Depuis mai 2018, la plupart des sites web affichent un bandeau de cookies à chaque visite. Les emails de newsletters s’accompagnent de désabonnements en un clic. Les applications demandent à quoi elles vont utiliser votre localisation. Ce n’est pas par gentillesse : c’est le RGPD.

Le Règlement Général sur la Protection des Données est souvent vu comme une contrainte administrative obscure. C’est en fait un texte qui vous donne des droits réels sur vos données personnelles. Voici ce qu’il dit vraiment.

RGPD : définition en termes simples

Le RGPD (en anglais : GDPR — General Data Protection Regulation) est un règlement européen entré en application le 25 mai 2018. Il définit les règles que doivent respecter toutes les organisations (entreprises, associations, administrations) qui collectent et traitent des données personnelles sur des résidents de l’Union Européenne.

Une donnée personnelle, c’est toute information qui permet d’identifier directement ou indirectement une personne : nom, prénom, adresse email, adresse IP, numéro de téléphone, localisation, photos, données médicales, comportement de navigation, cookies de tracking.

Le RGPD s’applique à toute organisation qui traite ces données, qu’elle soit basée en Europe ou non. Une entreprise américaine qui collecte les données d’utilisateurs français est soumise au RGPD.

Les 6 principes fondamentaux

Le RGPD repose sur six principes que les organisations doivent respecter dans leur traitement des données :

1. Licéité, loyauté et transparence : les données doivent être collectées légalement, de façon transparente, avec une justification claire.

2. Limitation des finalités : les données collectées pour un usage précis ne peuvent pas être utilisées pour un autre usage sans nouveau consentement.

3. Minimisation des données : ne collecter que les données strictement nécessaires à l’objectif poursuivi.

4. Exactitude : maintenir les données à jour et permettre leur correction.

5. Limitation de conservation : ne pas garder les données plus longtemps que nécessaire.

6. Intégrité et confidentialité : protéger les données contre les accès non autorisés, les pertes et les violations.

Vos droits concrets en tant que personne concernée

Le RGPD vous donne 8 droits exercables auprès de toute organisation qui détient des données sur vous.

Le droit d’accès

Vous pouvez demander à n’importe quelle organisation : « Quelles données avez-vous sur moi ? » Elle doit vous répondre dans un délai d’un mois avec une copie de toutes vos données et des informations sur leur utilisation.

Comment l’exercer : email au DPO (Délégué à la Protection des Données) de l’organisation, ou via le formulaire de contact dédié. Cherchez « exercer mes droits RGPD » sur le site concerné.

Le droit de rectification

Vous pouvez demander la correction de données inexactes vous concernant. L’organisation doit corriger dans un mois.

Le droit à l’effacement (« droit à l’oubli »)

Dans certains cas, vous pouvez demander la suppression de vos données : si elles ne sont plus nécessaires à l’objectif initial, si vous retirez votre consentement, si vous vous opposez au traitement. Ce droit n’est pas absolu — il ne s’applique pas quand la conservation est requise par la loi.

Le droit à la portabilité

Vous pouvez récupérer vos données dans un format structuré et lisible par machine, pour les transférer vers un autre service. Pratique pour changer de plateforme en emportant vos données.

Le droit d’opposition

Vous pouvez vous opposer au traitement de vos données pour des finalités de prospection commerciale — toujours. Pour d’autres finalités (intérêt légitime), vous pouvez vous opposer en justifiant votre situation particulière.

Le droit à la limitation du traitement

Vous pouvez demander de suspendre temporairement le traitement de vos données pendant que vous vérifiez leur exactitude ou contestez l’usage qui en est fait.

Le droit de ne pas faire l’objet d’une décision automatisée

Vous avez le droit de ne pas être soumis à une décision entièrement automatisée (sans intervention humaine) qui produit des effets significatifs sur vous — refus de crédit, sélection de CV, évaluation de solvabilité. Vous pouvez demander une révision humaine.

Comment exercer ces droits

1. Identifiez le responsable de traitement (l’organisation concernée)
2. Envoyez votre demande en précisant le droit que vous souhaitez exercer et votre identité
3. Délai de réponse : 1 mois (extensible à 3 mois pour les demandes complexes)
4. En cas de non-réponse ou de réponse insatisfaisante : saisissez la CNIL

Les obligations des entreprises

La base légale obligatoire

Toute collecte de données doit reposer sur une base légale. Les principales bases légales :

• Le consentement : la personne a explicitement accepté (case à cocher, pas préremplie)
• L’exécution d’un contrat : les données sont nécessaires pour exécuter le service commandé (email pour livrer une commande)
• L’intérêt légitime : l’organisation a un intérêt proportionné sans que les droits de la personne ne soient trop atteints (analytics anonymisés, par exemple)
• L’obligation légale : la loi impose la conservation (données comptables)

L’information transparente

Les organisations doivent expliquer clairement : quelles données elles collectent, pourquoi, pendant combien de temps, avec qui elles les partagent, et comment exercer ses droits. C’est ce que contient (ou devrait contenir) la politique de confidentialité.

Le consentement aux cookies

Le fameux bandeau de cookies. Le RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. « Continuer à naviguer équivaut à accepter » n’est pas un consentement valide. Le refus doit être aussi facile que l’acceptation. La CNIL a sanctionné de nombreuses entreprises pour des bandeaux cookies non conformes.

La notification des violations

En cas de fuite de données, l’organisation doit notifier la CNIL dans les 72 heures, et les personnes concernées si le risque est élevé.

Le DPO (Délégué à la Protection des Données)

Certaines organisations doivent obligatoirement nommer un DPO : les autorités publiques, les organisations dont l’activité principale implique un suivi à grande échelle des personnes (plateformes en ligne, assureurs, banques), et les organisations traitant des données sensibles (santé, judiciaire) à grande échelle.

Les sanctions

Le RGPD prévoit des amendes pouvant atteindre :

• 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel (le montant le plus élevé des deux) pour les violations les plus graves
• 10 millions d’euros ou 2 % du CA mondial pour les violations moins graves

Ces chiffres ne sont pas théoriques. La CNIL française a infligé des amendes significatives : 150 millions d’euros à Google et Facebook/Meta en 2022 pour leurs bandeaux de cookies non conformes, 40 millions d’euros à Amazon, des dizaines de millions à Microsoft.

À l’échelle européenne, Meta a reçu une amende record de 1,2 milliard d’euros en 2023 pour le transfert de données vers les États-Unis sans garanties suffisantes.

RGPD en pratique : ce que vous devriez faire

En tant que particulier :

• Lisez (au moins brièvement) les politiques de confidentialité des services sensibles que vous utilisez
• Refusez les cookies non essentiels par défaut — la plupart des sites fonctionnent très bien sans
• Exercez votre droit d’accès auprès des plateformes qui vous semblent avoir trop de données (Facebook, Google proposent des téléchargements complets de vos données)
• Signalez les violations à la CNIL via signal.cnil.fr

En tant qu’entreprise :

• Réalisez un registre des activités de traitement (obligatoire)
• Vérifiez que votre bandeau de cookies est conforme (refus en un clic, pas de cases précochées)
• Assurez-vous d’avoir une base légale pour chaque traitement de données
• Formez vos équipes aux bonnes pratiques — la grande majorité des violations vient d’erreurs humaines, pas d’attaques

Le RGPD n’est pas parfait et son application est inégale. Mais il a changé les pratiques des géants du numérique de façon mesurable, et il vous donne des outils réels pour reprendre un peu de contrôle sur vos données dans un monde qui en collecte massivement.