6.6. Données personnelles
Temps de lecture de la page : 23 min
La CNIL définit les données personnelles ainsi : « Toute information se rapportant à une personne physique identifiée ou identifiable. »
La collecte et le traitement de ces données sont encadrés par :
- un ensemble de principes et de règles : le RGPD (Règlement Général à la Protection des Données) qui assure la protection des libertés individuelles.
- une loi française qui transpose le règlement au niveau national (la loi Informatique et Libertés relative à l'informatique, aux fichiers et aux libertés).
Cette section traite les éléments liés au RGPD qui s'inscrivent dans une démarche de design éthique, comme par exemple :
- Définir une finalité de traitement (que faire des données ?) ;
- Collecter les informations essentielles seulement (minimisation des données) ;
- Être transparent sur l'usage des données (informer les personnes et leur laisser le contrôle) ;
- Recueillir le consentement ;
- Choisir les bons outils.
Toutes les obligations du RGPD ne sont donc pas couvertes dans le guide. Par ailleurs, travailler sur l'aspect design du RGPD doit se faire en collaboration avec un expert de ces questions. Les DPO (délégué à la protection des données) sont des interlocuteurs privilégiés.
Ce chapitre a été rédigé sous la direction d’Estelle Hary, designeuse au Laboratoire d’Innovation Numérique de la CNIL (LINC).
Réfléchir à l'usage des données collectées
Déterminer une finalité du traitement est obligatoire pour traiter des données personnelles. Cette finalité doit toujours être associée à une base légale pour que le traitement soit légal. Pour définir la base légale, il est recommandé de se rapprocher d’un professionnel du droit.
Par exemple, une finalité du traitement pourrait être « gestion de l’envoi de la newsletter ». Le site va collecter des adresses emails et les traiter.
Autres exemples de traitement :
- Gestion d’un fichier client
- Gestion de commandes
Collecter les informations essentielles seulement
Les données personnelles collectées doivent être limitées au strict nécessaire pour réaliser la finalité du traitement. Il s'agit du principe de minimisation des données : Article 5.1.c du RGPD.
| Exemple de collecte de données nécessaires | Exemple de collecte de données non nécessaires |
|---|---|
| Afin de gérer le panier de commandes, un site de vente en ligne a besoin d’utiliser certaines données personnelles. Cela passe par l’utilisation d’un cookie. Les cookies gardent en mémoire les éléments ajoutés au panier et permettent à l'utilisateur de passer commande. | Une personne souhaite souscrire à un abonnement pour un service numérique de prise de notes. Dans le formulaire de souscription, elle est obligée d’indiquer son sexe. Or cette information n’est pas strictement nécessaire pour gérer l’abonnement du côté du service. |
Informer les personnes sur l’usage des données
Dès lors que des données personnelles sont traitées, le principe de transparence doit être respecté (Art 12 du RGPD). Ce principe implique d’informer les personnes sur le traitement de leurs données personnelles.
Les informations à transmettre
Les informations à fournir aux personnes sont décrites dans :
- l’article 13 du RGPD pour une collecte directe de données ;
- l’article 14 du RGPD pour une collecte indirecte .
Ces obligations comprennent par exemple :
- l’identité du responsable de traitement (qui traite les données ?) ;
- les finalités du traitement (pourquoi les données sont-elles traitées ?) ;
- les destinataires (avec qui sont partagées les données ?).
Pour que l’utilisateur comprenne la façon dont ses données sont traitées, les informations doivent être :
- facile d’accès : la personne doit pouvoir les trouver sans difficulté ;
- facile à comprendre : via l'utilisation de termes simples, phrases courtes, structuration de l’information, etc.
Quand informer
Il est obligatoire de fournir les informations au moment de la collecte des données. Par exemple lorsqu’une personne s’inscrit à un site.
Il est aussi possible d’informer de façon contextuelle, au cours de l’usage d’un site ou d’un service. Cela permet de :
- situer un traitement de données dans un contexte d’usage précis ;
- donner des informations concises aux utilisateurs ;
- rappeler à l’utilisateur que ses données sont traitées.
Par exemple, une application utilisant la géolocalisation peut :
- notifier l’utilisateur que la donnée est collectée ;
- rappeler son utilisation ;
- proposer de gérer ses préférences.
