Cloud et données personnelles : le droit européen vous protège !

Cloud et données personnelles : le droit européen vous protège !

cloud-crazy.png

Votre vie numérique prend de l’ampleur de jour en jour et le Cloud vous est bien utile pour stocker tous vos plus beaux souvenirs. Les conditions générales d’utilisation jouent le rôle d’intermédiaire entre vous et le service en ligne : vous avez sûrement tendance à les accepter sans vraiment les lire ou les comprendre. En clair, vous donnez le droit à ces services en ligne de traiter et utiliser vos données personnelles. Une fois votre consentement donné, il n’est plus possible de faire marche arrière. Il est donc nécessaire de prendre conscience de ce que sont les données à caractère personnel et de savoir ce que les services en ligne en font. Toutefois, la législation européenne vous garantit de nombreux droits en tant qu’utilisateur de services en ligne et impose également des obligations à ces services. Cette fiche BEE SECURE vous en dit plus et vous indique les bons réflexes à acquérir.

Les données personnelles

Qu'est-ce qu'une donnée personnelle ?

Selon la directive européenne du 24 octobre 1995, une donnée à caractère personnel correspond à « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne identifiée ou identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ». En clair, vos données personnelles vous définissent : cela peut être votre photo, votre nom, vos identifiants bancaires, vos préférences, etc.

Pourquoi vos données personnelles sont-elles protégées ?

L'adoption du Cloud a accompagné un bouleversement profond de l'économie de l'Internet, nous sommes entrés dans l'ère du Big Data (en rapport avec la masse toujours croissante de données personnelles collectées). La valeur de la plupart des entreprises est maintenant directement liée à la manière dont elles gèrent et commercialisent ces données. Ces modèles d'affaires soulèvent pourtant de nombreuses questions quant aux droits de l'utilisateur final face à la protection de ses données personnelles.

Comment vos données sont-elles protégées ?

La plupart des pays du monde possèdent une législation spécifique dédiée à la protection des données personnelles, mais ce cadre législatif est très différent selon les territoires. En Europe, un socle commun s'applique et garantit une forte protection des données au bénéfice du grand public. Cette base est encore plus renforcée avec les lois applicables au Grand-Duché de Luxembourg, telle la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.
Si vous souhaitez en savoir plus, vous trouverez la liste des différentes lois et directives en note de bas de page.

  • Loi modifiée du 2 août 2002 (protection des données – texte coordonné du 08.08.2007) : correspond à la protection des personnes en ce qui concerne le traitement des données personnelles.
  • Loi modifiée du 30 mai 2005 (protection des données et communications électroniques – texte coordonné 10.08.2011) : correspond à la protection de la personne à l’égard du traitement des données à caractère personnel dans les communications électroniques.
  • Règlement (UE) N° 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques.
  • Directive 95/46/CE (“protection des données”) du 24 octobre 1995 (Nom officiel : directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).
  • Directive 2002/58/CE (vie privée et communications électroniques) du 12 juillet 2002) (Nom officiel : directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques).
  • Directive 2006/24/CE du 15 mars 2006 (Nom officiel : directive 2006/24/CE du Parlement européen et du Conseil sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, en modifiant la directive 2002/58/CE) Directive 2009/136/CE du 25 novembre 2009.

Pourquoi la protection des données personnelles est-elle importante ?

La vie privée est un aspect fondamental de nos sociétés. Sur le Cloud, les données les plus intimes (dans certains cas) sont gérées par des prestataires de services. Quels sont les principaux risques?

Risque numéro 1 : Une exploitation opaque de vos données

La loi vous garantit un droit à l’information sur vos données. Vous devez ainsi être informé sur qui exploite vos données récupérées par exemple dans le cadre d’un service Web. Ces explications sont données dans les conditions générales d’utilisation, mais ces conditions peuvent souvent sembler obscures et amener un utilisateur à accepter des contrats sans en connaître les conséquences réelles sur ses données. Ces conditions générales exploitent bien souvent le manque de connaissance des utilisateurs sur le sujet, en se reposant sur un vocabulaire complexe. Dans les faits, l'utilisateur est informé, mais son consentement n'est pas éclairé. La fameuse phrase "j'ai lu et j'accepte les conditions générales" est en règle générale validée de manière mécanique. Pourtant, les conséquences peuvent être importantes, notamment au sujet des données personnelles.

