Déclaration de confidentialité : la lire ou la snober ?

ABC du RGPD | On utilise tes données

Déclaration de confidentialité : la lire ou la snober ?

23 novembre 2022 | ABC du RGPD, On utilise tes données

Faut-il lire ou snober une déclaration de confidentialité, quand on en croise une au détour de nos balades numériques ?

Réflexe majoritaire quand on croise la fameuse déclaration de confidentialité :  on la snobe ! Lire? Quelle drôle d’idée.

Mais l’information, c’est un peu une étape nécessaire pour devenir acteur et non plus victime de la manière dont les organisations usent (et parfois abusent) de nos données personnelles.

Je te propose (après une mise au point pour être sûre que je n’ai perdu personne) ma méthode de tri. Parce que tout lire tout le temps, quand même.. faut pas abuser.

En espérant que ça t’inspirera à mettre au point la tienne !

ATTENTION :  Cet article est long (la passion, que veux-tu..). Si tu vas tout en bas, tu trouveras des illustrations qui résument la méthode. Et après, libre à toi de lire les points qui t’intéressent plus spécialement.

C’est quoi déjà, une déclaration de confidentialité ?

C’est ce fameux Mur de mots auquel tu es souvent confronté quand tu décides de visiter un site internet.

Ou télécharger une nouvelle app sur ton smartphone.
T’inscrire à cette communauté en ligne.
Recevoir la carte de fidélité de ta boutique préférée.
Jouer via une plateforme de jeu en ligne ou une console accédant à internet.

Ou encore quand tu veux discuter avec ton assureur et que tu souhaites savoir sur quelles données personnelles il se base pour calculer tes mensualités d’assurance. Fonctionne aussi avec ton banquier (et l’octroi de prêt, hein), ton médecin, ton administration.

Enfin, c’est souvent à ça (un Mur de mots, donc) que ça ressemble, on ne va pas se mentir. Mais les exceptions existent, je te prépare une petite sélection dans un futur article.

Ce document, c’est un peu l’incarnation de ton droit à l’information, un des droits que t’octroie le RGPD.

À grand pouvoir, grande responsabilité

En effet, toute organisation est censée pouvoir t’expliquer comment, pourquoi et avec qui elle va utiliser tes données personnelles. Elle te doit bien cela, vu la confiance que tu mets en elle en lui confiant des bouts de toi-même.

Il n’y a pas de terminologie obligatoire à ce document d’information.

Cela varie de « politique de confidentialité » / « privacy statement à « Déclaration RPGD », j’en passe et des meilleurs.

Moi j’ai opté pour « Déclaration de protection des données« . On va donc l’appeler « Déclaration » dans la suite de cet article, histoire de ne pas devenir fou.

N. B. Si tu es toi-même une organisation/membre d’une organisation, tu vois – j’espère – ce dont je parle. Si pas, n’hésite pas à écouter l’épisode 12 de mon podcast, tu apprendras 2-3 trucs utiles.

Une révélation choquante

Ça va peut-être en choquer certain, mais non, je ne lis pas TOUTES les Déclarations (de protection des données – rappel -) que je croise. Mais avouons-le, j’en lis quand même pas mal – chacun ses petites obsessions.

Mais parfois, j’ai d’autres choses à faire de ma vie, tout comme toi, je suppose. Affronter le Mur de mots, ça prend du temps, beaucoup (trop) de temps.

En 2008, une étude* a estimé à 10 jours/an (244h en moyenne) le temps nécessaire pour lire les Déclarations des sites sur lesquels tu navigues pour la première fois..

On ne parle donc pas ici des Déclarations des applications, prestataires de services et autres boutiques. Juste la consultation des sites internet. En 2008.

Depuis, le nombre d’heures passées devant les écrans a bien entendu largement augmenté.

Mais sans blague, 10 jours/an, c’est quand même déjà bien trop long.

Pourtant une inquiétude bien réelle

Néanmoins, au vu de ce qui nous pend au nez si nos données personnelles décident de jouer les filles de l’air, ça vaut la peine de se pencher un minimum sur la question.

En effet, il y a des conséquences très concrètes aux fuites de données dont on entend parler dans les journaux. Elles peuvent te mettre en danger, toi, le particulier dont l’organisation utilise les données.