L’organisation de l'information à transmettre
Les informations à transmettre sur l'usage des données doivent être en permanence disponibles sur le site. L'intégralité des informations doit apparaître sur une page : c’est la politique de confidentialité.
Afin de faciliter la compréhension et l’assimilation des informations, il est possible de recourir à l’information par niveau. Un premier niveau d’information sur le traitement est fourni à l’utilisateur (identité du responsable de traitement, finalités, droits des personnes). Cette page comprend un lien redirigeant vers une page contenant l’intégralité des informations requises (par exemple : politique de confidentialité).
Le site Données & Design, édité par le LINC propose des briques de conceptions et des exemples pour :
- structurer les informations : par finalités, par données et/ou par question et utiliser niveaux d’information ;
- rendre clair : donner des définitions, des exemples et/ou utiliser des vidéos ;
- synthétiser : mettre à disposition des résumés et utiliser des tableaux ;
- attirer l’attention : utiliser des notifications ou des icônes ;
- naviguer : utiliser des mots clés ou permettre une navigation simple dans les contenus grâce à une table des matières navigables.
Information par niveau
L’entreprise Juro a voulu revoir ses informations relatives aux données personnelles. La designer Stefania Passera a travaillé pour la rendre simple et compréhensible d’accès. Elle se compose maintenant de deux niveaux :
- Une vue d’ensemble du traitement, avec les informations clés. Le regard du lecteur est guidé grâce à la structure et aux icônes.
- Une politique de confidentialité, dont la navigation, le contenu et la structure ont été travaillés afin de la rendre simple à lire.
Évolution du traitement des données
Il est obligatoire d’informer les personnes dès que :
- le traitement de données est modifié de façon importante (exemple : nouvelle finalité)
- un événement particulier se produit (exemple : violation de données)
L’information doit être pérenne et pouvoir être (re)trouvée facilement. On peut cependant aussi communiquer via un email, une notification dans l’application, etc.
Être transparent sur le partage des données avec des tiers
Si votre service partage les données personnelles des utilisateurs avec des tiers, il est essentiel d'être transparent et compréhensible sur cette diffusion avec les utilisateurs. Ceux-ci doivent comprendre :
- qui aura accès aux informations ;
- pour quelles raisons (monétaires, partage d’information, relation contractuelle, etc.).
Pour aller plus loin :
- Présentation d'un des concepts clés du RGPD : l'information (du traitement des données aux utilisateurs)
- Conformité RGPD : comment informer les personnes et assurer la transparence ?
- Privacy by design: building a privacy policy people actually want to read (anglais) : retour d'expérience du CEO de Juro sur la refonte leur politique de confidentialité
Permettre aux personnes de contrôler leurs données personnelles
Le principe de transparence implique également d’informer les personnes sur l’existence de leurs droits, et d’en faciliter l’exercice. Ces droits permettent aux usagers de garder la main sur leurs données personnelles.
En plus du droit à l’information, le RGPD prévoit jusqu’à 7 autres droits que la personne peut exercer :
- droit d’accès (Article 15) : permettre de savoir si des données nous concernant sont traitées, pouvoir y accéder ;
- droit de rectification (Article 16) : permettre la modification des données ;
- droit d’opposition (Article 21) : permettre de s’opposer à l'utilisation des données ;
- droit à l’effacement (Article 17) : permettre l’effacement des données ;
- droit à la limitation (Article 18) : permettre de stopper temporairement l’utilisation des données ;
- droit à la portabilité (Article 20) : permettre de récupérer une partie de ses données (pour son propre usage ou pour les fournir à un autre organisme) ;
- droit à l’intervention humaine (Article 22) : informer des décisions automatiques et permettre d'avoir une intervention humaine. Ce droit concerne les décisions automatiques ayant un effet juridique ou affectant sensiblement la personne.
Tous les droits ne s’appliquent pas dans tous les cas. Cela va dépendre de la base légale associée à la finalité du traitement. Par exemple, le droit d’opposition peut être exercé seulement lorsque le traitement :
- est nécessaire à l'exécution d'une mission d'intérêt public ou ;
- s’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement.
Faciliter l'exercice des droits
Plusieurs modalités s’appliquent à l’exercice d’un droit (Article 12). À noter que l’exercice d’un droit est gratuit.
Il est d’abord important de faciliter l’accès au droit. Cela signifie que la personne doit pouvoir :
- trouver facilement l’endroit où elle peut exercer son droit ;
- identifier facilement la personne vers qui se tourner pour le faire.
L'exercice de certains droits peut être intégré aux parcours utilisateurs en :
- offrant des façons intuitives d’exercer un droit ;
- étant clair sur la portée de l'action.
Par exemple :
- Une page de modification d'un compte permet d'exercer son droit de rectification.
- Un bouton "Supprimer le compte" permet d'exercer le droit à l’effacement.
L’intégration à l’interface d’un service de l’exercice d’un droit ne remplace pas des modalités d’exercice plus formelles (exemple : email au DPO, formulaire de contact dédié). D’ailleurs, le recours à certains droits ne peut pas être intégré dans le parcours. Il est ainsi important de penser de façon globale les parcours d’exercice des droits et de guider les personnes dans leur exercice.
| Exemple |
|---|
| Une page « Mon profil » permet de voir ses informations (pseudonyme, adresse email, etc.). Par ailleurs, l'entreprise collecte d'autres données personnelles (l'adresse IP par exemple) qui n'apparaissent pas sur la page profil. Ici, il faudrait alors ajouter une courte information : « D'autres données que celles affichées sont collectées. Vous pouvez exercer votre droit d'accès via <lien de redirection vers la modalité formelle> ». |
Des exemples de paramétrages sont documentés sur le site Données & Design, édité par le LINC :
- combiner information et action ;
- mettre à disposition un tableau de bord ;
- donner des feedbacks suite à l’action de la personne.
Informer sur la suite de l'exercice des droits
L'exercice des droits implique d’informer de ce qu’il se passe une fois que sa demande est faite.
Par exemple, indiquer que la demande est en cours de traitement et donner un délai approximatif de réponse :
- Dans les cas simples, ce délai ne doit pas dépasser un mois.
- Dans les cas complexes, il est possible d’étendre à deux mois le délai de réponse. Dans ce cas, il faut expliquer les motifs de cette extension.
Favoriser l'interopérabilité via la portabilité des données
Le droit à la portabilité (Art. 20 du RGPD) permet aux personnes de récupérer leurs données, pour un usage personnel ou pour les transférer vers un autre service.
Dans une démarche éthique, faciliter la portabilité permet aux personnes de ne pas être « prisonnières » d’une plateforme. L’utilisateur peut alors choisir la plateforme qui lui donne les meilleures conditions.
Le droit à la portabilité peut s’exercer :
- si le traitement de données est basé sur le consentement de la personne ou un contrat (historique d’achat, coordonnées, données issues d’un objet connecté…).
- sur des données produites activement ou générées par la personne (par exemple, une playlist construite manuellement). Les données « inférées » ne sont pas concernées par ce droit (par exemple, des recommandations personnalisées).
Les données doivent être fournies :
- dans un format structuré et lisible par une machine. Les formats ouverts, comme le CSV ou le JSON, sont particulièrement adaptés à la portabilité. En revanche, le format PDF ne répond pas à ces critères.
- de manière sécurisée (par exemple, protégé par une authentification ou un mot de passe). Un lien de téléchargement public n'est pas sécurisé : d’autres personnes pourraient télécharger les données.
Pour aller plus loin :
Recueillir le consentement
Le consentement est une des bases légales prévues par le RGPD (Article 6, par.1.a). Il autorise un traitement de données personnelles. Il est obligatoire pour certains traitements, spécifiquement encadrés par la loi :
- la prospection commerciale, encadrée par le Code des postes et des communications électroniques ;
- le traitement de données biométriques (données sensibles, uniques et permanentes, comme l’ADN, les empreintes digitales, la voix, etc.).
Recueil du consentement
Dans cette étude de cas du LINC, le client peut indiquer s’il souhaite recevoir des offres personnalisées par mail. Il peut sélectionner des offres provenant :
- de la plateforme dont il est client ;
- des partenaires de cette plateforme.
Cette modalité d’expression du consentement est particulièrement visuelle et claire.
