Les politiques de confidentialité expliquent comment les organisations collectent et sécurisent vos informations personnelles, mais peu de personnes les lisent. Voici comment vérifier rapidement une politique de confidentialité pour reprendre le contrôle de vos données.
Lors de votre dernier achat en ligne, vous avez peut-être jeté un œil aux conditions d’utilisation, ne serait-ce que pour vérifier les détails de livraison ou de retour. Mais avez-vous lu la politique de confidentialité ? Si ce n’est pas le cas, vous n’êtes pas seul. Nous expliquons pourquoi vous devriez le faire et comment trouver le diable dans les détails pour protéger votre vie privée et votre sécurité.
- Qu’est-ce qu’une politique de confidentialité ?
- Pourquoi les gens ignorent les politiques de confidentialité
- Pourquoi vous devriez lire une politique de confidentialité
- Que rechercher dans une politique de confidentialité
- Comment passer rapidement en revue une politique de confidentialité
- Accepter ou ne pas accepter, telle est votre question
Qu’est-ce qu’une politique de confidentialité ?
Une politique de confidentialité, également appelée avis de confidentialité, explique comment une organisation collecte, stocke et utilise les informations personnelles que vous fournissez. La plupart des sites internet doivent expliquer ce qu’ils font de vos données pour répondre aux obligations légales, telles que le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne (RGPD)(nouvelle fenêtre).
Avec les conditions d’utilisation, les avis de confidentialité sont des documents juridiques essentiels qui défendent votre droit fondamental à la vie privée. Alors pourquoi seulement 9 % des adultes aux États-Unis disent-ils lire toujours la politique de confidentialité d’une entreprise(nouvelle fenêtre), malgré une préoccupation croissante pour la vie privée en ligne ?
Pourquoi les gens ignorent les politiques de confidentialité
Les politiques de confidentialité sont généralement longues, décousues et notoirement difficiles à comprendre, comme l’a montré un projet sur la confidentialité du New York Times(nouvelle fenêtre). Découragés par un mur de jargon juridique, la plupart des gens n’essayent même pas.
Pour beaucoup d’entreprises, c’est l’idée. Elles rédigent intentionnellement leurs politiques pour leur donner une liberté maximale quant à l’utilisation de vos données. Elles veulent souvent monnayer et vendre vos détails personnels à des entreprises qui font de la publicité et à des courtiers en données, tout en vous empêchant d’exercer votre droit au refus.
Mais ce qui arrive à vos données est votre choix. Il vous suffit de comprendre suffisamment ces avis de confidentialité pour faire ce choix.
Pourquoi vous devriez lire une politique de confidentialité
Notre acceptation aveugle des conditions d’utilisation et des avis de confidentialité est au cœur de ce que Shoshana Zuboff a appelé le capitalisme de surveillance(nouvelle fenêtre). Vous donnez votre « consentement », bien que vous ayez à peine lu ou compris pourquoi. Les entreprises peuvent alors abuser de vos données à leur guise, avec des conséquences significatives pour vous et la société.
Pour vous, le profilage psychologique(nouvelle fenêtre) et les publicités ciblées de plus en plus sophistiquées signifient bien plus que de simples spams dans votre boîte de réception. Il s’agit de prédire et, pourrait-on dire, de contrôler vos actions et les choix que vous faites dans la vie, ce que Bruce Schneier a nommé la manipulation basée sur la surveillance(nouvelle fenêtre).
Pour la société dans son ensemble, le scandale Cambridge Analytica(nouvelle fenêtre) a montré comment un tel ciblage personnalisé a le potentiel de saper notre liberté et notre démocratie. « ‘Personnalisation’ sonne comme un traitement VIP », argumente Carissa Véliz dans Privacy is Power(nouvelle fenêtre), « jusqu’à ce que vous réalisiez que c’est un terme utilisé pour décrire des techniques conçues pour manipuler votre esprit unique ».
Lire une politique de confidentialité est un moyen petit mais significatif de lutter. D’abord, vous devez déterminer quelles données personnelles une organisation recueillera et ce qu’elle en fera.
Ensuite, offrent-ils des moyens de se désinscrire de cette collecte de données ? Ou y a-t-il des options pour limiter le partage d’informations avec des tiers, tels que les courtiers en données et les entreprises qui font de la publicité ?
Troisièmement, est-il clair comment ils sécuriseront vos informations personnelles ? Sont-elles chiffrées de manière sécurisée partout ? Et combien de temps les conserveront-ils ?
