fiches_pedagogiques:connaissez-vous-le-rgpd

Connaissez-vous le RGPD ?

A travers ce quiz les participant.e.s comprendront leurs droits quant à l’utilisation de leurs données personnelles.

PublicAdos, adultes et seniors
Participants5 à 15 participant.e.s
Nombre d’animateurs1
Préparation15 minutes
Durée de l’animation45 minutes

RGPD (ou GDPR – General Data Protection Regulaiton – en anglais) signifie :

  • Règlement
  • Général
  • de Protection
  • des Données.

Un règlement est une loi, votée par l’Europe, qui s’applique directement à tous les pays membres. Tous les pays européens ont l’obligation d’appliquer un règlement. Les pays en dehors de l’Union Européenne, eux, doivent se conformer au règlement s’ils fournissent des services aux personnes présentes sur le territoire de l’Union Européenne Le RGPD porte sur la gestion des données personnelles des personnes se situant sur le territoire de l’Union Européenne. C’est une réglementation très favorable aux utilisateurs, probablement l’une des lois parmi les plus avancées en matière de protection des données des utilisateurs dans le monde.

Alors qu’est ce qui a changé avant et après le RGPD, comment celui-ci protège les utilisateurs ? Nous allons le découvrir au fil de ce petit Quiz.

En fonction du nombre de participants organisez les en équipes. L’idéal est d’avoir deux équipes de 3 ou 4 personnes. Vous posez les questions tour à tour à chaque équipe. À chaque bonne réponse, l’équipe qui a répondu marque un point. L’équipe gagnante est celle qui a le plus de points. Un quiz quoi.

Cliquez sur l’une des réponses ci-dessous

la liste de vos sports préférés

Faux

Votre pointure de chaussure

Faux

Votre plat préféré

Faux

La distance de la Terre à la lune

Une donnée personnelle est toute info que se rapporte à une personne physique identifiée ou identifiable. La distance de la Terre à la lune n’est pas une donnée personnelle mais une information publique.

Cliquez sur l’une des réponses ci-dessous

Mai 2018

Depuis 2018 de nombreuses sanctions ont déjà été prononcées en France et dans toute l’Europe contre les entreprises qui ne le respectent : Google, Bouygues, Marriott, etc.

Mai 2017

Faux

Mai 2020

Faux

En mai fais ce qu’il te plaît

Faux

Cliquez sur l’une des réponses ci-dessous

Facebook qui héberge aux États Unis les données de Michel qui lui habite à Bourg en Bresse

Faux

La poste, une entreprise française qui héberge les courriels de Michel de Bourg en Bresse qui a toujours une adresse en @laposte.net

Faux

La poste qui héberge les courriels de mon ami Michael, américain qui habite Bourg en Bresse

Faux

Facebook qui héberge les données de mon ami Michel qui réside à San Francisco

Le RGPD s’applique dès qu’il y a collecte et traitement de données personnelles et que celles-ci concernent une personne résidant le territoire de l’Union Européenne. Article 3 du RGPD

Cliquez sur l’une des réponses ci-dessous

Non

Faux

Oui, sous forme de bail très précaire, je pourrais retirer mon consentement à l’utilisation de mes données à tout moment

Il serait possible de vendre ses données personnelles contre rémunération si on s’appuie sur la base légale du consentement, prévue à l’article 6 du RGPD : « Le traitement n’est licite que si […] la personne concernée a consenti au traitement de ses données à caractère personnel ». Néanmoins, le texte ajoute immédiatement une condition supplémentaire importante, puisque que le consentement doit nécessairement être donné « pour une ou plusieurs finalités spécifiques ». À la différence de la vente d’un bien qui implique un véritable transfert de propriété, l’entreprise qui collecterait des données personnelles contre rémunération serait donc obligée d’indiquer une ou plusieurs finalités précises de traitement qui la lierait ensuite dans le temps. Cependant cette cession de droits serait très précaire et s’assimilerait plutôt à une location à laquelle vous pourriez mettre fin à tout moment puisque le RGPD prévoit que l’individu doit pouvoir retirer son consentement à tout moment aussi simplement qu’il l’a accordé. Source : Le RGPD interdit-il aux individus de « vendre » leurs données personnelles ?

