Navigation
Retour à Éthique

Des données personnelles mieux protégées

Le nombre d'informations collectées par les entreprises sur leurs clients peut être impressionnant : où nous habitons, quel est notre restaurant favori et quelles sont nos préférences politiques… Depuis ce 25 mai, une nouvelle réglementation européenne sur la vie privée : le Règlement général sur la protection des données (GDPR) essaie de fixer des limites. Mais qu’entend-on précisément par-là ?


Qu'est-ce que le GDPR ?

L’abréviation GDPR signifie General Data Protection Regulation, ou en français "Règlement général sur la protection des données". Cette réglementation européenne vise essentiellement à mieux protéger les citoyens face à des structures, comme Facebook et Google. Mais les règles s’appliquent aussi aux hôpitaux, clubs de sport, supermarchés, centres de soins résidentiels, etc. Cette réglementation entend nous rendre le contrôle de nos données personnelles. Les entreprises ne peuvent collecter des données que si celles-ci sont nécessaires pour leur prestation de services et elles doivent vous préciser dans quel but elles le font. À l’avenir, vous saurez qui possède quelles données à votre sujet et à quelles fins.

Des droits renforcés

Depuis 1992, la Belgique possède une législation assez sévère en matière de vie privée. Une grande partie du GDPR figurait en fait déjà dans la législation actuelle. Mais le GDPR étend une série de ces droits.

• Clarté de l'information

La politique relative à la vie privée n'apparait pas toujours de manière évidente sur le site web d'une organisation. Et, parfois, le texte peut sembler complexe. Depuis le 25 mai, les entreprises sont obligées d’expliquer dans un langage clair et compréhensible pourquoi elles demandent certaines données et comment elles les utilisent. De plus, avant le traitement de certaines données, le consentement "explicite" et "non équivoque" du particulier doit être demandé, sauf si, par exemple, l’entreprise traite ces données sur la base d’un contrat ou d’une obligation légale, comme dans le cas des Mutualités, par exemple. Un message indiquant que vous donnez automatiquement votre consentement si vous consultez un site web, ou une case pré-cochée, ne suffisent plus. Vous possédez un compte Facebook ? Dans ce cas, Facebook vous a récemment demandé votre consentement pour la reconnaissance faciale, en vous expliquant pourquoi. Il l’a fait en raison de cette nouvelle loi GDPR. Sachez que vous pouvez aussi à tout moment retirer ce consentement.

Par ailleurs, en cas de fuite de données, l’entreprise doit vous avertir des éventuelles conséquences négatives à votre encontre. Si elle ne le fait pas, elle risque une sanction.

• Objection

Vous pouvez à tout moment formuler une objection au traitement de vos données personnelles. Pour cela, vous devez contacter l’organisation en question. Si elle ne répond pas ou si sa réponse est insuffisante, vous pouvez vous tourner vers l’Autorité de protection des données, anciennement Commission vie privée (1). Cette objection sera toutefois irrecevable si le traitement concerné se base sur une loi. Dès que vous formulez une objection, l’organisation doit suspendre le traitement de vos données, sauf si elle peut démontrer que des motifs fondés et urgents priment sur vos intérêts.

• Droit de consultation

Chez Google, vous pouvez retrouver vos données personnelles sur le site même (myaccount.google.com). Toutes les entreprises ne doivent pas aller aussi loin. Mais si vous demandez à consulter vos données, toute entreprise doit pouvoir vous dire ce qu’elle sait à votre sujet.

• Droits opposables

Dès que vous soupçonnez un abus de vos données, vous pouvez aussi contacter l’Autorité de protection des données. Elle contrôle si les entreprises respectent le GDPR. Si ce n'est pas le cas, les amendes peuvent atteindre 4 % du chiffre d’affaires annuel, à concurrence de 20 millions d'euros.

Des droits nouveaux

• Suppression des données

Si vous demandez à une organisation d’effacer certaines données personnelles, elle est tenue de le faire. À moins que le traitement de ces données ne repose par exemple sur une obligation légale, qu’il soit d’intérêt général ou nécessaire à des fins d’études scientifiques. Vous pouvez aussi toujours faire corriger des données personnelles erronées. Une fois la demande formulée, l’entreprise ne peut plus utiliser ces données tant qu’elles ne sont pas corrigées.

• Transfert de données

Un nouveau droit qui apparaît est le "droit de transférer des données". Supposez que vous vouliez passer d’une messagerie gratuite à une autre, vous devriez pouvoir transférer tous vos mails sans difficulté. Il existe déjà quelque chose de comparable au niveau des fournisseurs télécoms. Vous conservez votre numéro de GSM, si vous changez de fournisseur. Ce droit vaut pour les données personnelles qui sont traitées après que vous avez conclu un contrat ou donné votre consentement.

• Intervention humaine

Certaines organisations prennent des décisions sur la base de données traitées automatiquement. Songez au traitement automatisé des candidatures en ligne ou des demandes de crédit. Le GDPR vous accorde un droit de consultation par un être humain. Vous pouvez donc demander à un collaborateur de l’organisation de vérifier personnellement votre dossier.


Et la Mutualité chrétienne ?

Pour la MC, cette réglementation n’est pas une nouveauté. Elle traite des données personnelles sensibles – relative notamment à vos soins de santé – sur une base légale. Les collaborateurs MC ont l’habitude depuis longtemps de garantir et de protéger la vie privée des membres. Pour renforcer cette préoccupation, la MC a engagé un Data Protection Officer, chargé de ces questions de vie privée. Dans la nouvelle politique relative à la vie privée, vous pouvez lire comment la MC garantit votre sécurité, compte tenu des nouvelles règles en vigueur via le lien suivant : www.mc.be/disclaimer.