RGPD : un droit ne s'use que si l'on ne s'en sert pas

Rédigé par Jeey - 20 novembre 2018 - Aucun commentaire

Vous en avez assez de recevoir des courriers non sollicités ? Vous ne voulez plus répondre au téléphone au moment des repas ? Vous ne voulez plus dire STOP au 6⋅13⋅13 ? Vous voulez savoir ce que sait votre assureur de vous ?

 

Il y a mieux que s'adresser au service marketing qui vous harcèle (poke Bloctel)... Il y a

le RGPD !

le RGPD (DjiPiDiHair si vous voulez briller à la prochaine Pitch Party) : le Réglement Général de Protection des Données. Vous avez déjà entendu parlé de lui. A minima quand vous avez reçu une tripotée de mails fin mai. Mais concrètement, qu'est ce que ça change pour vous ?

Déjà, cela vous permettra de manière très efficace que l'on cesse de vous importuner. C'est marrant comme le service juridique d'une entreprise est plus efficace que le pauvre télévendeur marocain pour vous supprimer de leurs listings. En effet, le simple fait que vous répondiez au téléphone est une précieuse information pour la boîte de marketing : elle connaît ainsi par exemple à quelle heure vous êtes chez vous. Oui, c'est aussi pour ça que vous recevez des appels où personne ne vous répond.

Alors qu'effectuer une demande de prise en compte de vos droits RGPD nécessitera l'intervention du service juridique, du service informatique, du service managériale, du service commercial. Et ne pas répondre favorablement à une demande RGPD représente un coût non négligeable pour l'entreprise : jusque 20 millions d'Euro. En massifiant nos demandes RGPD, nous pourrions espérer inciter fortement les entreprises à prendre en compte en amont leurs obligations et nos droits. Avec un peu de chance, elles pourraient réfléchir avant de nous importuner. Enfin, cela seulement si nous sommes suffisamment nombreux⋅ses à le faire !

Et pour simplifier un peu la démarche, je vous propose ci-après un courrier type que vous devrez personnaliser et envoyer en courrier recommandé. (Merci à Constantine Karbaliotis pour le document source).

Mais j'aimerai aller un poil plus loin. J'ai déjà pu constater que d'autres veulent également nous aider tel Aeris qui stocke sur son Github le même modèle, je vais donc (essayer) de contribuer à son dépôt (s'il le veut bien). En s'y mettant à plusieurs, nous pourrions certainement améliorer encore ce courrier et ainsi mettre encore plus de pressions sur ces entreprises.

Mais j'aimerai aller un poil plus loin. J'imagine un outil permettant de générer ces courriers et ainsi de pouvoir mesurer et afficher le respect des clauses RGPD par les entreprises. Oui, il y a un peu l'idée d'un « Name and Shame » derrière. Parce que rendre publique des plaintes de ce type reste quelque chose que fuient les marketeux des boîtes. Malheureusement, mes pratiques de programmation sont bien loin, mais qui sait ...

Et n'oubliez pas :

un droit ne s'use que si l'on ne s'en sert pas !

 

Allez, trève de blabla, voici ce que vous attendiez tous :

le courrier de l'enfeRGPD

NOM PRENOM
ADRESSE
CP VILLE

Tél. : (non obligatoire)
mail : (non obligatoire)

Identification : (information qui permet de vous identifier : mail, n° client, nom et prenom etc.)


 

ENTREPRISE

ADRESSE
CP VILLE


 


 

À l’attention du délégué aux données personnelles,


 

Madame, Monsieur,

Je suis l’un de vos clients, je formule la présente requête pour accéder aux données à caractère personnel me concernant afférentes à l’article 15 du Règlement Général sur la Protection des Données (RGPD).

Je pense avec inquiétude que la gestion des informations, telle que pratiquée par votre entreprise, pourrait exposer mes données personnelles à des risques certains.
En effet,

(choisir votre cas)

j’ai reçu des appels non sollicités d’un prestataire agissant en votre nom et en capacité de me fournir des informations personnelles telles que déclarées chez vous :

  • (insérer ici les informations dont a manifestement connaissance le prestataire)
    (exemple : nom et prénom, adresse email, numéro de téléphone – obligatoire s’il vous appelle)

  • éventuellement date et horaire du ou des appels reçu(s)


 

j’ai reçu un courrier non sollicité en votre nom

  • joindre une copie du courrier ou un descriptif

  • préciser les données personnelles utilisées (adresse email ou adresse postale)


 

(to be continued soon)


 


 


 

Merci d’adresser les points suivants :


 


 

