L'UFC-Que Choisir traite, tout au long de l'année, les thématiques autour des données personnelles. Outre son rôle d'informateur et de sensibilisateur, l'association de consommateurs est un vrai relais entre les consommateurs et les autorités.
Dans le cadre de la conférence sur la protection de vos données personnelles du 16 novembre prochain, nous avons rencontré l’une des trois parties prenantes de l'événement, l'UFC-Que Choisir. Laurie Liddell, juriste pour le compte de l'association, nous explique comment l'organisme parvient à faire avancer les discussions autour des problèmes liés aux données personnelles, et les ressorts qu'elle utilise pour y parvenir. Elle rappelle que les utilisateurs ont des droits qu'il ne faut pas hésiter à exercer auprès des entreprises concernées.
UFC-Que Choisir : l'interview de Laurie Liddell
Clubic - Quels sont votre rôle et sont vos principales missions au sein de l'association UFC-Que Choisir ?
Laurie Liddell - Je suis juriste spécialisée TIC-données personnelles chez UFC-Que-Choisir. L'association a une mission d'information et de sensibilisation des consommateurs. Elle a aussi pour objectif de protéger les consommateurs d'un point de vue judiciaire. En tant que juriste, je dois opérer une veille sur les pratiques réalisées par les professionnels dans le cadre de la protection des données. Le service juridique de l'UFC-Que Choisir est chargé d'alerter les consommateurs sur des pratiques illégales constatées, d'échanger avec les professionnels sur ces derniers. Si les professionnels ne changent pas les pratiques que nous jugeons illégales, l'UFC-Que Choisir agira en justice pour demander à un juge de les forcer à les modifier.
"Même si une entreprise a l'obligation de sécuriser les informations qu'elle détient sur une personne ou sur un consommateur, le risque zéro n'existe pas"
L'association peut aussi lancer des actions de groupe, comme celle exercée contre Google dans le cadre de la protection des données personnelles. Elle peut aussi déposer plainte auprès de la CNIL. J'ai le souvenir de la poupée Cayla, qui n'était pas sécurisée et avec laquelle n'importe qui pouvait se connecter et échanger avec un enfant. Nous avions porté plainte auprès de la CNIL pour que l'objet soit davantage sécurisé, voire retiré du marché.
Les fuites de données se sont multipliées ces derniers mois. Comment peut-on y échapper ?
Il y a plusieurs failles de sécurité très importantes, qui font partie des risques qu'il y a à utiliser les nouvelles technologies et Internet de façon plus globale. Bien entendu, il ne s'agit pas d'être paranoïaque, mais il convient de conserver une certaine vigilance dans l'utilisation des services en ligne, des objets connectés et de toutes les autres technologies. Car même si une entreprise a l'obligation de sécuriser les informations qu'elle détient sur une personne ou sur un consommateur, le risque zéro n'existe pas.
"Fournir ses informations ou données personnelles en ligne n'est pas un geste anodin"
Il faut toujours bien réfléchir. Fournir ses informations ou données personnelles en ligne n'est pas un geste anodin. Je conseille de bien vérifier les sites internet sur lesquels vous naviguez et les informations réclamées, notamment en se demandant si elles sont vraiment nécessaires pour l'usage que vous allez faire du service.
Y a-t-il un ou des faits d'actualité qui ont pu vous marquer plus particulièrement ces dernières semaines, ces derniers mois, s'agissant notamment des fuites de données ?
Cette année, l'UFC-Que Choisir et ses homologues européens ont déposé une plainte auprès de la Commission européenne pour des pratiques menées par TikTok. Nous estimions en effet que TikTok n'était pas assez transparent sur l'utilisation des données personnelles d'utilisateurs et les informations collectées. Nous avions cette idée de surexploitation des données notamment à des fins publicitaires, sur un public qui est d'autant plus vulnérable avec des mineurs qui n'ont pas encore toute cette vigilance dont nous parlions tout à l'heure. Pour nous, la politique de confidentialité de l'entreprise n'était pas assez claire sur cette utilisation.