Oui mais uniquement sur une période de temps limitée

Faux

Oui, je peux même lui vendre un rein si je veux

Faux

Cliquez sur l’une des réponses ci-dessous

Non, je ne suis pas une entreprise comme Facebook, je ne suis pas concerné

Faux

Non, je ne revends pas les données de mes lecteurs, je ne suis pas concerné

Faux

Oui, uniquement les jours pairs

Faux

Oui, en tant qu’éditeur, je recueille obligatoirement des données donc je dois en informer mes utilisateurs

En tant qu’éditeur d’un site, vous recueillez forcément des données : les adresses IP, les heures de connexion, les pages visitées (c’est une obligation légale depuis la Loi pour la confiance dans l’économie numérique – LCEN), les noms et adresses déposés dans tout formulaire, de contact ou de commentaire. À ce titre vous êtes soumis au RGPD et avez des obligations envers vos utilisateurs. Vous récupérez des données sur vos utilisateurs, vous avez le devoir de respecter le RGPD, c’est à dire de recueillir leur consentement éclairé. Vous devez donc leur signaler que vous recueillez des données, quel type de données, pour quelle finalité, si celles-ci font l’objet de traitement, si un tiers intervient dans leur traitement.

Cliquez sur l’une des réponses ci-dessous

Non car je ne recueille pas de données

Faux

Non car ce sont des services américains, mes données ne sont pas situées en Europe

Faux

Oui car le RGPD concerne tous les citoyens européens, quel que soit l’endroit où sont hébergées leurs données

Vous êtes concerné par le RGPD car celui-ci s’applique aux données de tous les utilisateurs qui se trouvent sur le territoire de l’Union Européenne. Dans cette configuration, ce n’est pas vous qui recueillez des données mais le fournisseur de service, Twitter, Facebook ou Snapchat. Les sociétés opérant ces services ont l’obligation de permettre à leurs utilisateurs de de pouvoir exercer leurs droits, de recueillir leur consentement si c’est la base légale de mon traitement, bref, de respecter le RGPD.

Oui, mais uniquement les jours impairs

Faux

Cliquez sur l’une des réponses ci-dessous

Oui, il n’y avait rien avant

Faux

Non la première loi de protection des données personnelles est apparue avec l’arrivée de Facebook en France en septembre 2006

Faux

Non la première loi de protection des données personnelles est apparue avec l’arrivée du web, en 1993

Faux

Non, la première loi de protection des données personnelles est apparue l’année de la mort de Claude François, en en 1978

La France est un pays pionnier en matière de défense des données personnelles avec la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978. Elle est le résultat d’un scandale qui s’est produit en 1974 : l’État français voulait créer un fichier unique recensant tous les citoyens par un numéro unique qui lui aurait permis d’interconnecter tous les fichiers de l’administration française. Devant le scandale provoqué par cette initiative, le projet a été enterré et la loi informatique et liberté a été votée.

« Mon service ne respecte pas le RGPD et ne le respectera pas. Si tu veux l’utiliser, tu dois accepter que je recueille tes données et que je les traite et les revende sans t’en informer. »

Cliquez sur l’une des réponses ci-dessous

Oui, la vie est dure mais c’est comme ça

Faux

Oui, et je trouve même que c’est assez //fair-play// de prévenir

Faux

Oui mais uniquement les jours impairs

Faux

Non, c’est du chantage, on ne négocie pas avec les terroristes

Pour être conforme avec le RGPD, un traitement doit être fondé sur une base légale de traitement (un contrat, une obligation légale, un intérêt légitime ou votre consentement explicite par exemple), il existe six bases légales de traitement qui rendent licite un traitement de données à caractère personnel (article 6 du RGPD). Dans le cadre du consentement, ce dernier doit être :
  • libre (sans contraintes),
  • spécifique (un consentement par type d’utilisation de données),
  • éclairé (l’utilisateur doit savoir comment ses données seront traitées et par qui et qu’il peut y mettre fin à tout moment)
  • univoque (pas de cases pré cochées).

Ce consentement ne doit pas être contraint, ce qui est le cas ici. Les conditions applicables au consentement sont définies aux articles 4 et 7 du RGPD. Attention, le recueil du consentement n’est qu’une des 6 bases légales prévues par le RGPD qui autorise le traitement de données à caractère personnel. Plus d’informations sur les bases juridiques du RGPD sur le site de la CNIL.

Cliquez sur l’une des réponses ci-dessous

les données relatives à la consommation de nourriture (type d’aliments, etc.)

Faux

les données aux déplacements géographiques

Faux

les données liées à la consommation électrique (combien je consomme dans mon loyer, combien d’appareils, etc.)