Risque numéro 2 : Une chaîne d’acteurs floue

Le propre d'un service en ligne est d'essayer de créer une relation exclusive avec ses utilisateurs. Il s'agit de créer un maximum de barrières à la sortie, via l'utilisation de logiciels et de technologies spécifiques, de manière à ce que les utilisateurs restent sur une plateforme spécifique et continuent de nourrir cette plateforme avec leurs données... L'opérateur n'a pas forcément intérêt à simplifier son système afin de permettre l'échange d'information avec ses concurrents. En conséquence, les utilisateurs sont appelés à divulguer autant de données personnelles auprès de chacun des services, tout en perdant la vue sur les acteurs utilisant ces mêmes données.

Risque numéro 3 : Une destruction des données très difficile

La chaîne de sous-traitance d’un service en ligne est la plupart du temps obscure, de plus, la liste des acteurs impliqués ayant un droit d'utilisation sur les données traitées peut être amenée à changer pendant la durée de l'utilisation du service Web (et donc du contrat client associé). Un fournisseur de service en ligne ne fournit pas toujours tous les outils et mesures nécessaires pour permettre une gestion efficace des données (en termes d’accès, de suppression ou de correction). Ainsi, en règle générale, vous pouvez connaître le nom et la politique en matière de gestion des données personnelles de l'opérateur direct de votre service Internet, mais qu'en est-il du sous-traitant de cet opérateur ?

Risque numéro 4 : Une disparition de l’anonymat

En règle générale, lorsque des données sont vendues pour être exploitées commercialement, celles-ci font l'objet d'une anonymisation. L'acheteur (par exemple, d'un espace publicitaire) ne va pas obtenir votre nom, mais un profil correspondant, anonyme. Le problème se pose au niveau de la masse de données - avec suffisamment de données et des capacités de traitement ad hoc, le lien entre les profils peut être réalisé, et peut donc vous identifier malgré l'anonymisation initiale.

En tant qu’utilisateur européen de services en ligne, vous avez des droits !

Toute collecte et tout traitement automatisés de données personnelles pouvant vous identifier sont soumis à un cadre législatif strict en Europe. En tant que citoyen européen, vous disposez de droits qui vous permettront de protéger vos données personnelles comme il se doit. Avoir un droit signifie avant tout que des règles s’appliquent à l’organisme qui va traiter vos données. Ce même organisme doit vous informer de ce il fait de vos droits, et comment il vous les garantit. Voici la liste des principaux droits en matière de protection des données à caractère personnel :

Le droit d’accès

Vous avez le droit de contacter un prestataire de service pour lui demander quelles sont les données personnelles qu’il possède à votre sujet. Votre prestataire de service en ligne doit vous répondre et pouvoir vous transmettre une copie de l’intégralité de vos données qu’il détient.

Le droit de rectification

Vous avez le droit de demander la correction d’informations inexactes qui seraient gérées par un prestataire de service en ligne.

Le droit d’opposition

Vous avez la possibilité de vous opposer à figurer dans un fichier. Vous pouvez vous opposer à ce que les données vous concernant soient diffusées, transmises ou conservées.

Le droit au déréférencement

Vous pouvez empêcher les autres internautes qui le souhaiteraient d’accéder à des anciennes pages révélant vos données personnelles. Grâce au droit au déréférencement, vous avez la possibilité de vous retourner vers le moteur de recherche afin d'effacer les liens qui vous posent problème. Attention - le déréférencement n'efface pas vos informations, mais rend plus difficile l'accès à vos informations mises en ligne.

Le droit à l’information

La plupart des conditions générales d’utilisation mentionnent la manière dont l’organisme de traitement va faire usage de vos données. Rappel : les données personnelles peuvent être collectées, mais uniquement pour des finalités déterminées, explicites et légitimes.

