Utilisation en masse des données à caractère personnel, collecte des données sans consentement, stockage illimité des données… les pratiques des entreprises à l’égard des données à caractère personnel de leurs clients doivent encore considérablement évoluer. Le RGPD, règlement général sur la protection des données, vise justement depuis le 25 mai 2018 à encadrer les obligations des organismes et les droits des personnes concernées sur leurs données. Les autorités de contrôle contribuent à tendre vers cet objectif comme le montre les dernières sanctions, notamment de la CNIL et de l’ICO (https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la; https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/).

 

Cependant le droit et les sanctions ne peuvent pas à eux seuls résoudre les dérives de l’utilisation des données à caractère personnel. Grâce à leur libre arbitre, les utilisateurs ont un rôle central dans la protection de leurs données et peuvent décider quelles données transmettre aux entreprises et si accepter les conditions d’utilisation. Depuis quelques jours, la conformité au RGPD de l’application FaceApp est questionnée, notamment les modalités de recueil du consentement et l’utilisation des données par l’entreprise. Si un contrôle d’une autorité européenne de protection des données est envisageable, personne n’a obligé les individus à utiliser cette application…

 

Nous constatons toutefois que les personnes concernées sont de plus en plus sensibilisées à l’utilisation qui peut être faite de leurs données. En effet un sondage IFOP réalisé en avril 2019 pour la CNIL, indique que 70% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. Par ailleurs, dans son rapport d’activité 2018 la CNIL indique avoir reçu en 2018 un nombre record de 11 077 plaintes (+32,5% par rapport à 2017). Or 37,5% de ces plaintes portaient sur la diffusion des données sur internet. C’est-à-dire que les entreprises ne satisfaisant pas les demandes de suppression des données présentes sur internet (nom, prénom, coordonnées, commentaires, photographies, vidéos, comptes…), les personnes concernées ont décidé de porter plainte auprès de la CNIL.

 

Ainsi, ce n’est donc qu’après avoir transmis leurs données et avoir bénéficié gratuitement d’un service, qu’une partie des personnes se dit qu’elle voudrait bien que l’entreprise les supprime pour toujours. Une autre partie ne s’intéresse pas au sort de ses données, mais connait-elle vraiment les risques sur la vie privée, notamment en cas de fuite de données ? Car si les individus n’ont rien à cacher et acceptent de laisser leurs données malgré des CGU peu rassurantes, les conséquences sur leur vie privée peuvent être graves :

 

  • Une simple adresse mail peut être utilisée pour du phishing/hameçonnage. Une pratique qui consiste à envoyer des faux mails en se faisant passer pour une marque, afin de récupérer des informations pouvant être réutilisées telles qu’un numéro de carte bancaire ou un mot de passe permettant d’accéder à un service. Début juillet, Orange a effectué une campagne de sensibilisation sur le phishing en lançant une offre de 6G à 0€ (https://www.zdnet.fr/actualites/6g-a-0-orange-lance-une-campagne-choc-contre-le-phishing-39887059.htm). Les conséquences pour les individus peuvent notamment être financières, en cas de vol de numéro de carte bancaire (perte financière, détournement d’argent non indemnisé, interdit bancaire).
  • Une photo, couplée à des informations sur l’âge, la date de naissance, une adresse… peut être utilisée pour faire de l’usurpation d’identité via la création d’une une fausse carte d’identité, ou en accédant à des services au nom de la personne par exemple. Démontrer à postériori avoir été victime d’une usurpation d’identité peut s’avérer très compliqué.

En tant que cabinet de conseil en sécurité informatique et protection des données, nous conseillons vivement de prendre en considération ces risques avant de laisser ses données à des entreprises peu respectueuses de la vie privée. A fortiori si ce sont des données de tierces personnes (familles, amis…) laissées sans leur consentement.

 

Par Francesca Serio, experte en protection de la donnée et en gestion de crise chez Almond, une marque commerciale utilisée par Provadys et NetXP.