Globalement, l’inscription en vaut-elle le risque ? Plus vous donnez de données personnelles, plus vous risquez de devenir victime d’une fuite de données ou d’un vol d’identité(nouvelle fenêtre).
Le plus important, vérifiez la politique de confidentialité avant de cliquer sur « accepter ». Et s’ils n’en ont pas, arrêtez-vous là.
Que rechercher dans une politique de confidentialité
Soyons réalistes : à moins que vous ne soyez avocat, vous n’aurez probablement pas les connaissances juridiques ou le temps de lire les avis de confidentialité mot pour mot. Cela pourrait vous rendre fou.
Nous nous concentrerons donc sur 10 questions clés et suggérerons des moyens de survoler une politique pour y répondre.
1. Quelle loi régit le traitement de mes données personnelles ?
D’abord, vous devez savoir si l’organisation est soumise à une législation forte sur la protection des données, ce qui vous donnera certains droits que la politique de confidentialité devrait clarifier. Par exemple, si l’organisation est située dans un État de l’Union européenne ou traite les données personnelles de personnes dans l’Union européenne, le RGPD s’appliquera la plupart du temps.
La politique indique-t-elle quelle loi régit la politique de confidentialité ? (Pour en savoir plus sur le RGPD et les réglementations américaines et britanniques, consultez les questions fréquentes juridiques ci-dessous.)
2. Quelles données personnelles collectent-ils ?
Les organisations peuvent collecter une variété d’informations personnelles, allant de votre nom et adresse à vos informations bancaires et votre emplacement physique.
Listent-elles les informations personnelles qu’elles collectent ? Le type et la quantité de données collectées sont-ils appropriés au produit ou service pour lequel vous vous inscrivez ?
3. Comment collectent-elles vos données personnelles ?
Il y a deux façons principales pour les organisations de collecter vos données :
- Vous fournissez des détails lorsque vous vous inscrivez ou passez une commande.
- Elles utilisent des cookies ou d’autres technologies de suivi pour suivre vos achats et votre historique de navigation, ce qui peut être utilisé pour construire un profil plus détaillé de vous à partager avec les entreprises qui font de la publicité ou les courtiers en données.
Décrivent-elles clairement comment elles collectent les informations, quels cookies ou autres technologies de suivi elles utilisent, et comment vous pouvez vous en désinscrire ? (Elles peuvent vous rediriger vers un avis séparé sur les cookies.)
4. Comment utilisent-elles vos données personnelles ?
Ce qu’elles font avec vos données est parfois appelé « traitement » ou « activités de traitement ». Elles devraient énumérer les utilisations de vos informations personnelles, telles que :
- Exécuter vos commandes et gérer votre compte
- Vous contacter au sujet des mises à jour de leurs services
- Vous envoyer des e-mails concernant des offres spéciales pour des produits ou services
Précisent-elles comment elles utiliseront vos données ? Sous le RGPD, les communications marketing nécessitent votre consentement, elles devraient donc vous offrir un moyen simple de vous inscrire ou de vous désinscrire des e-mails marketing.
5. Quels sont les fondements juridiques pour utiliser vos données personnelles ?
Elles devraient expliquer le « fondement juridique du traitement » de vos données. Sous le RGPD, les deux plus courants sont :
- Intérêt légitime : ce que la plupart des gens considéreraient comme raisonnable, tel que pour protéger les utilisateurs ou prévenir la fraude
- Consentement : lorsque vous acceptez explicitement quelque chose, par exemple pour recevoir des e-mails marketing
Indiquent-elles le fondement juridique pour les différentes manières dont elles utilisent vos données ? Si c’est votre consentement, expliquent-elles comment vous pouvez le retirer si vous changez d’avis ?
6. Avec qui partagent-elles vos données personnelles ?
Les parties pouvant accéder à vos données sont parfois appelées « processeurs » et « sous-processeurs ». Il peut s’agir de prestataires de services, comme des comptables ou des entrepreneurs indépendants ; des filiales ou des sociétés affiliées de l’entreprise ; ou des tiers annonceurs ou courtiers en données.
Précisent-elles qui a accès à vos données ? S’ils partagent vos informations avec des annonceurs ou des courtiers en données pour vous proposer des publicités « personnalisées » ou « basées sur les intérêts », vous offrent-ils un moyen simple de vous désinscrire de cela ?