Le droit à la protection des données

La législation applicable est celle du pays dans lequel se trouve le responsable de traitement à qui vous confiez vos données et non celle du lieu où les fournisseurs sont situés. En clair :

-       si votre responsable de traitement est localisé dans l’un des pays de l’Union européenne, vous bénéficiez de la loi propre au pays où le traitement a lieu.

-       Si le responsable de traitement se situe dans plusieurs pays de l’Union européenne, alors le droit applicable sera celui de chaque état membre dans lequel le traitement a lieu.

-       Si vous résidez hors de l’Union européenne, mais que votre fournisseur Cloud se trouve dans la zone de l’Union européenne, vous avez tout de même le droit de bénéficier de la législation européenne en matière de protection des données à caractère personnel.

Le droit de connaître l’identité des sous-traitants

L’article 10 de la directive 95/46/CE préconise clairement que le responsable de traitement du service Cloud que vous utilisez devrait fournir des renseignements sur les sous-traitants auxquels il fait appel pour effectuer le traitement de vos données personnelles. Vous avez le droit de savoir qui gère vos données !

Le droit à la confidentialité

Qu’il s’agisse d’un sous-traitant ou du responsable du traitement de vos données, ces derniers doivent respecter et vous garantir le droit à la confidentialité. Les données ne peuvent être traitées que sur instructions du responsable de traitement.

Un fournisseur doit effacer les données personnelles lorsqu’il n’est plus nécessaire de les conserver, car les buts du traitement ont été atteints. En clair, les données peuvent être conservées sous une forme permettant l’identification d’un utilisateur, mais la durée ne doit pas excéder la durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées. Comme ces données sont stockées sur plusieurs serveurs, il faut que le fournisseur s’assure que les données soient effacées dans chaque cas.

Les conseils BEE SECURE

Divulguez le moins de données possible

Ne renseignez que les champs réellement nécessaires pour l’utilisation d'un service Web. Le souci ne viendra pas de l'usage par ce fournisseur de service de vos données, mais plutôt de l'intégration de vos données dans un ensemble bien plus grand qui, avec un tel cumul, rendra le principe même de vie privée caduc.

Paramétrez vos applications

Jetez un coup d'oeil aux paramètres de confidentialité de vos applications. Bloquez les services non nécessaires. Ainsi, pour votre smartphone, posez-vous la question : une application "lampe torche" doit-elle accéder à vos contacts ? Une application de chat par texte doit-elle accéder à votre micro ? Un traitement de texte doit-il disposer de vos coordonnées GPS ?

Lisez les conditions générales d’utilisation

Avant d’utiliser un service en ligne, familiarisez-vous avec le contrat de licence utilisateur final. Que stipule-t-il ? Vos données sont-elles revendues à des tiers ? Assurez-vous que vos services en ligne respectent les normes européennes. N’hésitez pas à consulter notre fiche « Conditions Générales d’Utilisation ».

Étude de cas : à chaque modification des conditions d'utilisation de Facebook, la plupart des utilisateurs copient-collent de longs statuts aux nombreuses références législatives, demandant à Facebook de ne pas utiliser leurs données personnelles. Or, cette demande est inutile, car vous avez déjà accordé contractuellement à Facebook le droit d’utiliser vos publications. Ce cas démontre bien qu’il est essentiel de prendre connaissance des conditions générales d’utilisation en amont.

Ne stockez pas de données trop confidentielles sur un service Cloud

Nous avons déjà évoqué le risque des fuites de données (consultez notre dossier « Fuite de données – tous concernés »). Les prestataires de service ne garantissent pas nécessairement la sécurité et la confidentialité la plus totale. Nous vous recommandons de ne pas stocker des documents trop sensibles sur le Cloud.

Demandez de l'aide si besoin

Les conditions générales d'utilisation et la protection des données personnelles sont des sujets complexes. N'hésitez pas à contacter BEE SECURE ou la Commission Nationale de la Protection des Données pour plus d'informations à ce sujet.

 

PDF iconBEE SECURE - Clever Cloud-Cloud et donnees personnelles _FR.pdf