Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur en mai 2018 dans toute l'Union européenne, vous accorde des droits concrets sur les données personnelles que les entreprises et administrations collectent à votre sujet. Vous pouvez accéder aux données détenues sur vous, les corriger si elles sont inexactes, les supprimer (droit à l'oubli), vous opposer à leur traitement pour des raisons légitimes, ou encore les transférer vers un autre prestataire sous format numérique (portabilité). Ces droits s'exercent gratuitement, et l'organisme concerné doit répondre dans un délai d'un mois, prorogeable d'un mois supplémentaire pour les demandes complexes.
Bases légales et consentement
Toute collecte de données personnelles repose nécessairement sur l'une des bases légales définies par le RGPD : votre consentement explicite, l'exécution d'un contrat qui vous lie à l'organisme, une obligation légale, la sauvegarde d'intérêts vitaux, une mission d'intérêt public, ou un intérêt légitime de l'organisme. Les bandeaux cookies que vous voyez sur les sites web doivent vous proposer un choix réel : refuser doit être aussi simple qu'accepter. Un bouton Tout accepter sans équivalent Tout refuser au même niveau est contraire au RGPD. La CNIL a condamné plusieurs grands groupes pour cette pratique.
Comment exercer vos droits
Pour exercer vos droits RGPD, identifiez d'abord le délégué à la protection des données (DPO) de l'organisme, dont les coordonnées doivent figurer dans la politique de confidentialité du site. Adressez votre demande par courrier recommandé avec copie d'une pièce d'identité. En l'absence de réponse satisfaisante dans le délai d'un mois, vous pouvez saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) via son formulaire en ligne. La CNIL peut prononcer des sanctions allant jusqu'à 4 % du chiffre d'affaires mondial annuel de l'entreprise, avec un minimum de 20 millions d'euros pour les infractions les plus graves. En 2023, elle a sanctionné plusieurs entreprises françaises pour non-respect des règles sur les cookies.
Données sensibles et protection renforcée
Certaines catégories de données bénéficient d'une protection renforcée : données de santé, opinions politiques, convictions religieuses, origine ethnique, orientation sexuelle, données génétiques ou biométriques. Leur traitement est en principe interdit sauf exceptions strictement encadrées (consentement explicite et spécifique, nécessité médicale diagnostique ou thérapeutique, intérêt public en matière de santé publique). Si vous pensez être victime d'une violation de données (piratage, fuite), l'organisme concerné doit vous en informer sans délai lorsque la violation présente un risque élevé pour vos droits et libertés. Ce signalement doit également parvenir à la CNIL dans les 72 heures suivant la découverte de l'incident.
Vos droits face aux réseaux sociaux
Les réseaux sociaux collectent massivement vos données : historique de navigation, géolocalisation, contenus likés ou commentés, données issues de tiers. Vous pouvez demander l'accès à l'intégralité de ces données via les paramètres de confidentialité de chaque plateforme. Vous pouvez également demander la suppression de votre compte et de toutes les données associées. La portabilité vous permet d'exporter vos données (photos, contacts, historique) pour les transférer vers un autre service. Ces droits s'appliquent à toutes les plateformes opérant en Europe, quelle que soit leur nationalité.
