Le droit d’être informé sur l’utilisation de vos données

24 mai 2018

Un organisme qui collecte des informations sur vous doit vous fournir une information claire sur l’utilisation de vos données et sur l’exercice de vos droits.

Qu'est-ce que le droit à l'information ?

À quoi ça sert ?

Une bonne information permet de savoir comment vos données vont être traitées, comment exercer vos droits et donc décider si vous confiez ou non vos données à un organisme. C’est le premier baromètre pour déterminer le degré de confiance à accorder à un organisme.

Le règlement européen sur la protection des données a donc prévu d’améliorer l’information des personnes et de faciliter l’exercice de leurs droits.

Pour faciliter cet accès à l’information, les organismes publics et privés qui mettent vos données au cœur de leur activité (ex. réseau social, hôpital, mairie…) disposent d’un délégué à la protection des données (DPO), un interlocuteur privilégié à contacter pour l’exercice de vos droits ou la remontée de dysfonctionnements.

Comment se caractérise ce droit l’information ?

  1. Vous avez facilement accès à l’information     

L’information doit être concise et lisible et facilement accessible. Elle doit être rédigée de la manière la plus claire, précise et simple possible ! Concrètement, un utilisateur n’a pas besoin d’être un expert pour prendre connaissance de la charte de confidentialité d’un réseau social ou d’une banque. De la même manière, si un organisme cible des enfants ou des personnes vulnérables, celui-ci devra proposer une information adaptée.

Avant de collecter vos données, un organisme doit donc faire preuve de transparence et vous permettre de savoir :

  • Pourquoi l’organisme collecte vos données ?
  • Comment il sera amené à les utiliser ?
  • Comment maîtriser vos données et exercer vos droits.
  1. Une lecture suffit pour avoir un bon aperçu de l’utilisation qui sera faite de vos données

L'organisme doit vous proposer une notice d’information sur la protection de de vos données. Cette page doit être accessible depuis la page d’accueil du site de l’organisme sous un intitulé clair (« politique de confidentialité », « page vie privée », ou « données personnelles »). Celle-ci doit notamment vous informer sur :

  • les coordonnées du délégué à la protection des données de l’organisme, ou d’un point de contact sur les questions liées à la protection des données personnelles ;
  • l’utilisation qui sera faite de vos données ;
  • ce qui autorise l’organisme à traiter ces données ;
  • les tiers qui auront accès aux données ;
  • la durée de conservation de vos données ;
  • les modalités d’accès à vos droits et la possibilité d’introduire une réclamation à la CNIL ;
  • l’utilisation de vos données hors de l’UE
  • la base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;

Selon le cas :

  • l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée.
  • le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (exemple : prévention de la fraude) ;
  • le droit au retrait du consentement à tout moment ;
  • la faculté d’accéder aux documents autorisant le transfert de données hors de l’Union européenne (exemples : clauses contractuelles types de la Commission européenne) ;

Et en cas de collecte indirecte effectuée par un partenaire commercial :

  • les catégories de données recueillies ;
  • la source des données en indiquant notamment si cette source est accessible au public.
  1. Vous devez rester bien informé à tout moment, surtout si la sécurité de vos données est compromise

Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou illicite, une violation de données à caractère personnelles, c’est à dire la destruction, la perte, l'altération ou la divulgation non autorisée de données vous concernant.

 Quelques exemples :

  • Vos données ont été accidentellement supprimées ;
  • Vos données ont été perdues (perte d’une clef USB non sécurisée) ;
  • Une personne malveillante a réussi à accéder à la base de données d‘un l’organisme pour récupérer vos données et celles d’autres utilisateurs ;
  • Vos données sont temporairement inaccessibles, ce qui vous porte préjudice.

L’organisme doit signaler une violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour vos droits et libertés. Si ces risques sont élevés, l’organisme doit également vous en informer le plus rapidement possible et vous adresser des conseils pour protéger vos données (ex. modification du mot de passe, paramétrage vie privée…).