7. Comment sécuriseront-elles vos données personnelles ?
Un avis de confidentialité devrait décrire où vos données seront stockées, si elles peuvent être transférées à l’étranger et les mesures de sécurité utilisées pour les protéger.
Précisent-ils comment et où vos données seront stockées ? Expliquent-ils si et quand vos données seront cryptées ?
8. Combien de temps conserveront-ils vos données personnelles ?
Les organisations devraient conserver vos données pendant le temps le plus court possible. Une politique de confidentialité devrait expliquer combien de temps ils prévoient de conserver vos données, y compris toute obligation légale les obligeant à les garder pendant une durée déterminée (par exemple, à des fins fiscales ou anti-fraude).
Expliquent-ils pourquoi et combien de temps ils conserveront vos données avant de les supprimer ?
9. Pouvez-vous corriger ou supprimer vos données ?
Une exigence fondamentale du RGPD est ce que l’on appelle le « droit à l’oubli » : votre droit d’accéder à vos informations personnelles et de les supprimer.
Pouvez-vous demander vos données personnelles à l’organisation et demander qu’elles soient corrigées ou supprimées de manière permanente à tout moment ? Expliquent-ils comment procéder ?
10. Comment saurez-vous s’ils changent la politique de confidentialité ?
Les politiques de confidentialité devraient être régulièrement mises à jour à mesure que les produits et les circonstances évoluent.
Indiquent-ils comment ils vous informeront des changements de la politique et comment vous pouvez vous désinscrire si vous ne les acceptez pas ?
Comment passer rapidement en revue une politique de confidentialité
Ne tentez pas de lire une politique de confidentialité ligne par ligne. Parcourez-la rapidement pour trouver les réponses aux principales questions ci-dessus, en utilisant les titres des sections comme guide.
Le moyen le plus simple de trouver les passages que vous devez lire plus en détail est de rechercher les mots-clés suivants (appuyez sur Control+F sur un ordinateur Windows ou Linux ou Command+F sur un Mac) :
- partage : Avec qui partagent-ils vos données personnelles et pourquoi ?
- tiers : Quels tiers — sous-traitants, affiliés, partenaires publicitaires et courtiers en données — ont accès à vos données ?
- contrôle : Quel contrôle avez-vous sur les données partagées ?
- consentement : Précisent-ils quel partage nécessite votre approbation ?
- choix, désinscription : Quelles options avez-vous ? Comment pouvez-vous vous désinscrire des e-mails marketing et des appels téléphoniques ou arrêter de partager vos données avec des tiers ?
- cookies : Quels cookies ou autres technologies de suivi utilisent-ils ? Pouvez-vous empêcher des tiers de placer des cookies sur vos appareils ?
- conserver, corriger, supprimer (ou effacer) : Avez-vous le droit de demander vos informations personnelles et de les faire supprimer ?
- stocker, stockage, crypter : Comment vos données seront-elles stockées en toute sécurité et pendant combien de temps ?
- droit : Quels sont vos droits, en particulier concernant le partage et la suppression des données ?
- contact : Qui pouvez-vous contacter pour vous plaindre de la gestion de vos données ?
Pour vous aider à décider, vous pouvez obtenir un aperçu général des pratiques de confidentialité de nombreuses entreprises en recherchant sur Conditions d’Utilisation ; Pas Lu (ToS;DR)(nouvelle fenêtre).
Accepter ou ne pas accepter, telle est votre question
Maintenant que vous avez lu ou survolé la politique de confidentialité, voici quelques réflexions finales avant de décider si vous l’acceptez.
Premièrement, ne vous laissez pas tromper par de fausses affirmations telles que « nous ne vendons pas vos données »(nouvelle fenêtre). Bien qu’une organisation puisse ne pas vendre directement vos données, si elle utilise de la publicité personnalisée, d’autres entreprises pourront payer pour des annonces et obtenir vos informations personnelles en retour.
Deuxièmement, méfiez-vous des formulations vagues. Si une entreprise parle constamment de ce qu’elle « peut » ou « pourrait » faire avec vos données, réfléchissez à deux fois avant de vous engager avec une entité qui prend votre vie privée à la légère.
Enfin, suivez le conseil de Marc Løebekken, responsable juridique chez Proton, qui a une règle d’or lorsqu’il lit (ou rédige) une politique de confidentialité : « Dites ce que vous faites. Faites ce que vous dites. »
L’organisation essaie-t-elle réellement d’expliquer ce qu’elle fait, met-elle régulièrement à jour sa politique de confidentialité et la respecte-t-elle ? Ou bien a-t-elle un avis de confidentialité ancien et opaque et un historique de partage de données douteux et de violations de la sécurité ? Si c’est le cas, réfléchissez encore.
