(oui, c'est important)

Vous êtes ici

On reconnait bien volontiers que la journée mondiale de protection des données (le 28 janvier) passe quelque peu inaperçue. C'est un sujet qui prend toutefois de l'ampleur depuis ces dernières années : mise en place du RGPD, accusations contre Facebook notamment, amendes records contre les géants Américain du web... Les utilisateurs se préoccupent de plus en plus de la diffusion et de l'utilisation de leurs données, mais.. c'est un sujet encore très nébuleux ! En tant qu'experts du web, c'est une thématique qui nous tient à coeur, alors c'est l'occasion de faire le point ensemble.

C'est quoi une donnée personnelle au juste ?

On parle de donnée à caractère personnel (souvent "abrégée" en donnée personnelle) tout type d'information se rapportant à l'identification d'un individu. Ce sont des informations que les internautes donnent sur eux-mêmes, comme par exemple leur nom, âge, adresse, géolocalisation, adresse email, numéro de téléphone, photos, centres d'intérêt... Cela ne signifie pas que l'utilisation de données peut permettre l'identification immédiate d'un individu au sein d'un groupe, mais que la multiplication des données que l'on sème un peu partout permet une très (très) forte segmentation.

Voilà un bon résumé en vidéo :

Si ces informations sont généralement renseignées de façon totalement volontaire, lorsque l'on poste sur les réseaux sociaux, que l'on utilise une application pour trouver son itinéraire, ou tout simplement lorsque l'on passe une commande en ligne, ce n'est pas pour autant que les enjeux de leur utilisation et de leur stockage sont clairs. C'est d'ailleurs là que se trouve le noeud du problème aujourd'hui. 

Petite parenthèse : il existe d'autres données personnelles dites sensibles, qui sont toutes les informations se rapportant à l'identité physique, économique, culturelle, ethnique, religieuse, politique, sociale... d'un individu. Ces informations font l'objet d'une interdiction de traitementà moins d'être rendues complètement anonymes et ce, de façon irréversible. Pour savoir si vous collectez des données sensibles, il faut vous poser la question suivante : le fait de recueillir telle information sur un individu pourrait-il lui être préjudiciable (discrimination, préjugés...) ? Exemple : savoir qu'un individu est majeur ne conduit pas à des discriminations, mais savoir qu'il est de telle ou telle obédience religieuse pourrait être discriminant.

Pourquoi vos données personnelles sont-elles précieuses ?

A elle seule, une donnée personnelle ne vaut rien. Mais rassemblées, et à l'échelle de plusieurs millions d'internautes, elles valent de l'or. C'est ce qu'on appelle le Big Data, et c'est ce qui intéresse les géants du numérique.

De fait, nous laissons quotidiennement - et depuis de nombreuses années - des traces diverses suite à notre utilisation d'applications, services en ligne, réseaux sociaux... Les entreprises qui récoltent ces données peuvent alors pousser à l'extrême la segmentation, et revendre ces informations à des fins de publicité ultra-ciblée, augmentant ainsi les chances de vente. L'utilisation de ces données peut également impacter la vie quotidienne, comme on l'a vu à travers le scandale de Cambridge Analytica, qui a éclaté en 2018 (les données ont servi à influencer les votes en faveurs de partis politiques aux Etats-Unis). Cela est rendu possible par l'utilisation combinée des données que nous renseignons volontairement (géolocalisation, pages & posts likés sur les réseaux sociaux...), et l'usage des cookies (sites que nous visitons, panier marchand...).

Plus que jamais, l'adage "Si c'est gratuit, c'est que vous êtes le produit" est vrai !

Protection des données personnelles

En tant qu'internaute, comment protéger mes données ?

