Un peu plus tôt dans l’année, la CNIL se penchait sur l’application Stop-Covid mise en place par le gouvernement français, afin de s’assurer du respect de la vie privée des utilisateurs et de la bonne gestion des données captées par l’application. Chez Syned, nous nous sommes posés les mêmes questions: qui va accéder aux données, où vont-elles être entreposées, quelle sécurité est mise en place pour les protéger, combien de temps vont-elles être conservées, et pour en faire quoi ? Nous nous sommes interrogés parce que c’est notre domaine. Malgré tout, nous sommes comme tout le monde: quand on aime un site, on lui fait implicitement confiance et on s’abonne à sa newsletter, pareil pour le fichier clients de notre boutique préférée… 

Finissent par arriver des emails auxquels on ne s’est jamais abonné, des SMS de publicité, ou des publicités très ciblées. On est sérieusement agacé, au début… puis on abandonne. Oui, on laisse tomber, on préfère faire passer en spam tous ces emails, certains se créent carrément une nouvelle boîte email tellement ils sont noyés sous un déluge de publicités déguisées. D’autres vont bloquer les numéros inconnus qui tentent de les joindre quatre fois par jour. Les plus téméraires se désabonnent des emails (parfois sans succès), les plus acharnés cherchent pendant 45 minutes l’adresse email de l’entreprise à laquelle écrire pour rappeler leur refus de recevoir ces emails. Encore faut-il avoir le temps pour trouver le site web de l’entreprise, puis parcourir une à une les lignes des mentions légales et enchaîner sur la politique de confidentialité… quand elle existe ! Pourtant, nous disposons du droit d’être informé.

Droit d'être informé de l'utilisation de vos données par une entreprise: traitements réalisés, partenaires fournisseurs de données, sous-traitance des données, profilage, ciblage, recoupement, calculs statistiques et prédictifs, etc. Votre droit s’applique également en tant qu’employé (actuel ou passé), stagiaire, prestataire ou encore patient médical. Pensons à certaines de ces entreprises qui collectent nos données lors des entretiens d’embauches, par exemple, ou à d’autres qui profilent leurs employés [ex: Ikea, H&M].

Vous êtes en droit d'être informé du lieu de stockage de vos données, des services de l'entreprise qui y ont accès et ce qu'ils en font, des moyens technologiques mis en œuvre pour les sécuriser, si elles sont partagées ou vendues à des tiers, etc.

Vous pouvez également chercher à savoir s'il y a eu des fuites de données (date, volumétrie de clients concernés), si vous êtes concerné par la fuite, et les solutions apportées par l'entreprise pour remédier à ce problème. 

Une entreprise est légalement tenue de vous avertir en cas de fuite de données. En l’absence de notification à ses clients, l’organisme s’expose à des sanctions de la CNIL. Pour en savoir plus sur ce que vous êtes en droit d’attendre quand vous exercez votre droit d’information, c’est par ici.

Ne vous attendez pas à ce qu’une entreprise détienne l’intégralité des informations qui vous concernent. Elle doit se conformer à une minimisation de la collecte de données nécessaires et suffisantes pour vous fournir ses services dans le cadre du contrat qui vous lie à elle. Malheureusement, dès qu’on interroge les organismes, on se rend vite compte, s’ils jouent le jeu de manière transparente, que les données qu’ils possèdent sur nous dépassent largement le cadre du service qu’ils nous rendent.

Par exemple, lorsque vous surfez sur le web, de nombreux sites internet captent votre adresse IP afin de vous géolocaliser précisément. C'est pour cela que vous voyez des publicités ou des résultats de recherche ciblés sur votre lieu de vie, par exemple. Pourtant, connaître votre localisation ne permet pas au site de mieux vous fournir ses articles d’information, quand il s’agit d’un média. A l’inverse, si le site déniche pour vous les restaurants les plus proches, vous localiser devient légitime. En revanche, conserver vos données de géolocalisation ne l’est peut-être pas…

Pas besoin d’être connu d’une entreprise pour exercer votre droit d’information ! Dans ce cas, l’entreprise ne devrait posséder aucune de vos données personnelles… sauf peut-être si vous étiez client et que vous avez clos votre dossier ? Malheureusement, nombreux sont les organismes qui n’effacent pas nos données après la résiliation de nos contrats. Elles sont souvent conservées pour nous contacter plus tard avec une nouvelle offre, ou utilisées pour des calculs statistiques.

Il existe une catégorie d’entreprises, invisibles du grand public, qui se retrouve pourtant presque partout sur internet et qui nous connaît presque. Leur activité ? Nous tracer. En réalité, elles ne tracent pas que Mme Untel qui est allée sur le site A puis le site D à telle heure, tel jour avec tel appareil; elles suivent un appareil qui navigue sur le web. 