Le secret

Pour allier utilisation efficace de mon temps et sélection des organisations à qui je confie mes données personnelles en accord avec mes valeurs…

… roulement de tambour..

Je fixe des priorités.

C’est-à-dire que je me suis fixé des critères me permettant de rationaliser le choix de lire ou non cette fameuse tartine (souvent indigeste, ok..).

Voici comment je procède.

La méthode – partie 1/2 : Avant même de chercher la Déclaration, pose-toi quelques questions

Fais le point sur ta réalité de vie / ta propre situation personnelle que tu t’apprêtes à partager.

Si tu te trouves dans une catégorie de population qui pourrait être discriminée (pour tes valeurs, tes croyances, ton orientation sexuelle, ton origine, même supposée), sois prudent quand tu fournis des informations qui permettent à une organisation de te ranger dans ces cases (directement ou par déduction).

Ces informations, on les appelle « données sensibles » et elles sont normalement particulièrement protégées.

Si tu peux éviter de les donner, c’est toujours mieux.

=> Et si c’est probable que l’organisation te les demande (ex: fournir les dates de tes dernières règles à une application de suivi de fertilité), c’est là que tu voudras plus d’informations sur comment ça se passe derrière l’écran de l’app (ou chez ton prestataire, etc.).

Imagine que demain, l’organisation à qui tu as confié tes données les affiche dans la rue.

Les données que tu encodes toi-même, mais pas que.

Aussi celles que l’organisation reçoit d’autres organisations (via l’achat de base de données d’informations) ou encore celles qu’elle pourrait déduire de ton utilisation de ses services. Pense à tout ce que tes interactions sur les réseaux sociaux disent de toi.

Qu’est-ce qui se passerait si demain, toutes ces informations sur toi étaient accessibles à des gens qui n’ont normalement pas à savoir autant de choses sur toi.

Exemple: Tu n’as aucun problème à discuter de ton salaire avec ton chef ou ton comptable, mais le dire à tes voisins ou tes collègues te posent peut-être problème. Parler d’une maladie « familiale » est certainement ok avec ton médecin, mais est-ce que tu as envie d’en parler à ton employeur ou aux amis de tes amis ?

Le fait que nous soyons à l’aise ou non de discuter de choses très privées va dépendre du contexte. Que se passe-t-il quand une organisation réutilise dans un autre contexte des données fournies dans un contexte précis ?

Parce que c’est notre réalité actuelle, vu l’évolution des technologies (et encore, même des informations en version papier peuvent subir des « incidents » – des fuites de données comme on dit dans les journaux).

Donc même si dans la Déclaration, l’organisation te dira que non non, elle ne fera « rien de mal » avec tes données, si techniquement un travailleur indélicat ou une personne externe à l’organisation arrive à y accéder, va savoir ce qu’ils feront avec.

=> Si tu n’es pas à l’aise avec l’idée de tes données en place publique, ça vaut la peine de prendre le temps d’en savoir un peu plus. Et de lire cette fichue Déclaration.

Voire même, poser des questions à l’organisation sur les mesures de sécurité, par exemple – mais j’anticipe.

Est-ce que l’app est une île qui fonctionne en autonomie ou est-elle hyper connectée à plein d’autres applications ?

(note :  Pour faciliter la lecture, je vais uniquement parler d’app / application, mais en vrai ça vaut pour les sites, logiciels, outils, services..)

On est d’accord, les outils qui se synchronisent, qui vont chercher tout seuls les données nécessaires que tu as déjà encodées dans une autre base de données, pour éviter de le faire 15 fois pour 15 outils différents, c’est super pratique.

Exemple : utiliser une identification Google ou Facebook pour t’identifier sur différentes plateformes.

Mais comprend que lorsque tu fais cela, tu t’exposes à plus de risques que lorsque tu choisis de cloisonner certains outils (ne pas utiliser ton identification Google pour te connecter à cette fameuse app de suivi de fertilité, par ex) car :

  • Tu fournis encore plus de données sur toi-même aux organisations, pas toujours consciemment.

Exemple : Si tu te connectes sur une plateforme hébergeant un groupe de soutien face à une maladie grave en utilisant ton compte Google, cela va fournir des données sensibles (si toi ou un proche êtes confrontés à cette maladie) à Google.