Faux

les données liées à l’orientation sexuelle

L’article 9.1 du RGPD précise la liste des données dont le traitement sont interdits : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. » Il existe cependant de nombreuses exceptions : Consentement explicite de la personne concernée, Traitement nécessaire en droit du travail, sécurité sociale, protection sociale, Sauvegarde des intérêts vitaux de la personne concernée, traitement nécessaire pour des motifs d’intérêt public, Traitement par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, Données à caractère personnel qui sont manifestement rendues publiques par la personne concernée.

Cliquez sur l’une des réponses ci-dessous

300 000 €

Faux

3 millions €

Faux

2 à 4% du chiffre d’affaires mondial de l’entreprise concernée

Pendant longtemps, les sanctions qui pouvaient être infligées par la CNI sont restées assez symboliques et étaient peu appliquées (300 000 euros, puis 3 millions avec loi République numérique). En indexant les sanctions sur le chiffre d’affaires, le RGPD a rendu les sanctions vraiment dissuasives. À titre d’exemple, Google LLC a été la première entreprise à s’être vu infligée une amende pour non-respect du RGPD. Celle-ci se monte à 50 millions d’euros. Selon la CNIL, « les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google ». Un point extrêmement fâcheux, puisque la CNIL en déduit que le consentement des internautes « n’est pas valablement recueilli », faute pour le géant américain d’avoir « suffisamment éclairé » ses clients. En fonction des manquements constatés, les autorités de contrôle peuvent donc prononcer des sanctions financières allant de 2 à 4% du CA mondial de l’entreprise concernée.

3 carambars

Faux

Elle m’affiche le nombre d’heure d’utilisation de mon smartphone par jour. Lorsque je l’installe, RGPD oblige, Jelachemonsmartphone.com me demande mon consentement pour accéder au nombre d’heures de connexion et je lui donne. Est-ce jelachemonsmartphone.com pourra transférer ces données à un constructeur pour que celui-ci se puisse obtenir des statistiques d’utilisation de ses futurs usagers ?

Cliquez sur l’une des réponses ci-dessous

Oui, c’est même plutôt bien que les constructeurs puissent avoir ces infos, en plus j’ai déjà donné la permission à jelachemonsmartphone.com.

Faux

Non, je n’ai autorisé jelachemonsmartphone.com qu’à m’afficher le nombre d’heures d’utilisation de mon smartphone, pas à les transmettre à un tiers pour analyse.

Si la base légale du traitement est le consentement, le RGPD impose de recueillir le consentement spécifique. C’est-à-dire que mon consentement doit correspondre à une ou plusieurs finalités déterminées. Je l’ai donné à l’application pour qu’elle m’affiche le nombre d’heures d’utilisation de mon smartphone. Si jelachemonsmartphone.com veut les vendre ou les donner gentiment à un constructeur, l’application devra alors m’informer clairement et me demander mon consentement explicite et spécifique pour cette nouvelle finalité.

Cliquez sur l’une des réponses ci-dessous

Dans ces 152 pages il doit y avoir tout le détail d’utilisation de mes données, c’est juste moi qui suis un peu trop bête pour comprendre, mais ça doit être légal

Faux

Autant de pages pour m’expliquer ce qu’ils vont faire avec mes données, c’est beaucoup trop, ils m’enfument.

Le responsable de traitement des données doit recueillir le consentement éclairé des utilisateurs. 152 pages c’est long. Tout est une question de lisibilité et de clarté. Cependant c’est toujours la CNIL qui in fine décide si les mentions légales d’un services sont explicites.

Cliquez sur l’une des réponses ci-dessous

c’est sympa, ça me fait gagner du temps

Faux

c’est interdit, certaines personnes vont aller trop vite et juste cliquer sur valider sans avoir compris ce qui va être fait de leurs données.

Encore une fois, tout acteur de traitement de données doit recueillir le consentement des personnes concernées. Celui-ci doit être libre, spécifique , éclairé et univoque. Univoque signifie que le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Ici le choix étant pré-rempli, ce n’est pas ce qu’on appelle un acte positif, donc le consentement n’est pas valide. Plus d’informations sur le consentement sur le site de la CNIL.

Cliquez sur l’une des réponses ci-dessous

Je rêve… jelachemonsmartphone.com ne se donnera jamais la peine de te donner ton historique d’utilisation vu que je les lâche

Faux

Je me débrouille et j’importe tout à la main

Faux

jelachemonsmartphone.com a l’obligation de me rendre mes données

Le RGPD introduit de nouveaux droit pour les utilisateurs dont le droit à la portabilité des données. Ce droit offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par les machines. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système à un autre en vue de leur réutilisation à des fins personnelles. Ce sont vraiment vos données ! C’est pour cette raison que des services comme Facebook ou Google ont ajouté de nouvelles options de récupération de données pour leurs utilisateurs. Plus d’information sur la portabilité des données sur le site de la CNIL.

peu importe, mon iPhone X vient de tomber, la vitre est cassée, j’en ai pour un demi SMIC à le faire réparer, j’ai trop le seum,

Faux

Cliquez sur l’une des réponses ci-dessous

Trop tard, les données sont chez les constructeurs, j’ai donné mon accord, je ne peux pas les récupérer

Faux

Pas grave, j’appelle tous les constructeurs et je leur demande d’effacer mes données. Quelqu’un aurait le 06 du PDG de Huawei ?