1. Merci de confirmer si, oui ou non, mes données personnelles sont traitées par votre entreprise. Dans l’affirmative, merci de me transmettre les catégories de données personnelles que vous détenez sur ma personne, que ce soit dans vos fichiers ou dans vos bases de données.

a. Plus particulièrement, merci de me dire ce que vous savez de moi dans vos systèmes d’information, que ces informations soient contenues ou pas dans des bases de données, incluant la messagerie électronique, les documents, les fichiers audio ou tout autre média que vous employez.

b. Par ailleurs, merci d’aviser quant aux pays où mes données sont stockées, ou à partir desquels elles sont accessibles. Si vous utilisez des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois).

c. Merci de me fournir une copie exhaustive des, ou un accès aux, données personnelles me concernant que vous détenez ou que vous traitez.

d. Merci de me fournir la preuve de mon consentement éclairé à l’usage de ces données personnelles pour chacune des utilisations qui peuvent en être faite,


 

2. Merci de me fournir une liste détaillée des finalités des traitements, passés, en cours ou prévus, sur mes données personnelles.


 

3. Merci de me fournir une liste de tous les tiers auprès desquels vous avez partagé ou auriez pu partager mes données personnelles.

a. Si vous n’êtes par en mesure d’identifier avec certitude les tierces parties auprès desquelles vous avez dévoilé mes données personnelles, merci de me fournir une liste des tiers auprès desquels vous auriez pu dévoiler ces données.

b. En cas de transfert de mes données personnelles à des tiers, merci d’aviser comme dans 1(b) quant aux pays où mes données sont stockées, ou à partir des quelles elles sont accédées. Si les tiers concernés utilisent des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois). Merci d’éclairer également les fondements juridiques sur lesquels reposent ces transferts. Là où cela est déjà effectué, ou est en passe de l’être, sur les bases de protections appropriées, merci d’en fournir une copie.

c. De plus, je souhaite connaître les mesures de protection mises en place en lien avec les tierces parties identifiées ci-dessus.


 

4.  Merci de préciser les durées de stockage de mes données personnelles, et dans le cas où la durée de rétention est fonction de la catégorie de données personnelles, merci de préciser la durée de rétention par catégorie.


 

5.  Si vous collectez des données personnelles me concernant à partir d’autres sources que moi-même, merci de me fournir toutes les informations afférentes, comme stipulé dans l’article 14 du RGPD.


 

6.   Si vos traitements prennent des décisions automatisées me concernant, incluant le profilage, que ce soit ou pas sur la base de l’article 22 du RGPD, merci de me préciser les fondements logiques de ces décisions automatisées, ainsi que la finalité d’un tel traitement.


 

7. Je souhaiterais savoir si, oui ou non, mes données personnelles ont été accidentellement divulguées par votre entreprise dans le passé, ou suite à un incident de sécurité.

a. Dans l’affirmative, merci d’aviser quant aux détails de chaque situation de ce genre, et dans le cas d’incidents de la sorte, merci de me communiquer :  

                  i.   une description générale de ce qui s’est produit.;

                  ii.   la date et l’heure de l’incident (ou l’estimation la plus approchante);

                  iii.   la date et l’heure de découverte de l’incident;

                  iv.   l’origine de l’incident (que ce soit au sein de votre propre entreprise, ou au sein d’une tierce partie auprès de laquelle vous avez transféré mes données personnelles) ;

                   v.   les détails des données personnelles impactées par cet incident ;

                   vi.   l’évaluation, par votre entreprise, des risques impactant ma personne, suite à cet incident ;

                   vii.   une description des mesures qui ont été prises ou qui seront prises pour prévenir d’autres accès non autorisés à mes données personnelles ;

                   viii.  les informations de contact me permettant d’obtenir de plus amples informations et une assistance en lien avec de tels incidents, et  

                    ix.  des informations et des conseils sur ce que je dois entreprendre afin de me protéger de telles atteintes, y compris l’usurpation d’identité et la fraude.

b.  Si vous n’êtes pas en mesure d’affirmer avec certitude si une telle exposition a eu lieu, et au travers de l’utilisation de techniques appropriées, merci d’aviser quant aux mesures de traitement du risque que vous avez prises, comme :

                     i.   Le chiffrement de mes données personnelles ;

                     ii.   Les stratégies de minimisation des données ; ou,

                     iii.   L’anonymisation ou la pseudonymisation;

                     iv.   Tout autre procédé.


