité de protection des données (APD) en attestent. Beaucoup de plaintes sont formulées notamment en ce qui concerne l’utilisation des cookies, bien trop souvent utilisés de manière illicite.
Par exemple, la décision de l’APD du 22 novembre 2022[2] relative à une plainte concernant l’utilisation des cookies sur le site web de la RTBF. Le plaignant dénonce le fait que le site a eu recours à des cookies avant que l’utilisateur n’ait donné son consentement.
Risques/conséquences
Les risques en cas de non-conformité RGPD sont principalement de nature financière pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise. À titre d’exemple, en décembre 2022[3], la CNIL a condamné Microsoft à une amende de 60 millions d’euros pour ne pas avoir proposé l’option de refuser les cookies sur son moteur de recherche BING.
Outre les sanctions pécuniaires, d’autres sanctions peuvent également s’appliquer, dont notamment une injonction de mise en conformité ou une limitation du traitement (temporaire ou définitive).
Prévisions pour 2023 ?
L’autorité de protection des données (APD) accorde une attention particulière sur la conformité des cookies et les contrôles ne vont que croître si on se réfère à la campagne d’enquête sur les groupes de média en Belgique. Rappelons que les cookies sont réglementés par la directive ePrivacy et par le RGPD. Pour recueillir des données à caractère personnel, il est au préalable requis des plateformes internet qu’elles obtiennent le consentement de l’utilisateur. Malheureusement, ce recueil du consentement n’est pas toujours respecté et c’est là que l’APD va agir en contrôlant davantage la manière dont les entreprises collectent les données.
Le mot de la fin !
Il est important de sensibiliser les organisations au traitement des données à caractère personnel mais également la jeunesse qui n’est que trop peu informée sur l’impact du traitement de leurs données.
En conclusion, les données à caractère personnel font partie intégrante de la vie quotidienne, il faut donc être attentif à leur traitement. Comme mentionné plus haut, l’utilisation des cookies est systématique et permet de récolter des informations personnelles que les utilisateurs ne désirent pas toujours transmettre. Il est donc important d’être vigilent et de se défaire de cette habitude d’accepter tous les cookies par facilité.
Les données sont précieuses, il ne faut pas y donner accès trop rapidement d’autant plus si elles ne sont pas nécessaires.
Ne donnez pas votre consentement systématiquement !
Kathleen Henrotin, stagiaire juriste – Consultis
[1] Article 4, 1° RGPD
[2] Lien: https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-168-2022.pdf
[3] Lien: https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-microsoft-ireland-operations-limited
Certifié Prince2 pour vous accompagner dans vos projets!
- Modèles « consentir ou payer » : l’avis du Comité européen des données - 24 avril 2024
- IA Act 2024 : Impact sur le droit d’auteur pour les entreprises - 28 mars 2024
- Consultis en 2023 : une année de consolidation et de progression - 14 février 2024
