Et s’il n’y avait pas que les organismes qui pouvaient se faire sanctionner pour non-respect du RGPD, mais aussi les particuliers ?

Oui, oui, je parle bien de la possibilité pour Mr/Mme Tout le monde (toi, moi, quand nous ne travaillons pas) de se faire sanctionner pour ne pas avoir respecté les obligations imposées par le RGPD à toute personne (organisme ou individu) qui souhaite utiliser des données personnelles.

Tu penses que c’est impossible ?

Je t’invite à continuer ta lecture.

Le RGPD, deux salles, deux ambiances

Le RGPD, c’est une gentille bestiole :

• qui impose des obligations aux organismes qui veulent utiliser tes données personnelles ;
• qui te donne des droits pour reprendre du contrôle sur tes données personnelles.

Il est là pour te protéger, plutôt sympa.

Mais si tu le nourris après minuit ou si tu le mouilles*… euh, je veux dire, si tu utilises les données personnelles d’autres gens en dehors de « ta sphère privée » sans respecter tes obligations liées au RGPD, tu peux aussi être sanctionné !

(* si tu penses que je fatigue, retourne regarder l’illustration de cet article, tu comprendras mieux)

Le critère qui change tout : le contexte de ton utilisation des données

Le RGPD prévoit que lorsqu’un particulier utilise des données personnelles dans le cadre d’une activité strictement personnelle ou domestique (la fameuse « sphère privée »), il n’est pas soumis aux obligations du RGPD.

Dans ce cas-là, tout va bien, pas de stress pour toi et moi.

Pour information, les organismes qui nous fournissent les outils/services qui nous servent à « utiliser » les données personnelles devront bien, eux, respecter les obligations du RGPD.

Entre autres donc, nous permettre d’exercer nos droits par rapport aux données que nous leur confions dans le cadre de cette utilisation.

Pas question pour eux de se reposer sur l’exception de « sphère privée » pour ne pas mettre en place ce qu’ils doivent mettre en place.

Mais tout ce que nous faisons en tant que particulier ne rentre pas forcément dans ce contexte de « sphère privée », figure-toi !

Du coup, ça veut dire quoi « une utilisation dans notre sphère privée » ?

C’est donc toute utilisation de données personnelles qui est effectuée par une personne physique (toi ou moi, disons) dans un contexte strictement personnel / domestique, c’est-à-dire sans lien avec une activité professionnelle, commerciale ou associative.

Exemples :

• envoyer des cartes de vœux à tes proches
• partager une photo de groupe sur un compte Instagram privé
• écrire dans ton journal intime des anecdotes sur tes proches

Par contre, voici une série d’exemples qui ne sont pas des cas d’utilisation dans la « sphère privée » :

• partager une photo de groupe sur la page Facebook de ton club de sport ou sur ton compte Instagram public
• régler la caméra de surveillance de ta maison de façon à ce qu’elle filme une partie du trottoir (espace public), le jardin de ton voisin ou encore le parking de la copropriété.
• faire une compile de séquence de conduite (où tu filmes avec une caméra « dashcam » d’autres véhicules avec leur plaque d’immatriculation) et la publier sur YouTube.
• partager des infos (date de naissance, nom, etc) sur un groupe WhatsApp d’une trentaine de personne (pas des amis/proches).
• écrire un article concernant quelqu’un et le publier sur ton blog, sans l’accord de cette personne (bonus ++ si tu le fais version diffamatoire)
• envoyer un email à une liste de distribution sans mettre les gens en copie cachée
• transférer le cv d’un candidat (qui postule chez ton employeur) vers ton adresse email privé parce que tu veux t’en inspirer pour refaire ton cv

Dans ces situations là, tu devras donc toi aussi veiller à respecter les droits des personnes dont tu utilises les données ainsi que toutes les obligations définies par le RGPD.

Qu’est-ce que tu risques si une personne porte plainte ?

Toute personne physique dont tu aurais décidé d’utiliser les données personnelles pourrait donc porter plainte contre toi, pour demander à ce que tu sois sanctionné.

Il lui est possible de le faire auprès de l’autorité de protection des données, mais aussi auprès des tribunaux.

Je suis allée faire un tour sur un site recensant toutes les sanctions prononcées, par pays, pour pouvoir te donner quelques chiffres :

• Environ 80 cas dans toute l’Europe, pour environ 1600 sanctions recensées par le site (majoritairement en Allemagne et en Espagne).
• En majorité, les plaintes portent sur des caméras de surveillance mal positionnées
• Les amendes vont de 120 € à 10.000 €

On est d’accord, ça arrive moins souvent que des sanctions à des organisations (et les amendes sont nettement moins élevées). Mais je pense que toi et moi, on n’a pas le même budget « Amende » que les GAFAM. => On s’en passerait bien quoi.

Comment faire pour minimiser les risques si tu as un doute ?

Donc dans le doute, quand tu veux faire quelque chose qui nécessite que tu utilises les données personnelles de certaines personnes :

• Préviens ces gens avant d’utiliser leurs données, surtout si tu les utilises d’une manière surprenante / inattendue pour elles.
• Ne refile pas leurs données au premier venu (que ce soit un prestataire de service ou une application..), soit un consommateur exigeant !
• Ne laisse pas leurs données personnelles traîner n’importe où (physiquement et en ligne) et empêche d’autres personnes de pouvoir y accéder.

Souvent, c’est lorsqu’ils sont (désagréablement) surpris que les gens se plaignent.

Pour moi, c’est le minimum de la courtoisie, en vrai.

Au delà des enjeux financiers

Et en vrai (bis), y’a pleiiin d’autres raisons qui font que tu as envie de faire attention à leurs données (et aux tiennes). Et si pour toi, donner ton adresse ou ton numéro de téléphone, ce n’est « pas un problème », souviens-toi que chacun a ses propres sensibilités et surtout son propre contexte de vie.

Difficile donc de te baser sur ton ressenti pour déterminer si c’est ok ou non de faire ce que tu as prévu de faire avec les données d’autrui.

Parce que oui, protéger tes données personnelles, celles des autres, protéger la vie privée, ça a des impacts concrets.

Et pas simplement de te permettre d’éviter les amendes, mais ça se prend. 😉

Tu veux en savoir plus sur la protection des données et ses enjeux ?

• Si tu as un compte Instagram et que tu souhaites y voir de temps à autre des informations sur tes droits, les enjeux ou encore des photos du Stagiaire IT (indice, il est fluffy et dort 20/24h), abonne-toi à mon compte irunonprivacy.
• Tu peux aussi ajouter ce blog à ton flux RSS pour voir mes nouveaux articles.
• Et si tu as besoin d’aide pour intégrer la protection des données dans tes pratiques quotidiennes professionnelles, tu peux également me contacter à info@legallymel.com