  • L’impact d’une fuite de données chez ton fournisseur de mail ou le réseau social que tu utilises pour te connecter à différentes plateformes est décuplé.

Exemple : Imagine que quelqu’un arrive à modifier ton mot de passe et te déconnecte de toutes ces plateformes. Ou accède avec un seul mot de passe à toutes ces plateformes.

Est-ce que l’app est gratuite ?

Dans ce cas, demande-toi toujours comment l’organisation qui met à disposition cette app gratuite gagne de l’argent.

La fameuse phrase « Si c’est gratuit, c’est toi le produit », ce n’est pas juste parce que ça rime, en vrai..

C’est surtout parce que dans ce cas-là, l’organisation ne gagne pas de l’argent en te fournissant un service via l’utilisation de son app. Elle en gagne par exemple en fournissant des espaces publicitaires à d’autres organisations, éventuellement basées sur ton profil, pour que la publicité soit plus efficace.

Et si je te dis que ce profil pourrait être déduit d’observations et de données collectées initialement pour autre chose (que de subir du marketing ciblé), via d’autres organisations, et est peut-être même erroné, ça devient un peu moins rigolo, je suppose. Surtout que erroné ou non, tu en subis les conséquences (avantageuses ou non).

=> Si tu estimes que le bénéfice que tu en tires ne vaut pas l’exploitation de ta vie privée et de ton attention, lire la Déclaration est une bonne première étape pour en savoir plus (et éventuellement, limiter la casse).

D’ailleurs, si tu utilises des outils gratuits dans le cadre de ton activité professionnelle, globalement, c’est très important de comprendre pourquoi c’est gratuit. Histoire de limiter la casse aussi, en fait.

Est-ce que tu vas fournir uniquement tes données ou aussi celles de tes proches ?

Parce que si toi, ton contexte de vie est tranquille (je te renvoie à la première question), ce n’est peut-être pas le cas du proche dont tu t’apprêtes à partager les données personnelles (limite sans t’en apercevoir).

Exemple: Lorsqu’une application te demande l’accès :

  • à tes contacts téléphoniques ou emails (pour vérifier s’ils ne sont pas abonnés à ce service de messagerie, par exemple, ou leur suggérer de l’utiliser)
  • à tes photos (sauf si tu ne prends que des photos de ton chat),

l’organisation va également accéder aux données de tes proches, voire de tes clients (si tu as encodé certains numéros dans tes contacts par exemple).

=> Si des données de tes clients vont être impactées dans l’opération, tu as même une obligation de vérifier comment vont être utilisées leurs données personnelles. Si ton usage est « privé », c’est ta conscience et toi-même qui prendrez la décision de creuser ou non.

Est-ce que quelqu’un a déjà cette information sur toi ou est-ce inédit ?

Personnellement, si une organisation me demande de lui fournir des données que je n’ai encore jamais communiquées à personne (souvent, on retombe dans les données sensibles), je vais être plus attentive à la manière dont elle veut l’utiliser que si on me demande pour la quinzième fois de dire ce que je fais dans la vie.

L’aspect « est-ce que cette donnée permet de t’identifier directement ou non » peut également jouer. Donner une adresse email « poubelle » pour t’inscrire à une newsletter est perçu comme plus acceptable/moins invasif de ta vie privée que de devoir donner ton numéro de téléphone pour participer à un webinaire.

Perso, je déteste devoir donner mon numéro de téléphone (même si c’est pour discuter du webinaire avec une personne de l’organisation). Certains s’en moquent. C’est très subjectif, au final.

=> Du coup, quand une organisation me demande des infos inédites ou mon numéro de téléphone (dans mon cas), j’ai tendance à vouloir creuser le pourquoi du comment et jeter un œil à la Déclaration.

La méthode – partie 2/2 : Lorsque tu décides qu’il vaut mieux lire la Déclaration, choisis tes combats

Début du jeu de piste

Ok, donc en répondant à ces différentes questions, tu en es venu à la conclusion que quand même, tu avais envie d’en savoir plus avant de fournir tes données à l’organisation (ou même après leur avoir fourni les informations, tu peux le faire n’importe quand).

Il faut donc d’abord trouver ladite Déclaration.

Si rien que ça, c’est déjà compliqué (car tu n’arrives pas à identifier où se trouve la Déclaration sur le site ou sur l’app ou que la Déclaration n’est pas disponible dans ta langue alors que le reste du site est bien disponible dans ta langue), c’est un peu mal parti, niveau transparence de l’information.

Juste pour dire.

=> Drapeau rouge qui pourrait t’inciter (par exemple) à ne pas utiliser l’application en question.

Pour ton info, cette Déclaration est censée être facilement accessible, aussi bien:

  • dans une application que tu as téléchargée (avant même que tu la télécharges d’ailleurs)
  • que sur un site internet
  • ou à la caisse du magasin où le vendeur te propose d’adhérer au programme de fidélité du magasin (tu sais, quand tout le monde te regarde hésiter, en priant silencieusement pour que tu dises non et laisses ta place au suivant le plus vite possible).

Observe la présentation de la Déclaration

Tu es arrivé à trouver la Déclaration dans les méandres de l’app ou du site, mais quelque chose semble étrange dans la manière de te la présenter.

L’organisation te demande « d’accepter le contenu de la Déclaration et des CGV  » + une case à cocher, afin de pouvoir utiliser l’app ou surfer sur le site ?

=> C’est le loto gagnant des choses à ne pas faire et c’est donc mal parti bis pour cette organisation.

Mal parti, car cela illustre le niveau de compréhension de l’organisation par rapport aux droits qu’elle est censé t’octroyer quand elle veut utiliser tes données personnelles (enfin, il y a de la place pour s’améliorer, on va dire). Personnellement, cela impacte négativement mon niveau de confiance en cette organisation.

Sache que tu n’as pas à accepter le contenu de cette Déclaration, c’est de la pure information à ton attention.

L’organisation pourrait te demander de confirmer que tu as lu (à la limite) ou de consentir à telle ou telle utilisation spécifique de tes données (avec un renvoi vers la Déclaration pour une information plus complète).

Pour cela, elle devra entre autres veiller à éviter les cases précochées ou le texte du style « cochez la case si vous ne voulez pas que nous utilisions vos données dans telle situation ». En gros, éviter d’utiliser des Darks patterns pour te pousser à accepter des choses à l’insu de ton plein gré.

Que faire si au bout du chemin, tu fais face à un Mur de mots

Parce que oui, c’est souvent encore notre triste lot, à nous lecteur de Déclarations. Un long texte qui décourage, où tu ne sais pas quels sont les éléments les plus importants à identifier.

Mon arme contre les Murs de mots : la fonction de recherche dans la page CTRL+F et j’indique quelques mots clés qu’on retrouve habituellement.

Clarifier quelles données l’organisation utilise (CTRL+F « Données » « nous utilisons » « adresse »)

Pour savoir si ce que tu avais constaté ou imaginé correspond à ce que l’organisation annonce.

Parfois on est surpris, parce que l’organisation utilise des données qui sont certes peut-être disponibles publiquement, mais qu’on n’avait pas mis en ligne pour cela.

Ou parfois, on constate d’entrée de jeu que la liste annoncée n’est pas complète parce qu’il manque:

  • certaines informations demandées dans le formulaire d’inscription
  • certains accès à ton téléphone demandés par l’app .

Clarifier dans quel pays tes données personnelles vont aller se promener (CTRL+F « transfert international » « Europe » « UE » « pays »)

Ici, l’objectif est de savoir où se baladent tes données personnelles.

Est-ce qu’elles restent en Europe (ou dans des pays qui fournisse une protection équivalente) ? Est-ce qu’elles seront aussi accessibles à partir d’un pays qui n’offre pas de protections adéquates ?

Parce que oui, même les organisations qui sont hors Europe doivent (souvent, pas tout le temps) respecter tes droits en matière d’utilisation de données. Et même si elles t’offre un service « gratuit ».

Mais si les sociétés européennes ont déjà du mal à s’y mettre, imagine les sociétés hors Europe. Surtout quand certaines lois du pays en lui-même ne sont juste pas compatibles avec le respect de tes droits.

Et si tu veux attaquer l’organisation en justice parce qu’elle a fait n’importe quoi avec tes données, si l’organisation est en Europe tu as de plus grandes chances à ce que cela aboutisse.

Clarifier l’utilisation que l’organisation souhaite faire de tes données (CTRL+F « finalité », « objectif », « pourquoi »)

Tu ne seras peut-être pas étonné par certaines utilisations :

  • Pouvoir répondre à tes questions,
  • Remplir ses obligations légales,
  • Te faire parvenir ta commande.

Pour d’autres utilisations, les formulations restent vagues et tu peux légitimement te poser des questions :

  • « Améliorer les services » => Ok, mais euuh, comment mes données vont aider à cela ? Lesquelles exactement ?
  • « Permettre à leurs partenaires de t’envoyer des offres promotionnelles » => Ou pas ?

Pour chacune des utilisations, l’organisation doit te mentionner la base légale justifiant qu’elle puisse utiliser tes données. Donc, l’info devrait se trouver à proximité. Normalement. Cela peut être une loi, le contrat qui vous lie, un intérêt légitime, ton accord, etc.

Spoiler : c’est rarement le cas.

Souvent, les organisations listent à un endroit toutes les utilisations et à un autre toutes les raisons possibles qui les justifient. Sans lier les deux. Pas très pratique (ni très « conforme »), mais encore majoritaire.

Et si au final, j’ai tout lu et que je ne suis pas convaincu ?

Parfois, si je suis motivée, je pose directement des questions à l’organisation. Ou si je suis suffisamment scandalisée par ce que je lis (ou bien d’humeur taquine, kof kof).

Comment faire ? Via l’envoi d’un email à l’adresse qu’ils renseignent. (CTRL+F « DPO », « privacy », « @ »)

Via cette adresse email, tu peux aussi exercer tes autres droits (pas juste être informé).

Vu que le délai de réponse est de 30 jours, évite d’être trop pressé à utiliser l’outil.  Si tu veux avoir l’info avant de te mettre à l’utiliser, bien entendu.

D’autres fois, je décide de faire mon choix sans demander d’information supplémentaire:

  • Choix de ne pas utiliser cette app et de lui trouver une alternative plus sympa avec ma vie privée.
  • Choix de prendre le risque et d’utiliser quand même

Parfois, on n’a pas le choix, en vrai. Mais quand je l’ai et que c’est important pour moi, je choisis !

La Déclaration, c’est une obligation pour tous ceux qui voudraient utiliser tes données personnelles

(Avec quelques exceptions.)

Ton employeur est une organisation qui utilise tes données personnelles, au même titre que n’importe quelle organisation. Tout comme ton école ou les administrations.

Ton employeur te doit donc aussi des informations à ce sujet. Ces informations, tu les trouves peut-être dans la Déclaration sur le site de ton employeur.

Mais il se peut que tu la trouves ailleurs :

  • dans un règlement de travail,
  • dans une annexe à ton contrat de travail,
  • dans une procédure regroupant ses obligations envers toi ainsi que tes propres obligations.

Tes propres obligations ? Et oui ! Lorsque tu utilises des données personnelles au travail, tu dois respecter les consignes de ton employeur :

  • sur les outils tu dois utiliser pour effectuer tes tâches,
  • Comment tu dois protéger les données,
  • À qui tu dois signaler quand tu constates qu’il y a eu une fuite de données, etc.

D’ailleurs, si tu es un employeur, je t’invite à impliquer tes travailleurs, en leur donnant ces fameuses consignes. Enfin, sauf si tu es adepte de la conformité magique.

Le mot de la fin

Et voilà !

J’espère que cet article te motivera à créer ta méthode pour décider si tu vas lire ou snober les Déclarations :

  • Trouve les critères qui te parlent au niveau de ton contexte.
  • Deviens l’as du CTRL + F

Le carrousel Instagram de cet article :

 

Note :
*L’étude que je mentionne : *The Cost of Reading Privacy Policies*, I/S: A Journal of Law and Policy for the Information Society 2008 Privacy Year in Review issue http://www.is-journal.org/, accessible en Anglais (version prépublication) ici 


Si tu veux en savoir plus sur les enjeux du RGPD, je t’invite à t’abonner au flux RSS de ce blog, écouter mon Podcast « I run on privacy » saison 2 ou me suivre sur mon compte Instagram du même nom.

Retour au Blog 

Sur le(s) même(s) thème(s) 

w

Je suis à votre écoute 5j/7, alors n'hésitez pas !

Du lundi au vendredi, je réponds à toute demande de prestation ou de renseignement.