Entrée de la CNIL
DIY, Militantisme, Sécurité

RGPD : Comment saisir la CNIL

  • Vous avez reçu des publicités non désirées à votre adresse personnelle et ne comprenez pas comment ils ont eu cette dernière ?
  • Votre assurance a conservé des informations sur vous d’il y a 15 ans ou plus ?
  • Vous vous apercevez qu’une application a récupéré vos données de géolocalisation et les a transmis à un broker qui vend vos déplacements au plus offrant ?

Il est temps de demander à faire respecter la réglementation. Le RGPD -Règlement Général sur la Protection des Données- comme la loi Informatique et Libertés -qui a créé la CNIL en 1978- avant, ont pour mission de protéger l’usage qui est fait de nos données personnelles. Ces dernières sont extrêmement critiques. Elles peuvent être utilisées pour créer une représentation numérique de nous : nos habitudes, nos goûts, nos souhaits, nos performances, et être ensuite utilisées contre nous : pour nous classer, décider à l’aide d’algorithmes ce qu’on peut ou ne pas faire, s’il faut ou pas nous embaucher, voire même comment nous influencer pour que nous mettions le bon bulletin dans l’urne.

L’outil principal du RGPD, c’est l’obligation d’avoir une base juridique licite comprise dans la liste suivante :

  • Consentement de l’utilisateur (un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque)
  • Contrat (par exemple : votre banque va traiter vos données personnelles -nom, liste des activités financières- car c’est ce que vous lui avez demandé lorsque vous avez signé son contrat)
  • Obligation légale (par exemple, votre fournisseur d’accès internet conserve, par obligation légale, une liste de vos données de connexion pendant 1 an)
  • Sauvegarde des intérêts vitaux (si vous risquez de mourir, les urgences peuvent traiter vos données personnelles pour vous soigner)
  • Exercice d’une mission d’intérêt publique (les impôts)
  • L’intérêt légitime du responsable du traitement (oui, c’est flou)

Faire respecter la législation n’est donc pas une question d’ordre basiquement économique (qu’on pourrait limiter à éviter que quelqu’un se fasse de l’argent sur notre dos), mais aussi démocratique, social, sociologique. Laisser un organisme utiliser des données personnelles sans contrôle peut mener à des scandales tels que Cambridge Analytica mais aussi avoir des impacts personnels sur les choix qui s’offrent ou s’offriront à vous demain.

La première étape pour faire respecter la législation est de vérifier auprès de l’organisme considéré quelles données il a sur vous, d’où elles viennent, et sur quelle base juridique il les traite. Il faut trouver les coordonnées de leur DPD (délégué à la protection des données), qui se trouvent en général dans la partie « données personnelles » ou « Politique de confidentialité », et lui écrire un courrier lui récapitulant vos demandes. Un exemple de courrier se trouve chez Aeris, que vous adapterez selon vos besoins (en particulier pensez à supprimer la partie sur la suppression des données si vous souhaitez continuer à utiliser ce service).

Si vous n’avez pas de réponse dans un délai d’un mois, ou que la réponse ne vous satisfait pas, vous pouvez saisir la CNIL. Et leur site n’est pas fait pour faciliter cette étape. Il vous faudra donc :

  • Accéder à leur page de plainte : https://www.cnil.fr/fr/plaintes
  • Dire que vous avez contacté l’organisme mais que la réponse n’est pas satisfaisante (par exemple en sélectionnant Internet -> SPAM -> « Connaître les informations vous concernant » -> « La réponse ne vous satisfait pas« )
  • et là, vous pouvez enfin « Adresser une plainte« 
  • Expliquez l’ensemble de votre problème, ajoutez des copies de vos échanges avec l’organisme, montrant que vous avez tenté de résoudre le problème directement, puis envoyez le tout.
  • Vous recevrez un courrier à l’adresse que vous avez renseignée vous donnant votre numéro de dossier, et vous informant que vous devriez avoir des nouvelles dans les 3 mois. Si c’est le cas, vous avez de la chance.

A savoir que vous ne déposer pas une plainte au sens juridique : la CNIL peut se saisir de tout ou partie de votre plainte, voire pas du tout.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *