28 janvier 2025 : journée de la protection des données personnelles
Le mardi 28 janvier 2025 se tiendra la Journée de la protection des données. Initiée par le Conseil de l’Europe, la journée est célébrée à l'échelle mondiale ("Privacy Day").
L'objectif est de sensibiliser les consommateurs aux risques liés à l’utilisation de leurs données personnelles présentes notamment sur internet, ainsi que sur leurs droits rattachés à ces données.
A cette occasion, l’INC vous rappelle ce qu’est une donnée personnelle, quelles sont les utilisations possibles de vos données, quels sont vos principaux droits sur celles-ci et leur exploitation et comment les exercer.
1 - Qu’est-ce qu’une donnée personnelle (ou "donnée à caractère personnel") ?
Il s’agit de toute information se rapportant à une personne physique (vous) clairement identifiée ou qu’il est possible d’identifier (article 4.1 du RGPD - Réglement Général sur la Protection des Données).
A titre d’exemple, votre nom, votre numéro de téléphone fixe ou mobile, votre adresse postale, votre adresse courriel ou encore votre description physique sont des données personnelles.
2 - Quelles sont les conditions pour que le professionnel utilise vos données personnelles ?
Les professionnels peuvent utiliser vos données à condition notamment de vous avoir informé de la finalité de la collecte, des destinataires de vos données, de la durée de la collecte et de vos droits.
Pour cela, il doit avoir obtenu légalement vos données, par exemple notamment lorsque vous les lui indiquez lors d’un achat en magasin, une commande sur internet, un appel téléphonique, etc.
Attention : vous ne pouvez pas exiger que le professionnel exécute votre demande si vous refusez de lui communiquer vos données personnelles qui lui sont nécessaires (exemple : votre adresse postale, alors que vous effectuez une commande à domicile).
Selon les cas, il doit aussi avoir obtenu votre consentement pour l’utilisation de vos données (pour en savoir plus, voir le site de la CNIL). Par exemple, s’il souhaite communiquer à des partenaires votre adresse de courriel, il doit obtenir votre consentement express et préalable, par exemple par une case à cocher et vous devez pouvoir revenir à tout moment sur votre consentement.
Important : Les professionnels doivent recueillir les données qui leur sont strictement nécessaires pour le traitement de votre demande.
Par exemple, si vous commandez un produit en ligne, on pourra vous demander votre nom et votre prénom (pour savoir à qui la commande doit être livrée), votre adresse postale (pour savoir où la commande doit être livrée), ou encore votre numéro de téléphone/adresse mail (pour vous adresser la confirmation de votre commande, assurer son bon suivi et vous contacter si nécessaire).
En revanche, si vous commandez un produit numérique, la collecte de l’adresse postale doit rester facultative.
En revanche, il ne leur sera pas possible d’exiger que vous renseigniez votre description physique, celle-ci n’ayant aucun intérêt pour la commande de votre produit.
À titre d’illustration, la Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt C-394/23 le 9 janvier 2025 dans lequel elle énonce qu’une société de transport n’a pas d’intérêt à exiger que les consommateurs renseignent leur identité de genre pour l’achat d’un titre de transport.
3 - Quels droits détenez-vous sur vos données personnelles ?
Quand bien même vos données personnelles sont indispensables pour que le professionnel puisse exécuter votre demande, vous conservez des droits sur celles-ci.
Ces droits recouvrent notamment :
- le droit à l’information : le professionnel doit vous indiquer quelles données sont collectées, pour quelles finalités, ainsi que les informations relatives aux personnes en charge du traitement de vos données (article 13 du RGPD),
- le droit de rectification : rectifier vos données qui seraient inexactes (article 16 du RGPD),
- le droit à l’oubli : faire effacer vos données qui ne seraient plus nécessaires au traitement de votre demande, qui ont été recueillies de manière illégale ou qui doivent être effacées afin d’être conforme à la loi (article 17 du RGPD),
- le droit d’opposition : s’opposer à ce que vos données soient traitées pour certaines finalités (par exemple, si vous ne souhaitez plus être sujet à de la prospection publicitaire) (article 21 du RGPD).
4 - Comment exercer vos droits sur vos données personnelles ?
Si vous estimez que vos droits ne sont pas respectés (exemple : vous n’avez pas consenti à ce que votre adresse de courriel soit communiquée à des partenaires) et que vous souhaitez les exercer, vous devez dans un premier temps en faire la demande auprès du responsable de traitement. Vous trouvez ses coordonnées sur le site internet (rubrique "Données personnelles" ou "Politique de confidentialité"), sur le bon de commande, etc.
Il aura alors 1 mois pour répondre à votre demande. Si la situation l’exige, le délai peut être porté à 3 mois, en quel cas vous en serez averti (article 12.3 du RGPD).
Si votre demande n’est pas traitée dans les temps, ou que vous n’êtes pas satisfait de la réponse apportée, vous pouvez adresser une plainte auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), conformément aux dispositions de l’article 77 du RGPD.
Thomas GONÇALVES,
Juriste à l’institut national de la consommation