4 lettres qui vont changer votre vie (privée)

Qu'est-ce qu'une donnée à caractère personnel? "Toute information se rapportant à une personne physique susceptible d’être identifiée, directement ou indirectement." C’est donc une notion très large qui peut recouvrir un identifiant, un nom, une photo, une plaque d’immatriculation, une adresse postale, une adresse électronique, un numéro de téléphone, des données de localisation, etc. Les pays européens avaient déjà des législations de protection des données à caractère personnel, uniformisées par une directive de 1995. Mais ces textes ne tenaient pas compte de l’évolution technologique, de l’essor des réseaux sociaux, des moteurs de recherche, des applications mobiles… Bref, il fallait actualiser et uniformiser la protection des données des particuliers: le RGPD, pour Règlement général sur la protection des données.

1. Ma banque

Votre banque en sait long, très long sur vous. Elle utilise notamment vos données pour vous suggérer/vendre des produits censés vous convenir.

S’il y a une entreprise qui en sait long sur vous, c’est votre banque. Les données qu’elle brasse à votre propos sont à la fois très nombreuses et très variées. Mieux vaudrait se demander ce qu’une banque ne sait pas de vous, ce serait plus simple.

Bien sûr, une banque sait qui vous êtes, très précisément: données de contact et d’identification et jusqu’aux données biométriques (empreintes digitales, voix, visage) si vous vous connectez grâce à elles sur votre smartphone. Elle connaît votre niveau d’études, votre situation familiale, fiscale, professionnelle. Elle connaît vos revenus, la valeur de vos avoirs, votre niveau d’endettement, votre historique de crédits, vos habitudes de consommation (en tout cas, celles qui sont payées par carte ou en ligne), votre profil d’investisseur.

Elle en sait beaucoup aussi sur votre santé et votre hygiène de vie (si vous avez souscrit une assurance solde restant dû pour votre crédit habitation par exemple). Elle sait même où vous êtes (avec la géolocalisation du smartphone). Et rien ne l’empêche aussi de jeter un œil (voire deux) à ce que vous publiez sur les réseaux sociaux, ce qui en dira plus sur vos relations, votre CV, vos centres d’intérêt, vos sorties, vos vacances…

Résumons-nous: votre banque en sait sans doute plus sur vous que n’importe quelle autre entreprise. Elle utilise ces données pour faire son job (évaluer la possibilité et le risque de vous octroyer un crédit par exemple), pour respecter ses obligations légales (lutter contre le blanchiment, répondre à une demande judiciaire, etc.) mais aussi, et de plus en plus, pour du direct marketing. C’est-à-dire pour vous suggérer/vendre tel produit censé vous convenir car il cadre avec votre mode de vie, avec vos moyens.

Tout cela est balisé. Par exemple, une banque ne peut pas vendre les données qu’elle détient à un tiers sans votre autorisation. En Belgique, à notre connaissance, aucune banque ne va jusque-là à ce stade. Par contre, votre banque partagera vos données avec des filiales ou des prestataires travaillant pour elle. Elle ne peut pas non plus vous faire une offre par e-mail ou SMS si vous ne l’y avez pas autorisée.

L’arrivée du RGPD ajoute une couche d’obligations pour la banque, et a imposé de revoir toute une série de processus pour systématiser la composante "vie privée" dans ses opérations. Et pour vous, le client, vos droits sont revus à la hausse. Vous pourrez consulter plus facilement vos données, les rectifier voire les supprimer (à certaines conditions), vous opposer à un traitement marketing ou encore – et c’est neuf – les transférer vers une autre banque, comme c’est déjà le cas lorsque vous changez d’opérateur télécoms. 

2. Réseaux sociaux

Photos de vacances, adresse, lieu de travail et conversations privées… Les Gafa observent et enregistrent vos actions. Mais que peuvent-ils faire de ces données?

"Le RGPD a été pensé pour les réseaux, ces vilains américains et autres Gafa qui font n’importe quoi avec nos données", selon Etienne Wery. Cet avocat spécialiste des nouvelles technologies explique que les utilisateurs acceptent le contrat avec ces géants du web sans en lire une ligne, "et ça leur donne beaucoup de libertés". Les conditions d’utilisations autorisent Facebook, Twitter ou Instagram à stocker puis à "réexploiter commercialement" les informations privées. Conversations, photos… tout est conservé Chaque like, recherche effectuée et page consultée est observé à la loupe.

Photos, centres d’intérêt, commentaires et discussions entre amis alimentent des bases de données. Une mine d’or pour les réseaux, qui dressent, selon Etienne Wery, "un profil socio-économique" personnalisé de chaque utilisateur, pour lui proposer des publicités. Et ce n’est qu’un début. Facebook s’intéresse aussi aux visages en développant la reconnaissance faciale. Mais le réseau ne cible pas que ses membres. À travers son programme invisible Pixel, la multinationale cible les non-inscrits en s’installant sur une multitude de sites web. Ces sociétés tentaculaires conservent indéfiniment l’historique de navigation, les rendez-vous, e-mails et trajets.

Après seulement quelques mois à naviguer sur Google ou à échanger via Facebook, les informations récoltées se comptent en millions. L’économie de la data, un marché sans fin Ces bases de données observent aussi les orientations sexuelles, morales et politiques. Des informations qui peuvent être utilisées par des tiers, soucieux d’influencer vos comportements. "C’est comme ça qu’ils vivent", explique Etienne Wery. Un marché de la data qui rapporte, rien qu’à Facebook, 40 milliards de dollars annuels. Mais la firme a récemment été accusée d’avoir laissé un organe de propagande politique prendre le contrôle de ses données. Le scandale de détournement des informations de millions de ses utilisateurs par Cambridge Analytica a ouvert le bal des doutes sur la mainmise des géants du web sur nos données, à l’approche de l’entrée en vigueur du RGPD.

