Collecte illégale de données personnelles

La collecte de données à caractère personnel est omniprésente sur Internet : adresse IP, cookies traceurs, cookies techniques, coordonnées saisies sur les sites et les réseaux sociaux... Or, depuis la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée en 2004), elle fait l'objet d'un strict encadrement. Le règlement européen RGPD (règlement général sur la protection des données), qui est entré en vigueur le 25 mai 2018, renforce la protection des données personnelles. Ce règlement s'applique à toute collecte de données auprès des ressortissants de l'Union européenne. Faisons le point sur la collecte illégale de données personnelles, leur encadrement par la loi et les recours possibles. Collecte illégale de données personnelles : obligations légales Principe Pour être licite, la collecte de données à caractère personnel doit notamment avoir satisfait aux obligations suivantes : votre accord explicite doit avoir été recueilli ; il faut respecter les grands principes de la collecte loyale des données personnelles. Bon à savoir : avant le 25 mai 2018, la personne qui collectait vos données devait avoir fait les formalités préalables nécessaires auprès de la CNIL (Commission nationale de l'informatique et des libertés), ou de toute autre autorité locale compétente si le site n'était pas français. Depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué assiste le responsable du traitement des données. Il a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL. Pourtant, il est très courant que nos données soient collectées sans notre autorisation, et il n'est pas aisé de savoir si cette collecte est ou non légale. Bon à savoir : les mentions légales des sites internet peuvent indiquer s'il existe une « déclaration CNIL » et doivent mentionner l'adresse et les coordonnées du responsable de la collecte et du traitement de vos données. S'il s'avère que la collecte des données personnelles est illégale, 3 moyens principaux sont à votre disposition : agir auprès du responsable du traitement des données ; agir auprès de la CNIL ; agir auprès des juridictions pénales en portant plainte. Bon à savoir : un site internet est mis à disposition par le Gouvernement pour aider les victimes de cybermalveillance. Cette plateforme permet à toute personne, physique ou morale, de signaler l'acte de cybermalveillance dont elle est victime (virus informatique, phishing, détournement de données personnelles), et d'être mise en contact avec des prestataires afin d'obtenir une assistance dans ses démarches. Les prestataires présents sur le site ont signé la charte d'engagement du dispositif national d'assistance aux victimes de cybermalveillance. Collecte illégale de données personnelles : action auprès du responsable du traitement des données Lorsque vos données ont été collectées illégalement, vous pouvez exercer votre droit d'opposition directement auprès du responsable du traitement des données en lui demandant de supprimer les données vous concernant. Précision : cette demande doit être faite par courrier – papier ou électronique –, signée et accompagnée d'une copie de votre pièce d'identité. Il est fortement conseillé de conserver la preuve de cet envoi, par une capture d'écran ou grâce à un recommandé avec avis de réception. Le responsable du traitement des données dispose de 2 mois au maximum pour vous répondre, et il peut refuser la suppression de vos données personnelles à condition de justifier d'un motif valable. Dans ce cas, si vous avez la preuve que la collecte est illicite, vous pouvez saisir la CNIL ou les juridictions compétentes. Plainte à la CNIL pour collecte illégale de données personnelles Formalités de dépôt de plainte La CNIL met à la disposition des internautes un service de plainte en ligne. Elle peut également être saisie par courrier postal ou par courriel. Précision : dans ce formulaire, il vous est notamment demandé de décrire les modalités de la collecte illicite, mais surtout d'identifier le responsable de cette collecte illicite. Ensuite, la CNIL peut intervenir auprès de ce responsable. La CNIL peut alors contrôler sur place, sur pièce, en ligne ou sur convocation cette société qui exploite des données personnelles. Elle peut ensuite prononcer des sanctions et dénoncer au procureur de la République les infractions constatées. À noter : en 2014, la CNIL a traité 5 825 plaintes. Des sanctions renforcées par le règlement européen RGPD Le règlement général sur la protection des données renforce les sanctions applicables en cas de violation des dispositions du RGPD par les responsables de traitement des données et les sous-traitants. Les autorités de protection telles que la CNIL en France ont la possibilité : de prononcer des avertissements ; de mettre en demeure l'entreprise défaillante ; de limiter temporairement ou définitivement un traitement ; de suspendre les flux de données ; d'ordonner de satisfaire aux demandes d'exercice des droits des personnes ; d'ordonner la rectification, la limitation ou l'effacement des données. Des sanctions administratives pourront également être prononcées. Elles peuvent aller, selon la catégorie de l'infraction, de 10 à 20 millions d'euros ou, dans le cas d'une entreprise, de 2 % jusqu'à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.