Du côté des utilisateurs (car UFC-Que Choisir a ce rôle de sensibilisation, d'information voire même de lanceur d'alerte), il est possible, notamment via le forum de l'association, d'ouvrir des sujets divers. Avez-vous justement vu remonter des thématiques plus particulières sur les données personnelles, comme l'usurpation d'identité par exemple ?
Effectivement. Nous avons plusieurs moyens de collecter les inquiétudes des consommateurs : il y a le courrier des lecteurs, lié à notre revue « Que Choisir », il y a le forum sur Internet bien évidemment, mais aussi des formulaires de contact sur le site QueChoisir.org, nos associations locales... Donc via toutes ces sources, on peut déceler plusieurs inquiétudes en termes de protection des données.
"Dès qu'un consommateur se pose des questions, il peut demander à une entreprise la copie des données personnelles qu'elle détient sur lui, et leur suppression"
D'abord, sur le suivi global. On utilise de plus en plus de services aujourd'hui. Les règles sur les traceurs, les cookies, ont récemment évolué, donc les consommateurs se sont posé beaucoup de questions avec les nouveaux bandeaux. Ils se demandent quelles sont les conséquences, quelles sociétés détiennent quelles informations, etc. C'est une vraie inquiétude, mais il y en a d'autres, plus anciennes, comme l'usurpation d'identité, qui comprend le vol de compte sur les réseaux sociaux. Il y a aussi les vols de coordonnées bancaires, un problème récurrent qui pousse les consommateurs à venir nous voir de façon régulière, notamment quand ils constatent un prélèvement bancaire anormal, dont ils ignorent la source. Beaucoup de consommateurs s'interrogent sur la question de l'exercice des droits, sur les entreprises qui détiennent des informations à leur sujet et comment faire supprimer ces informations. D'autres, qui font l'objet de prospection commerciale, veulent savoir pourquoi telle société semble détenir des données sur eux.
Est-il facile, aujourd'hui, d'obtenir d'une entreprise, d'un site ou autre, la suppression de toutes les informations qu'il ou elle peut détenir sur nous ? Peut-on dire qu'il y a eu des progrès récemment là-dessus ?
Il faut bien savoir que les consommateurs ont des droits offerts par la réglementation, à laquelle toutes les entreprises sont astreintes. À partir du moment où un consommateur commence à se poser des questions, il peut interroger et demander la copie de toutes les informations qu'une société détient sur lui. Il y a également ce droit à la suppression des données. Dans ce cas-là, le consommateur peut contacter une entreprise et lui préciser qu'il considère qu'elle n'a plus à détenir d'informations sur lui et qu'il souhaite exercer son droit à la suppression des données.
Il y a également des droits d'opposition à la prospection commerciale. Si une personne reçoit un mail de prospection, qu'elle ne veut plus en recevoir ni faire partie du fichier de prospection, elle peut exercer ce droit, qui est acquis. Toute entreprise est astreinte à ces obligations, elles ont même des délais à respecter pour y répondre. Les consommateurs ne doivent pas hésiter à exercer les droits qui leur sont offerts quand ils le souhaitent.
Comment donc exercer ces droits ?
Dans les entreprises, vous avez l'obligation d'organiser un système pour recevoir toute demande d'un consommateur qui souhaiterait exercer ses droits. Normalement, vous avez au sein de l'entreprise un DPO, un délégué à la protection des données, qui est la personne chargée de la réglementation en matière de protection des données. Le consommateur doit s'adresser à ce DPO, qui est une porte d'entrée pour obtenir la copie de ses informations et la suppression de ses données. Après, en fonction de la taille et de la structuration de l'entreprise, ce contact peut être trouvé dans la politique de confidentialité du site ou de l'application. D'autres entreprises permettent l'exercice de leurs droits directement depuis le compte client, par e-mail ou par courrier, très simplement.