Un simple petit fichier (cookie) déposé sur l’appareil permet d’assurer le suivi en attribuant au navigateur (parfois à l’appareil) un identifiant. Cette activité de suivi consiste à agréger la donnée de navigation de cet identifiant puis à la revendre à d’autres entreprises pour enrichir leur connaissance de visiteurs (centres d’intérêt, type d’appareil utilisé, etc.) et in fine pour mieux nous “servir” en contenus ou en publicités ciblés.

Cet identifiant constitue-t-il une donnée personnelle ? That is the question, mon cher Watson ! Aux yeux de la réglementation européenne, non, car l’identifiant ne permet pas de remonter à l’identité de l’individu. Cela reste, selon nous, très discutable... Aux yeux de Syned, oui. Il s’agit d’une donnée qui ne nous appartient pas, dans le sens où elle nous a été attribuée par un système tiers, mais nous considérons que nous en sommes copropriétaires, car l’usage qui en est fait nous concerne. C’est pourquoi sur Dare, l’utilisateur est propriétaire de toutes ses données personnelles et copropriétaire des données qui lui sont attribuées.

Pour en savoir plus sur les données, personnelles ou non, c’est par ici.

Pour parer à ce suivi, nous vous conseillons de refuser tous les cookies lorsque vous arrivez sur un site web et de les effacer régulièrement. Malheureusement, de nombreux sites ne proposent pas le refus en tant que tel, mais plutôt de configurer les cookies que l’on accepte. Cette pratique, clairement déloyale, est désormais sous la cible de la CNIL. Néanmoins, même quand on refuse tous les cookies, on se retrouve obligé d’accepter ceux “nécessaires au bon fonctionnement” du site. Et généralement, ceux-là concernent tout ce qui permet d’assurer le suivi statistique de la fréquentation du site.

Exemple du cookie qui vous est vraiment indispensable

Quand vous êtes sur la plateforme Dare, construite par nos soins, il n’y a qu’un seul cookie, celui qui permet de sécuriser l’accès à votre compte. Nous n’effectuons aucun suivi d’aucune sorte, aucun comptage, aucun traçage. Si vous refusez ce cookie, nous ne pouvons pas assurer la sécurité de votre accès, vous ne pouvez donc pas accéder à la plateforme.

Exemple du cookie soit-disant "indispensable" pour un site web

Quand vous êtes sur cette page, hébergée et construite avec les outils de la société Wix, vous êtes suivi, même en refusant les cookies. Ce système est celui de la majorité des sites web du monde. Il ne vous apporte à vous, visiteur, aucune information, aucun service supplémentaire. En revanche, de notre côté, nous disposons d’informations intéressantes qui nous permettent de comprendre des comportements de masse:

• provenance des visiteurs

• type d’appareil utilisé (mobile ou ordinateur)

• date et heure de visite

• durée d’une visite

Ces chiffres ne permettent pas de remonter à une personne identifiable; en réalité, il s’agit de visites complètement anonymisées. Un visiteur peut effectuer plusieurs visites. Par exemple, au moment de la rédaction de cet article, nous savons qu’il y a eu 12 visites depuis Paris, et une depuis la Belgique, la semaine dernière. Nous sommes également en mesure de mieux faire remonter Dare dans les résultats de votre moteur de recherche web préféré, ou a minima, comprendre pourquoi Dare reçoit peu de visites et ce que l’on pourrait faire pour remédier à cela.

Exercer son droit à l’information permet d’une part, de se renseigner, et d’autre part, d’évaluer la légitimité d’un organisme à détenir, gérer et conserver nos données. L’information est le premier pas vers des choix éclairés. Dès que vous en saurez plus, vous pourrez choisir d’agir en exerçant vos autres droits. Par exemple, vous opposer à l’usage de vos données, demander leur effacement ou la modification de certaines.

Vous souhaitez savoir en détail ce qui est fait de vos données sur Dare ? Notre politique de confidentialité est le texte central qui recense toutes les informations à ce sujet. Malgré la rigueur et la précision attendues par l’autorité de contrôle (CNIL) concernant le texte de notre politique, nous avons fait notre possible pour qu’il reste clair et intelligible.

Si vous souhaitez aller plus loin, nous mettons à votre disposition une rubrique pour en savoir plus avec des questions précises et des réponses détaillées qui vous renseigneront sur les points sensibles. 

Si vous aviez des doutes ou d’autres questions, vous pouvez écrire à notre délégué aux données (privacy@syned.co) qui vous répondra dans les plus brefs délais. 

Illustration proposée par CNIL

Texte officiel de la réglementation européenne fourni par la CNIL

• https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13

• https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article14