Est-ce pour autant qu'il faut se couper d'internet ? A première vue, cela semble impossible, dans un monde complètement internétisé. Pour travailler, pour organiser ses vacances, pour rester en contact avec ses proches, pour utiliser les services publics... ça se passe (presque) tout sur internet. Néanmoins, voilà quelques pistes faciles à mettre en place pour protéger au mieux vos données :

  • ne partagez vos informations que si elles sont vraiment nécessaires. Exemple : avez-vous besoin de préciser la géolocalisation lorsque vous publiez une photo sur votre réseau social préféré ? Gardez à l'esprit que toutes vos actions (post, like, partage...) sont gardées en mémoire (pour segmentation & recoupage des données), et que vos contenus appartiennent à la plateforme sur laquelles vous postez.
  • désactivez la géolocalisation automatique sur smartphone, et limitez autant que possible l'accès des applications à vos données et fonctionnalités
  • n'acceptez pas forcément les cookies lorsque vous naviguez sur internet (la nouvelle règlementation de la CNIL impose aux éditeurs de laisser la possibilité aux internautes de pouvoir accepter, personnaliser ou refuser l'utilisation des cookies)
  • changez de navigateur web, en utilisant par exemple Firefox ou Tor Browser, qui proposent différents niveaux de blocage
  • utilisez un moteur de recherche qui ne conserve pas les données, comme Qwant (cocorico, c'est une solution française !) ou DuckDuckGo
  • évitez d'enregistrer vos mots de passe directement dans votre navigateur : des gestionnaires sécurisés existent. Et tant qu'on y est, choisissez un mot de passe "fort" (lettres, chiffres, majuscules, caractères spéciaux...).
  • préférez l'usage de messageries instantanées chiffrées (type Signal, Telegram)
  • exercez votre droit de retrait auprès de certains sites si vous l'estimez nécessaire : il s'agit de contacter les responsables (à trouver dans les mentions légales) pour leur demander de supprimer toutes les données vous concernant.

Vous pouvez également jeter un oeil aux données collectées vous concernent :

  • le site Have I Been Pwned vous permet de voir si votre e-mail ou votre téléphone ont fuités - et donc de prendre des mesures (changement de mot de passe...)
  • Google vous permet d'exporter toutes les données qu'il possède à votre sujet - certes ça ne supprime pas les données, mais ça peut vous donner une idée de l'ampleur de ce qui est récolté

Comment protéger mes données personnelles

En tant qu'entreprise ou collectivité, comment être en règle ?

CNIL, RGPD, DPO... voilà des acronymes dont vous avez certainement entendu parler. Depuis mai 2018, la CNIL (Commission Nationale Informatique et Liberté) est garante du respect du RGPD (Règlement Général de Protection des Données). Cette nouvelle législation impose aux entreprises et aux collectivités de mettre en place certaines mesures pour encadrer les dérives liées à l'utilisation des données personnelles de ses utilisateurs.

Vous avez bien sûr le droit de collecter des données personnelles, dans un cadre strict :

  • les internautes doivent être informés des données qui sont collectées à leur sujet
  • les finalités de la collectes doivent être précisées (comprendre : vous ne pouvez pas stocker des données "au cas où" vous pourriez peut-être vous en servir plus tard)
  • les données récoltées ne peuvent être traitées que dans le but pour lequel elles ont été récoltées
  • les données ne doivent pas être conservées plus longtemps que nécessaire - et vous devez informer vos utilisateurs de la durée de conservation

En bref, il s'agit simplement d'agir en toute transparence envers les internautes. Par ailleurs, cela peut renforcer la confiance que vos clients / usagers auront pour vous !

Vous avez également une obligation de sécurisation des données (attaques, fuites...), et vous devez permettre à toute personne qui en fait la demande d'avoir accès aux données que vous avez collectées, de les rectifier ou de les supprimer. Pour cela, il vous faudra avoir désigné un DPO (délégué à la protection des données). Généralement, on trouve son contact dans les mentions légales.

N'oubliez pas que les cookies sont également des données personnelles : les mêmes règles s'appliquent. Les internautes doivent non seulement pouvoir les refuser dès le début de leur navigation, mais aussi savoir à quoi serviront les données récoltées par les cookies, combien de temps elles seront conservées...

Après un temps d'adaptation, sachez que vous pouvez désormais être sanctionné en cas de non respect du RGPD, notamment avec des amendes administratives (2 à 4% de votre chiffre d'affaire)...

Quoi qu'il en soit, n'hésitez pas à vous rapprocher de votre chef de projet pour faire le point sur la règlementation et la conformité de votre site web. On est là (aussi !) pour ça.

Pour aller plus loin

Nous vous invitons à consulter ces ressources :

 

Ajouter un commentaire