Catalogue des droits
"OK, super, ça fait deux pages qu'on se mange un préambule interminable, mais quels sont mes droits, bordayle ?" me direz-vous, de manière très cavalière (un peu de tenue, que diantre !), quoique fort à-propos.
Nous allons tenter de les détailler un par un ci-dessous, parce qu'il y en a quand même un joli nombre, et c'est tant mieux.
Bon, OK, peut-être pas tant que ça...
Droit à l'information
Un organisme qui traite vos données personnelles est tenu de vous exposer de façon claire et concise ce qu'il en fait (les finalités du traitement), quelles données sont concernées (à encore plus forte raison s'ils s'agit de données sensibles), pourquoi il le fait (la base légale), combien de temps il les garde (la durée de conservation), qui pourra accéder à ces données (dans le cas où elles seraient transmises à des tiers) et ce que vous pouvez faire pour exercer vos droits (notamment une adresse de contact et un lien vers la CNIL).
C'est pour cette raison que toute visite sur un nouveau site web vous colle un formulaire : il est nécessaire que, en une seule page, un visiteur qui n'est pas un expert de ces sujets puisse comprendre exactement ce à quoi il consent, si il décide de consentir. En clair : pas de charabia ni de tournures ampoulées. Vous l'avez sans doute constaté pour peu que vous ayez essayé une fois ou deux de lire des pages de politique des données personnelles, rares sont les sites réellement en conformité.
Droit d'opposition
Vous avez donné votre consentement pour un traitement facultatif de vos données et vous avez, depuis, changé d'avis ? Aucun problème ! Ces données vous appartiennent et vous pouvez mettre un terme à l'utilisation qui en est faite si elle ne répond pas à une obligation légale, en retirant votre consentement. Pour tout ce qui concerne la prospection, vous pouvez utiliser votre droit d'opposition en indiquant les données et les raisons - sans avoir à fournir de pièces justificatives - pour lesquelles vous vous opposez à leur traitement. Gardez la trace de vos échanges, cela dit, parce que s'ils ne donnent pas suite à votre droit d'opposition sous les 30 jours, vous pouvez saisir la CNIL en arguant d'un refus tacite de faire droit à votre demande.
Droit d'accès
C'était pas très clair jusque là ? Vos données vous appartiennent, même celles que vous avez confiées à des tiers ! Ainsi, à tout moment, vous pouvez demander d'obtenir la communication, dans un format compréhensible, de vos données personnelles collectées (par un site web, ou autre). Ce n'est pas par altruisme ni même par argument marketing que Google vous permet de consulter l'ensemble des données qui vous concernent et dont il dispose, c'est la loi. Lors de cette communication, l'organisme devra vous renseigner sur tous les éléments énumérés plus haut dans la section "droit à l'information". Là aussi, gardez une trace de vos demandes et saisissez la CNIL en cas de manquement.
Droit de rectification
Petit frère du droit d'accès, si vous vous apercevez que les informations collectées à votre endroit s'avèrent inexactes, vous pouvez exiger qu'elles soient rectifiées ou complétées, et que ces modifications soient communiquées aux autres destinataires de ces données. Cela peut concerner un complément d'adresse, une erreur sur votre âge, votre nom... Traces, 30 jours, CNIL, manquements, vous avez compris le truc.
Droit à la portabilité des données
Plus récent, celui-ci me semble moins connu et est pourtant au cœur de différents débats d'actualité, notamment par rapport aux réseaux sociaux qui refuseraient de s'y conformer pour éviter de perdre leurs utilisateurs (oui Marc Z., c'est de toi que j'cause). Il s'agit tout simplement d'un droit à récupérer toutes les données que vous avez pu saisir ou communiquer à une plateforme, dans un format "structuré, couramment utilisé et lisible par une machine", sans avoir besoin d'acquérir une licence payante (formats interopérables de type .csv, .json, .vcf, .xls, etc.).
Et vous pouvez en faire absolument ce qui vous chante voire même, si la chose est techniquement possible, demander à l'organisme de transmettre directement vos données à l'organisme de votre choix. Toutes les données n'étant pas portables, cela concerne tout de même un champ un peu moins large que le droit d'accès. Comme d'hab', en cas de problème, direction CNIL.
Droit à l'oubli (déréférencement et effacement)
Je les rassemble mais il s'agit de deux droits distincts, alors que j'ai scindé le droit d'accès et de rectification (j'suis un plein délire mégalo, woooooo YOLO !). Le premier est limité aux moteurs de recherche : vous pouvez demander la suppression d'un référencement pour une recherche ayant votre prénom et votre nom en mots-clefs. Ça ne s'applique pas si l'information est d'intérêt public et ne supprime pas la page du moteur si elle ressort avec d'autres mots-clefs, ni la mention de votre nom sur la page du site vers lequel le lien pointe. Dans ce dernier cas, il faut utiliser votre droit à l'effacement. Lui, il vous permet de faire supprimer une photo, une publication, une mention vous concernant, ou toute donnée, à condition que l'organisme de traitement ne dispose pas d'un motif légitime, légal ou impérieux pour les conserver. Il semblerait que, si vous conservez des traces de vos demandes, vous ayez la possibilité de saisir la CNIL en cas de manquement mais j'sais plus très bien où j'ai déjà lu ça...
Droit à une intervention humaine
En 2023, ce droit-là est presque surprenant. Pourvu qu'il perdure ! Il s'agit d'un droit de s'opposer, dans la plupart des cas, à ce que des décisions soient prises par un algorithme, grâce à un profilage de vos données, et susceptibles de produire des effets juridiques (banque qui vous refuse un crédit ? orientation sur parcoursup ?), sans intervention humaine. A tout le moins, de vous garantir le droit d'exprimer votre point de vue et contester la décision. Comme il est assez complexe et dispose d'un grand nombre d'exception, je vous invite à en lire davantage sur un site que vous pouvez manquer en cas de saisie de traces.
Pour tous ces droits énumérés, notez que ce n'est jamais une bonne idée d'en abuser volontairement : si vous créez un compte sur un site, demandez sa suppression, en recréez un, redemandez sa suppression et le faites trente fois en deux semaines, non-seulement l'organisme ne sera pas tenu de donner suite mais est également susceptible de se retourner contre vous.