Si vous êtes déterminé à reprendre le contrôle de vos données personnelles, vous pouvez également sécuriser votre e-mail avec notre Proton Mail crypté gratuit. Chez Proton, notre mission est de créer des moyens pour que chacun soit en sécurité en ligne et maître de ses informations en permanence, alors rejoignez-nous. Ensemble, nous pouvons créer un internet où la confidentialité est la norme.
FAQ juridiques sur la politique de confidentialité
Qu’est-ce que le RGPD et comment affecte-t-il les politiques de confidentialité ?
Le RGPD, abréviation de Règlement Général sur la Protection des Données(nouvelle fenêtre), est la loi sur la protection des données de l’Union européenne, entrée en vigueur en 2018. Il définit la manière dont les entreprises doivent protéger et sécuriser les données personnelles, y compris les exigences pour les politiques de confidentialité (voir le tableau ci-dessous). Toute organisation traitant des données personnelles de personnes dans l’UE doit se conformer au RGPD, où que se trouve l’organisation dans le monde. Pour plus de détails, consultez notre Guide complet de la conformité au RGPD(nouvelle fenêtre).
Les États-Unis ont-ils une loi sur la protection des données équivalente au RGPD ?
Les États-Unis n’ont pas de loi fédérale équivalente au RGPD, mais certains États ont commencé à adopter une législation similaire sur la protection des données, comme la California Consumer Privacy Act(nouvelle fenêtre). Pour en savoir plus sur la réglementation américaine, consultez le Guide complet des lois sur la confidentialité aux États-Unis(nouvelle fenêtre).
Le Royaume-Uni applique-t-il toujours le RGPD après le Brexit ?
Oui, le Royaume-Uni a conservé le RGPD après le Brexit dans une loi nationale connue sous le nom de UK GDPR(nouvelle fenêtre).
Vérifiez vos droits : Principaux articles du RGPD régissant les politiques de confidentialité
Article du RGPD | Titre | Sujets abordés |
---|---|---|
Art. 5 | Principes relatifs au traitement des données personnelles(nouvelle fenêtre) | Énonce les principes généraux : comment vos données personnelles doivent être traitées de manière transparente à des fins spécifiques et légitimes et conservées en toute sécurité pendant une durée limitée. |
Art. 6 | Licéité du traitement(nouvelle fenêtre) | Explique les six motifs légaux de traitement de vos données, y compris « l’intérêt légitime » et le « consentement ». |
Art. 12 | Informations transparentes, communication et modalités pour l’exercice des droits de la personne concernée(nouvelle fenêtre) [vous] | Définit l’exigence des politiques de confidentialité, sans toutefois utiliser explicitement le terme : comment une organisation doit expliquer ses pratiques de confidentialité « de façon concise, transparente, compréhensible et aisément accessible ». |
Art. 13 | Informations à fournir lorsque les données personnelles sont collectées auprès de la personne concernée(nouvelle fenêtre) [vous] | Décrit les informations qu’une organisation devrait vous fournir lorsque vous soumettez directement des détails personnels, par exemple, en remplissant un formulaire ou en passant une commande. |
Art. 14 | Informations à fournir lorsque les données personnelles n’ont pas été obtenues de la personne concernée(nouvelle fenêtre) [vous] | Décrit les informations qu’une organisation devrait vous fournir lorsqu’elle recueille des détails vous concernant que vous n’avez pas soumis directement, par exemple, en suivant votre historique d’achats ou votre activité de navigation. |
Art. 15 | Droit d’accès de la personne concernée(nouvelle fenêtre) [vous] | Votre droit d’accéder aux données personnelles vous concernant détenues par une organisation et d’en obtenir une copie. |
Art. 16 | Droit de rectification(nouvelle fenêtre) | Votre droit d’obtenir d’une organisation la correction des données personnelles vous concernant qu’elle détient. |
Art. 17 | Droit à l’effacement (« droit à l’oubli »)(nouvelle fenêtre) | Votre droit d’obtenir d’une organisation la suppression définitive des données personnelles vous concernant qu’elle détient. |
Art. 18 | Droit à la limitation du traitement(nouvelle fenêtre) | Votre droit de restreindre ce qu’une organisation fait avec vos données personnelles. |