Bruno Devauchelle : Bon anniversaire à la RGPD ! 

Depuis 1978, la France est dotée d'une législation qui protège chacun de nous dans son rapport au numérique, et en particulier les données personnelles. La lecture de la loi française permet de comprendre ce qu'est devenu ce texte initial suite à la loi européenne du 25 mai 2018 appelée RGPD et transposée le 20 juin 2018 dans les textes officiels (Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles). L'indigence des contenus proposés actuellement par le Ministère de l'Education sur le sujet (consultation le 15 mai 2019 qui révèle principalement des copier-coller du site de la CNIL) nous questionne quant à l'accompagnement réel des acteurs de l'école sur le sujet. Nous voulons ici attirer l'attention sur deux aspects de cette loi : d'une part la réglementation concernant les jeunes, d'autre part les questions que quiconque est en droit de poser à ceux qui font des fichiers contenant des données personnelles.

 

Rappelons tout d'abord ce qu'est une donnée à caractère personnel

 

"Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne." (Loi du 20 juin 2018).

Non seulement c'est une donnée explicite, mais c'est aussi une (ou plusieurs) donnée qui peut permettre de savoir qui est la personne concernée sans que son nom soit visible. (Exemple en croisant plusieurs données)

 

13 ans ou 15 ans ?

 

Attention, le passage ci-dessous est important car il induit des règles essentielles à respecter concernant l'accès des jeunes aux réseaux sociaux numériques, mais pas seulement... :

               "Article 7-1 Créé par la loi n°2018-493 du 20 juin 2018

               En application du 1 de l'article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans.

               Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur.

               Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne."

 

Ce passage signifie qu'il est interdit à un mineur de moins de 15 ans d'accéder à un service qui recueille des données personnelles sans que les parents (ou équivalent juridique) ne donnent leur accord. Traduit concrètement cela signifie qu'ils ne peuvent se créer eux-mêmes un compte sur un réseau social ou autre avant l'âge de 15 ans. Cela change donc par rapport aux Conditions Générales de certains services qui s'en tiennent à l'âge de 13 ans, ce qui est dans la loi californienne et ce qui est même écrit sur le site de Snapchat

 

Faites respecter vos droits

 

 A ce jour, il n’y a peu voire pas d'outils simples d'accès et de compréhension pour le grand public. A partir du site Internet de la CNIL, j'ai essayé de proposer 6 questions à diffuser auprès de la population. Ces questions sont suivies, en se basant sur le texte de la CNIL de la manière suivante :

- (C) notre conseil ;

- (E) une explication succincte ;

- (D) votre droit à exercer dans le cas mentionné.

 

Question 1 : Pouvez-vous me dire quelles sont les informations personnelles (types, quantité...) que vous collectez dans l'établissement ?

(C) Rester informé

(E) Un organisme qui collecte des informations sur vous doit vous proposer une information claire sur l’utilisation des données et sur vos droits !

(D)Exercer votre droit d'information

 

Question 2 : Comment je peux demander à ce que certaines données personnelles qui me concernent ne soit pas utilisés et le vérifier ?

(C) Vérifier vos données

(E) Vous pouvez vous opposer à tout moment à ce qu’un organisme utilise certaines de vos données.

(D) Exercer votre droit d'opposition

 

Question 3 : Comment je peux obtenir, vérifier et éventuellement modifier les données que l'établissement a collectées sur moi ?

(C) Exercer votre droit de rectification

(E) Obtenir et vérifier les données qu’un organisme détient sur vous. Rectifier les informations inexactes vous concernant.

(D) Exercer votre droit d'accès

 

Question 4 Comment je peux obtenir la suppression de données personnelles dont dispose l'établissement et l'institution ?

(C) Exercer votre droit au déréférencement

(E) Ne plus associer votre nom-prénom à un contenu visible dans un moteur de recherche.

(D) Exercer votre droit d'effacement

 

Question 5 : Comment puis-je récupérer ou faire transférer les données qui me concernent en étant garanti du processus.

(C) Se garantir de la possibilité d'emporter vos données, demander une intervention humaine

(E) Emporter une copie de vos données pour les réutiliser ailleurs, en cas de déménagement ou de changement statutaire

(D) Exercer votre droit à la portabilité,

 

Question 6 : Comment l'établissement me permet d'intervenir pour limiter l'utilisation automatique de mes données dans ses applications et celles du ministère ?

(C) S'assurer quant à l'utilisation des données qui me concernent, localement et nationalement

(E) Remonter le fil de votre profilage, vous y opposer et demander l’intervention d’un humain dans une décision automatisée vous concernant.

(D) Exercer votre droit à la limitation des données

 

En conclusion, puisque les droits sont si peu portés par l'institution scolaire, il est temps que l'on informe le grand public de ses droits et de l'inviter à les faire respecter. On attend désormais que du ministère aux établissements scolaires, un ensemble cohérent de documents soit mis à disposition et que les procédures soient enfin garanties...

 

Un rappel à ce sujet qui provient du site de la CNIL : "Permettez aux personnes d’exercer facilement leurs droits. Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte".

 

Bruno Devauchelle

 

Toutes les tribunes de B. Devauchelle

 

 

 

 
Par fjarraud , le vendredi 24 mai 2019.
Voir le forum |  Réagir sur le forum |  Imprimer  |  Télécharger  | 

Commentaires

Vous devez être authentifié pour publier un commentaire.

Partenaires

Nos annonces
Qui sommes-nous ?   Nous contacter   Charte   Soutenir le Café   S’abonner   Afficher le flux RSS
Copyright © 2022 Tous Droits Réservés