Lancelot de Ferrière le Vayer est CTO chez briq. Il occupait auparavant les postes de Data Scientist et DPO (Data Protection Officer) chez JobTeaser où, ayant exploré plusieurs facettes de la Data, il s’est spécialisé dans la protection des données. Il vous explique dans ce cours quels sont les 6 droits fondamentaux du RGPD.
Le droit d’accès
Il signifie que vous avez le droit de savoir ce que fait une entreprise ou une institution publique de vos données. Cela inclut quelles données sont utilisées, mais aussi à qui elles sont partagées, notamment si elles sont envoyées en dehors de l’Union Européenne.
Le droit de rectification
Un utilisateur a le droit de demander à corriger les données qu’une entreprise ou une institution publique traite à propos de vous. Par exemple, si votre nom de famille est mal orthographié car il contient des caractères qui n’existent pas dans l’alphabet français, vous avez le droit de demander à ce qu’il soit rectifié.
Le droit à l’effacement, le droit à l’oubli
Cela signifie que vous avez le droit de demander à effacer vos données. Évidemment, cela a un impact, si vous demandez à Facebook de supprimer vos données, vous n’aurez plus de compte Facebook.
Le droit à la limitation du traitement
Dans le cas où vous contestez l’exactitude de vos données, ou que vous demandez à les supprimer, le RGPD autorise l’entreprise ou l’institution publique à conserver un certain temps pour les examiner. Le droit à la limitation du traitement vous permet de demander à geler l’utilisation de vos données pendant ce laps de temps.
Le droit d’opposition
Cela vous permet tout simplement de vous opposer à ce que vos données soient utilisées pour un objectif précis.
Le droit à la portabilité des données
C’est un droit un peu particulier et intéressant. On a le droit de demander à ce que nos données nous soient envoyées dans un format dit “compréhensible par une machine”. Concrètement, cela signifie que l’on a la possibilité de demander à Facebook de nous envoyer nos données dans un format que l’on peut télécharger et réintégrer sur un autre réseau social par exemple. Ce réseau sera en mesure de comprendre pour retrouver nos amis etc. C’est pratique dans l’idée, mais ça ne fonctionne pas très bien en réalité.
Un exemple concret : l’achat d’un billet d’avion en ligne
Lorsqu’un utilisateur commande un billet d’avion en ligne et se trompe dans la commande en mettant par exemple “Monsieur” au lieu de “Madame”, le droit de rectification lui donne la possibilité de demander à la plateforme de corriger cette donnée erronée.
Bien après avoir commandé le billet, admettons un an plus tard, si l’on souhaite avoir l’historique des billets commandés on peut demander à récupérer toutes les données que la compagnie aérienne a sur nous. C’est le droit à l’accessibilité.
Le droit à l’effacement, lui, permet à l’utilisateur de demander à la compagnie aérienne de supprimer toutes les données le concernant lui, d’être entièrement effacé des systèmes d’information de l’entreprise. Cependant, la compagnie aérienne aura tout à fait le droit de garder la trace que quelqu’un a commandé un billet d’avion, il sera simplement impossible d’avoir des informations qui permettent d’identifier l’utilisateur en question.
Qu’est-ce qu’une donnée considérée comme “personnelle” ?
Les données telles que la langue parlée, la région de résidence, le métier exercé, l’année de naissance peuvent à première vue ne pas être considérées comme des données personnelles. Cependant, si on les recoupe et qu’on les tape dans Google, on peut par exemple trouver le profil Linkedin de la personne. Le RGPD a pensé à ce genre de situation, en considérant que si on a des informations considérées non personnelles, mais qu’en les recoupant on peut tout de même identifier la personne, c’est alors considéré comme des données personnelles.
Comment cela se passe concrètement lorsqu’on est une entreprise ?
Il est vrai que le RGPD est assez strict et cela peut être compliqué de se mettre en conformité à première vue.
La première chose à savoir est que le droit d’accès demande la mise en place préalable d’une infrastructure qui permet d’extraire les données concernant un utilisateur et de les lui envoyer. Si l’on doit gérer beaucoup de demandes, cela va devenir impossible de le faire à la main. Il faut y penser dès la conception du produit, en mettant par exemple en place une page permettant à l’utilisateur d’extraire directement ses données (comme c’est le cas sur Google ou Facebook par exemple).
C’est la même chose pour le droit à l’oubli, on doit être en mesure de supprimer toutes les données d’un utilisateur. Ce n’est pas toujours une évidence aujourd’hui de supprimer des données, car les structures Cloud permettent de faire des sauvegardes automatiques qui rendent compliquée la suppression d’informations.
Le droit à la rectification, c’est de penser en amont à toutes les possibilités lorsqu’on conçoit son modèle de données : la gestion des accents et caractères spéciaux, les noms très longs ou en plusieurs mots… Ce sont des choses à prendre en compte dès le départ dans le cahier des charges.
Pour aller plus loin ?
Lancelot vous invite à exercer vos droits et constater la quantité considérable de données que les entreprises récoltent sur vous. Cela vous permettra de comprendre comment elle est traitée et que vous pouvez vous aussi contribuer à un meilleur respect du RGPD.