Faux

Je demande à jelachemonsmartphone.com d’effacer les données. Ils ont l’obligation légale de les effacer? Ils contactent le constructeur.

Le RGPD prévoit un droit d’effacement. L’utilisateur peut retirer son consentement à tout moment et le responsable du traitement des données a alors l’obligation de les supprimer. Ce n’est pas toujours simple, en témoigne le parcours du combattant pour supprimer son compte Facebook (cf le jeu de l’oie de suppression du parcours Facebook).

Cliquez sur l’une des réponses ci-dessous

C’est normal, ils ont tellement de travail, ils ne peuvent pas prévenir tout le monde

Faux

Ce n’est pas si grave, ce ne sont que des données d’utilisation

Faux

Ils sont hors la loi. Ils auraient dû m’informer de la fuite de mes données dès qu'ils l'ont constatée

Avec le RGPD, les plateformes et les responsables des traitement de données ont l’obligation légale de signaler une violation de données à caractère personnel dans les 72 heures après en avoir pris connaissance. Le RGPD a été créé pour que les sociétés chez qui nous hébergeons nos données soient responsabilisées et pour qu’elles soient plus loyales envers leurs utilisateurs. En effet, ces dernières années ont vu se produire de nombreuses fuites de données. Avant le RGPD, les sociétés n’avaient aucune obligation ni de protection des données ni aucune obligation de prévenir leurs utilisateurs. Par exemple, en 2017, la compagnie Uber s’est fait pirater les données personnelles de 57 millions d’utilisateurs. Uber n’a prévenu personne, pas même les utilisateurs et a révélé cette fuite de données 2 ans après. Je vous laisse imaginer les potentiels d’usurpation d’identité ou autres auxquels les clients d’Uber ont pu être confrontés. Y’a t-il des utilisateurs d’Uber dans la salle ? Peut-être vos données ont-elles également fuité ?

peu importe, mon iPhone X vient de tomber, la vitre est cassée, j’en ai pour un demi SMIC à le faire réparer, j’ai trop le seum,

Faux

En France, il existait avant le RGPD une loi sur la protection des données, la loi informatique et libertés de 1978. Cette loi a créé la CNIL, la commission informatique et libertés, un organisme d’État (en fait une autorité administrative indépendante) chargé de protéger nos données personnelles. Le problème c’est que la CNIL n’avait pas beaucoup de pouvoir de sanction et en cas de non respect des lois sur les données personnelles, celle-ci ne pouvait mettre des amendes que très limitées. Le RGPD a tout changé. Les organismes de protection des données personnelles ont désormais avec le RGPD la possibilité d’infliger des amendes indexées sur le chiffre d’affaires, ce qui change tout, on l’a vu avec la première amende infligée à Google d’un montant record de 50 millions d’euros.

Avec le RGPD en France, on passe d’une situation déclarative à une situation normative et ça aussi ça change tout. Avant le RGPD les entreprises devaient effectuer une déclaration préalable à la CNIL. Aujourd’hui, les responsables de traitement de données personnelles ont l’obligation de se tenir prêt à tout moment en cas de contrôle à prouver sa conformité avec le RGPD. Pour ceux qui veulent savoir comment s’y préparer, a CNIL a mis en place un guide en 6 étapes.

Côté utilisateur, s’il n’y a qu’une chose à retenir du RGPD, c’est que désormais les services et responsables de traitement de données personnelles ont une obligation de loyauté et d’information envers leurs utilisateurs. Ils ne peuvent plus collecter vos données « au cas où, on sait jamais » ni les exploiter pour de nouveaux usages sans vous prévenir. Ils sont dans l’obligation d’être transparents avec vous et de vous donner la maîtrise de vos données. Quant au consentement, même si c’est bel et bien la loi informatique et liberté qui en a consacré le respect, celui-ci n’était de fait quasi jamais demandé ni même respecté. Le RGPD et ses nouvelles sanctions administratives sont venus mettre un peu d’ordre dans ce foutoir.