 

8.  Je voudrais connaître les politiques et les normes que vous mettez en place pour la protection de mes données personnelles, à l’instar de la norme ISO 27001 pour la sécurité de l’Information, et plus particulièrement, les pratiques suivantes :

a.  Merci de me préciser si vous avez sauvegardé mes données personnelles sur bande, disque ou tout autre média, l’emplacement de ces sauvegardes et les mesures de sécurisation mises en place, y compris celles prises pour protéger mes données de la perte ou du vol, et si celles-ci emploient du chiffrement.

b.  Merci d’aviser quant à votre utilisation de technologies vous permettant, avec un degré raisonnable de certitude, de savoir si, oui ou non, mes données personnelles ont été divulguées, incluant, sans être limité à, ce qui suit :

                    i.   Systèmes de détection d’intrusion ;

                    ii.   Technologies de filtrage des flux ;

                    iii.   Technologies de gestion des identités et des accès ;

                    iv.   Audit de bases de données et/ou outils de sécurité; ou,

                    v.   Outils d’analyse comportementale, d’analyse de logs, ou d’audits;


 


 

9.  En rapport à vos collaborateurs et prestataires, merci d’aviser si :

a.  Vous disposer d’une charte d’utilisation des moyens informatiques et des outils numériques, précisant que les échanges électroniques de vos collaborateurs avec le monde extérieur (messagerie électronique ou instantanée, Webmail, etc.) peuvent être surveillés pour détecter des fuites délibérées ou accidentelles de données à caractère personnel.

b. Vous avez connu des situations où des collaborateurs ou prestataires ont été licenciés, et/ou ont été inculpés pour accès non autorisé à mes données personnelles, ou bien si vous n’êtes pas en mesure de le déterminer, pour aucun de vos clients, sur les douze derniers mois.

c.  Merci d’aviser quant aux formations et mesures de sensibilisation que vous avez entreprises afin de vous assurer que votre personnel et vos prestataires accèdent à, et traitent, mes données personnelles en conformité avec le Règlement Général sur la Protection des Données.


 

Je tiens à vous signaler que j’attends une réponse à ma requête sous un mois comme exigé dans l’article 12. À défaut, je me verrai contraint de saisir la Commission Nationale de l’Informatique et des Libertés.


Par ailleurs, je vous demande de prendre à votre charge une indemnité couvrant les coûts matériels (affranchissement en LRAR) et immatériels (dédommagement, temps passé) suite à votre démarche commerciale.


 

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

Bien cordialement,

 

J'ai aussi une version un peu simplifiée quand j'ai envie d'être un peu plus "gentil" :

 

Bonjour,

J'ai reçu ce jour un courriel de votre service.

(Email ou numéro de téléphone ou toute autre donnée personnelle) utilisé par vos services :
 

Je vous demande donc (en résumé ici, la version précise se retrouve plus bas) :
1- Me fournir les informations que vous détenez sur moi liées à mes données à caractère personnel et d'où elles proviennent.
2- Me fournir la raison du recueil de chacune de mes données à caractère personnel.
3- Me fournir la liste de vos sous-traitants qui gèrent/utilisent mes données à caractère personnel.
4- Me fournir le fondement qui vous autorise à utiliser mes données à caractère personnel ;
5- S'il s'agit de mon consentement, la preuve de ce consentement libre et explicite ;
6- S'il s'agit de votre intérêt légitime, merci de me le justifier.
7- Quand et uniquement quand tout le précédent a été fait, alors procéder à la suppression des données à caractère personnel.
8- Faire supprimer ces données à caractère personnel chez tous vos autres sous-traitants y ayant eu accès et me fournir la preuve de la suppression de ces données.
9- Vous avez un mois pour me fournir une réponse adéquate et conforme à ma demande.

J'attire votre attention sur le point 7 afin de vous éviter de procéder à la suppression de mes données à caractère personnel sans avoir pris soin de répondre à mes demandes précédentes. Si cela devait être fait, je vous rappelle que vous le serez plus en capacité de répondre ni à ma demande de droit d'accès, ni me fournir les finalités de traitement, ni les sources et destinataires de mes donné et enfreindrez donc les articles 13, 14 et 15 du RGPD. Vous ne seriez plus en capacité de me fournir la preuve de mon consentement dans les formes attendues (infraction à l'article 7 du RGPD) ou l'intérêt légitime utilise (et donc en infraction à l'article 6.1f du RGPD). Ne pouvant suivre mes DCP, vous ne pourrez donc me fournir les prestataires ayant pu traiter ces données et serez donc en infraction à l'article 19 du RGPD.

