Xavier Delporte (Cnil) "La Cnil va publier un texte afin d'imposer aux commerçants d'informer leurs clients sur la destination de leurs données"
A l'occasion de la journée mondiale de la protection des données le 28 janvier, le chef du service de l'exercice des droits et des plaintes de l'autorité administrative sensibilise les entreprises et les consommateurs.
JDN. Quels sont les points de vigilance concernant la protection des données en ligne ?
Xavier Delporte. Si on parle des consommateurs naviguant sur un site e-commerce, la première chose à faire est de vérifier si le site dispose de mentions légales et d'une politique de confidentialité. Parmi les plaintes que l'on reçoit à la Cnil, on se rend compte que beaucoup de personnes commandent sur des sites sans avoir vérifié au préalable ces éléments. Ils rencontrent alors des difficultés pour résoudre leurs problèmes car le site est basé en Asie ou en Amérique du Sud. Il faut s'assurer que le site est édité par une société qui a une véritable existence. Par ailleurs, les sites demandent un certain nombre d'informations nécessaires dans le cadre d'une commande mais certaines ne sont pas utiles et servent d'autres sites Internet à des fins publicitaires ou de prospection commerciale. Evidemment, il n'est pas interdit de recevoir des mails publicitaires mais ce doit être le choix du consommateur. Si le site ne permet pas de comprendre ce qui est fait avec vos données personnelles, il faut éviter de passer la commande.
Quels recours sont à la disposition des internautes en cas d'utilisation de données non accordée ?
Tout d'abord, il faut faire une réclamation auprès du site. Si on a été vigilant en amont, c'est plus facile, car on pourra entrer en contact avec un délégué à la protection des données ou une équipe dédiée à ces questions sur le site, et cela va aider à régler la difficulté. Si on n'a pas du tout fait attention, il ne sera pas possible de faire un recours directement auprès du site ou de la société qui l'édite. Dans ce cas, on peut se tourner vers la Cnil. On peut nous adresser une plainte afin que l'on intervienne auprès du site. Et de la même manière, si le site est bien identifié, qu'il est basé en France et qu'il y a un délégué à la protection des données, notre intervention sera plus facile que si le site est basé au Kazakhstan ou à Singapour.
Comment gérez-vous les différentes plaintes des consommateurs ?
Nous enregistrons des plaintes chaque année. Sur les sites e-commerce, elles concernent principalement l'utilisation des données des clients à des fins commerciales. En clair, il s'agit de la transmission des données par le site e-commerce à des partenaires commerciaux qui alimentent ensuite des bases de données et de prospection.
Sur les sites, nous vérifions si certaines cases sont à cocher par le consommateur et si celles-ci sont pré-cochées ou non. Nous regardons aussi la manière dont l'information est présentée, si celle-ci est claire ou ambigüe. Ces dernières années, nous recevons également des plaintes concernant la conservation des données bancaires à la suite d'un achat. Depuis 2021, au niveau européen, un site e-commerce doit demander et obtenir le consentement du client afin de conserver les données bancaires.
Depuis l'entrée en vigueur du RGPD, la protection des données est devenue un sujet de société. Quelles sont les marges de progression des entreprises ?
Nous ne sommes pas au bout du sujet car l'innovation ne s'arrête pas et il faut pouvoir la rendre conforme au droit. Nous avons la chance et la difficulté que nos textes, comme le RGPD, soient dans l'ensemble des textes de principe. Ce ne sont pas des textes très prescriptifs et détaillés. Il faut les confronter à la réalité au sein des entreprises en sachant que le texte est sujet à interprétation. Il faut donc trouver un équilibre et intégrer dans les processus internes des entreprises, dès le départ, la question de la protection des données. Les entreprises doivent faire ce travail pour éviter de rencontrer des difficultés par la suite. L'avantage d'un texte comme le RGPD, qui pose des principes, c'est qu'il est souple. Le RGPD permet des innovations en fixant les règles à respecter pour innover. La protection des données n'est pas juste une question de juriste en entreprise, c'est un sujet qui concerne d'abord le marketing et la communication. Les politiques de confidentialité peuvent prendre la forme d'un schéma, d'une vidéo, à travers des modes plus ludiques qui valorisent la transparence de la démarche.
Et côté consommateurs ?
Si nos concitoyens attendent que la Cnil protège seule leurs données, ce sera compliqué car nous sommes 200. Tous les consommateurs doivent se sentir concernés par le sujet de la protection de leurs données. Les violations de données récemment médiatisées participent à l'éveil collectif et à l'importance de faire attention à ses données car elles circulent partout, tout le temps.
Des outils existent-ils pour connaître l'utilisation qui est faite des données ?
Concernant les cookies, la Cnil a développé un outil que n'importe quel internaute peut installer sur son ordinateur afin d'avoir connaissance des cookies installés par un site et auprès de qui ceux-ci sont partagés. Pour reprendre une expression utilisée à la Cnil et par ses homologues européens, les consommateurs doivent pouvoir maîtriser leurs données. Ceci passe par la connaissance via la politique de confidentialité des sites. Ensuite, s'il est question des bases de données clients qui sont partagées à des sociétés spécialisées dans la constitution de dossiers à des fins de prospection commerciale ou autre, la Cnil travaille aussi sur ce sujet-là. Le but est que l'information véhiculée par le commerçant à ses clients soit la plus claire possible. Nous publierons d'ailleurs prochainement un texte afin d'imposer juridiquement aux commerçants d'informer leurs clients sur la destination de leurs données.
Quel type d'acteurs est le plus gourmand en termes de captation des données personnelles ?
On dit généralement que si c'est gratuit, c'est vous le produit. Certaines entreprises mondiales offrent des services gratuits mais se payent d'une manière ou d'une autre. D'un autre côté, beaucoup d'entreprises sous une bannière éthique s'interdisent de mettre à disposition de tiers les données de leurs clients. Ce sont des modèles économiques différents. Finalement, les consommateurs et les internautes sont amenés à faire des choix dans leurs usages au quotidien.
Juriste de formation, Xavier Delporte est chef du service de l'exercice des droits et des plaintes de la Cnil depuis 2018. Auparavant, il a été adjoint au chef du service des relations avec les publics pendant sept ans.