Modalités du consentement
Pour que le consentement soit considéré comme valide, il doit respecter 4 principes :
- libre : la personne peut accepter ou refuser de donner son accord. Si elle refuse, elle ne doit pas subir de conséquences négatives (par exemple : expérience du service dégradée) ;
- spécifique : la demande de consentement concerne un seul usage des données. La personne doit pouvoir accepter ou refuser de donner son consentement pour chacune des finalités ;
- univoque : la personne doit faire une action active pour signifier son accord. Par exemple, cocher une case ou cliquer sur un bouton « J’accepte ». Une inaction de la part de la personne n'est pas un accord au traitement de ses données. Par exemple, une non-réponse à un email demandant le consentement ;
- éclairé : la personne doit clairement comprendre à quoi elle consent. Le principe de transparence doit aussi être respecté.
Par ailleurs, la personne a le droit de retirer son consentement à tout moment. Cela doit être aussi simple que de donner le consentement (pas d'étapes supplémentaires). Ainsi, si une personne a coché une case pour donner son consentement, il lui suffit de la décocher pour le retirer, sans message de confirmation.
Conseils pratiques pour recueillir le consentement
Des exemples de recueillement de consentement sont proposés sur le site Données & Design, du LINC. On y voit comment :
- s’assurer que les modalités de recueil du consentement sont accessibles (inclusion) ;
- utiliser des niveaux d’information ;
- combiner information et action ;
- mettre à disposition un tableau de bord.
Pour aller plus loin :
Choisir avec soin ses outils d’analyses statistiques
Les différents outils d’analyses
Les analyses statistiques sont courantes. Elles permettent notamment d’évaluer la fréquentation ou les performances d'un service numérique. Ces analyses statistiques se font généralement via le dépôt de traceurs, par exemples des cookies, des pixels invisibles, etc.
En choisissant avec soin ses outils et leur paramétrage, on peut ainsi :
- garantir un meilleur respect de la vie privée des personnes, en collectant le moins d'informations possibles ;
- bénéficier d’une exemption au recueil du consentement et simplifier l’interface. Car il ne sera plus nécessaire de demander le consentement.
L’exemption est possible si l’outil est paramétré pour :
- produire des données statistiques anonymes ;
- permettre de définir une finalité strictement limitée à une analyse statistique du site.
Les paramètres d’analyse préservant la vie privée
Le tableau ci-dessous résume les points d’attention à avoir par type de statistiques.
| Type de statistique | Données concernées | Granularité de l'agrégation statistique | Point d’attention vie privée | Bonne pratique |
|---|---|---|---|---|
| Fréquentation | Nombre de visites | Par page | ||
| Source des visites | Url de pages externes ou internes (referrer) | Par page, agrégée par jour | Associer une visite unique avec la liste des pages sources peut être utilisé pour faire un suivi de la navigation de l’utilisateur et est peu respectueux de la vie privée des personnes. | Suivre la source des visites au niveau journalier est suffisant. Cela permet de comprendre quels sites génèrent des visites. |
| Matériels et navigateurs utilisés pour accéder au service | Terminal, navigateur et taille d’écran | Par page, agrégée par jour | Identifier une personne au-travers des caractéristiques techniques de son matériel (fingerprinting) n'est pas respectueux. | Avoir ces données à un niveau journalier est suffisant pour comprendre les types de matériels des visiteurs. Par exemple, pour améliorer le fonctionnement du site pour tel navigateur. |
| Temps de chargement des pages | Temps de chargement des pages | Par page, agrégée par heure | ||
| Usage des pages | Temps passé sur chaque page, taux de rebond, profondeur de défilement | Par page, agrégée par jour | ||
| Interactions utilisateurs | Enregistrement des actions des utilisateurs (e.g. clics, sélection, etc.) | Par page, agrégée par jour | ||
| Nationalités utilisateurs | Zone géographique d’origine des requêtes | Par page, agrégée par jour |
Les outils conforme au RGPD
Certains outils transfèrent les données vers les États-Unis. Cette pratique est actuellement non conforme au RGPD.
Google Analytics fait par exemple partie des outils à ne pas utiliser. En 2022, la CNIL a mis en avant le non-respect du RGPD par cet outil. Les organismes utilisant Google Analytics ont été mis en demeure.
La CNIL a publié une liste d’outils, avec des guides de paramétrage pour réaliser des statistiques respectueuses de la vie privée.
6.5 Cookies et trackers