----

Version plus détaillée :

---

 

Les données qui me concernent sont protégées par la législation relative à la protection des données à caractère personnel, incluant le Règlement général sur la protection des données (RGPD) :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Les dispositions du RGPD s'appliquent à votre établissement, en vertu de l'article 3 de ce texte, dès lors que les activités de cet établissement ou celles de l'un de ses sous-traitants ont lieu sur le territoire de l'Union, ou dès lors que votre traitement de données à caractère personnel concerne des personnes qui se trouvent sur le territoire de l'Union européenne dans le cadre d'une offre de biens ou de service, même si votre société est établie en dehors de l'Union Européenne. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e1525-1-1

En conséquence, en tant que responsable de traitement, vous êtes soumis à certaines obligations.

Points 1, 2 et 3 :
Les articles 13 à 15 du RGPD vous imposent en particulier de me communiquer un certain nombre d'informations, lors de votre collecte de données à caractère personnel puis sur ma demande en cas d'exercice de mon droit d'accès. A ce dernier titre, je vous prie de bien vouloir me communiquer l'ensemble des informations listées à l'article 15 du RGPD, incluant toutes les données qui me concernent ainsi que mention de la finalité de votre traitement, de la source de mes données et des destinataires de ces données, notamment ceux qui sont, le cas échéant, situés dans des pays tiers à l'Union européenne. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e2559-1-1

Points 4, 5 et 6 :
Je vous prie également de bien vouloir me communiquer le fondement qui justifie votre traitement de données (qui doit être l'un de ceux mentionnés à l'article 6, 1 du RGPD), sauf à me démontrer que vous m'avez déjà communiqué cette information au titre des articles 13 et 14 du RGPD. Si le fondement qui justifie le traitement de mes données à caractère personnel est mon consentement (article 6, 1, a du RGPD), je vous remercie de me communiquer les preuves de mon accord explicite et libre, donné dans les formes prévues à l'article 7 du RGPD. Si ce fondement était votre intérêt légitime (article 6, 1, f du RGPD), je vous remercie de me préciser ce dernier ainsi que vous l'imposent les dispositions de ces mêmes articles. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e1937-1-1 https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e2290-1-1

Point 7 :
Conformément à l’article 17 du RGPD, je vous demande également, après vous être acquitté de votre obligation de me communiquer les informations que je sollicite ci-dessus au titre de mon droit d'accès, de procéder sans délai à la destruction de toutes les données à caractère personnel que vous détenez ne concernant et ceci dans l’ensemble de vos bases de données (sauvegardes comprises). https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e2652-1-1

Point 8 :
Je vous saurai gré de faire procéder à cette suppression auprès de TOUT AUTRE prestataire auquel mes données à caractère personnelles auraient été communiquées et de me fournir les documents attestant de ces suppressions, tel que le prévoit l’article 19 du RGPD. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e2792-1-1 et de me fournir la preuve de la demande de suppression et de son effectivité

Point 9 :
Je vous rappelle votre obligation de répondre à ma demande dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la présente, aux termes de l'article 12 (3) du RGPD. Passé ce délai, j'introduirai une réclamation auprès de l'autorité compétente et me réserve la possibilité de toute autre action auprès de l'autorité judiciaire. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e2228-1-1

 

Cordialement,

 

 

N'hésitez pas à NE PAS JOINDRE de pièces d'identité. La CNIL a bien confirmé que cette demande peut être faite sans donner ce type de document et que les informations du type n° client, adresses etc. étaient suffisantes et légitimes.

 

Comment procéder ensuite ?

  • Envoyer le courrier en Lettre Recommandée avec Accusé de Réception
    • (optionnel : prévenir l'entreprise sur les réseaux sociaux avec le hashtag #DemandeRGPD)
    • Vous pouvez aussi maintenant envoyer ça par courriel à l'adresse du DPO de la boîte en question. N'oubliez pas d'activer la notification de remise et la notification de lecture
  • Au bout d'un mois, en cas de non-réponse ou de réponse non satisfaisante, déposer une plainte CNIL à l'aide du lien précédent qui vous évite de deviner le labyrinthique parcours habituel pour arriver au dépôt de la plainte
    • (optionnel : prévenir l'entreprise sur les réseaux sociaux avec le hashtag #DemandeRGPD is now #PlainteCNIL)
    • PS : Il est aussi possible de ne pas attendre le mois demandé si le défaut est clair (si vous n'avez jamais donné de consentement et le savez, gogogo)
  • Patienter... et voir la suite ?

Et j'ai quelques questions pour vous

Vous les DPO, les hacktivites militants du droit d'accès et autres accrocs au RGPD, que rajouteriez-vous ? Que corrigeriez-vous ?
Et quels sont les retours ?

Que pensez-vous du « Name and Shame » ? Je n'en suis pas absolument fan mais je ne vois pas vraiment trop comment faire à notre échelle.

 

 

Le tôlard

Écrire un commentaire

Quelle est le troisième caractère du mot 2h3pka ? :