3. Ma commune

On y pense moins alors que paradoxalement, elles font partie intégrante de notre paysage quotidien. Pourtant, les collectivités locales possèdent une mine de données personnelles sur leurs citoyens.

Bien entendu, les administrations locales possèdent toutes les informations qui ont trait à leur mission de base: état civil, changement d’adresse, enrôlement des taxes… mais également d’autres données concernant la gestion des services publics dont elle a la charge, par exemple. Elles se doivent d’inscrire les données de l’état civil au registre national. En revanche, cela ne signifie pas que les mairies ont un accès total et illimité à ce fichier. Christine Pelfrene, directrice des Affaires citoyennes à la Ville de Bruxelles, explique que la législation européenne s’inscrit dans la lignée de ce que font déjà les communes belges. "Il y a déjà beaucoup de règles au niveau du registre national. On ne peut consulter que les données dont on a réellement besoin."

Si certaines données doivent être protégées et n’être pas rendues accessibles à chacun, il est parfois indispensable pour les collectivités locales de solliciter certaines informations. Si la mairie estime qu’une donnée s’avère essentielle, elle doit motiver sa demande auprès du Comité sectoriel du Registre national, chapeauté par la Commission de la Vie Privée. L’instance détermine si la requête est recevable et justifiée, après examen approfondi de la demande. La Commission de la Vie privée remet son avis afin de déterminer quel type d’information peut être transféré à la commune. Ce qui implique que les mairies "peuvent traiter des données dites sensibles qui nécessitent des garanties supplémentaires", précise Joëlle Jouret, experte RGPD. Elle souligne par ailleurs que concernant les communes, une "analyse au cas par cas" est de mise. "On peut facilement supposer que les communes auront comme base soit une loi, soit une mission d’intérêt public. Notez que le consentement n’est donc pas la seule base de légitimité."

L’avocat Etienne Wery va dans le même sens. "Les communes peuvent traiter toutes les données nécessaires et pertinentes (…) La logique du règlement est la finalité", affirme-t-il. Pour récolter une donnée, la mairie doit motiver sa décision en toute transparence et exposer publiquement et légalement le cadre précis dans lequel celle-ci sera utilisée. "Les communes doivent traiter l’inventaire des traitements qu’elles mènent, adopter un règlement, une norme communale en expliquant quelle(s) finalité(s) elle poursuit et s’assurer qu’il n’y ait pas de détournement de cette finalité." À titre d’exemple, une commune souhaitant mettre en place un programme de distribution de repas pour les personnes âgées, pourrait légitimement solliciter les données sanitaires (allergies, aliments interdits…) ou religieuses (restrictions alimentaires) de ses habitants pour mener à bien sa mission d’intérêt public, le tout dans un cadre légal.

4. Mon employeur

Entre davantage de latitude et de responsabilités pour les sociétés, l’employeur doit composer avec les spécificités de sa structure pour adapter son fonctionnement à la législation RGPD.

Il s’avère complexe de déterminer quelles données peut utiliser une entreprise ou pas. "Tout dépend de l’entreprise, assure l’avocat Etienne Wery. Il faut oublier le prêt-à-porter. On est dans une logique de sur-mesure." La législation n’inclut pas des mesures à appliquer uniformément à l’ensemble des entreprises mais privilégie le cas par cas. "Il s’agit de savoir ce que cette entreprise-là peut avoir comme données." Les spécificités propres à un secteur d’activité peuvent requérir des données qui seraient inutiles dans un autre domaine. L’avocat va même plus loin en expliquant que cette adaptation au cas par cas peut parfois différer entre les services d’une même société.

Constat similaire chez Jean-Luc Vannieuwenhuyse, conseiller juridique au Centre de connaissances chez SD Worx. "L’approche peut-être différente d’une entreprise à l’autre." Ainsi, certaines données peuvent être exploitées à partir du moment où elles relèvent de procédures collectives définies au sein de la structure via, par exemple, un règlement de travail. À titre d’exemple, une entreprise X pourrait solliciter la collecte de données sanitaires, catégorisées comme "sensibles", si elle mène des activités où le contact avec des substances est susceptible d’impacter la santé de ses employés. Cependant, le code de conduite de l’employeur doit être régi selon "le principe de minimisation des données, souligne Joëlle Jouret, experte RGPD. Les données collectées doivent être limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Donc l’employeur ne peut collecter que ce dont il a vraiment besoin comme données pour exécuter le contrat de travail". En termes de durée de conservation des données du personnel, le RGPD n’indique pas explicitement un délai, souligne le prestataire RH SD Worx.

La législation n’autorise cependant pas un employeur à conserver ces données plus longtemps que le strict nécessaire. Des délais minimaux sont définis pour une série de documents fiscaux et sociaux mais pour les autres documents, ils sont laissés à la discrétion de l’employeur. Ce qui ne le dispense pas d’un contrôle puisqu’il doit justifier ce délai auprès de l’autorité de protection des données. Le terme "accountability", élément central du RGPD, reflète bien cette exigence. Les employeurs bénéficient d’une certaine liberté dans la mise en place de la protection des données mais devront assumer l’entière responsabilité de leurs choix. Par ailleurs, "le RGPD laisse, en son article 88, une ouverture aux Etats membres pour spécifier les règles de protection des données dans le contexte de l’emploi. À voir si les Etats-membres vont saisir cette opportunité", tient à préciser Joëlle Jouret.