3 mois après, comment ai-je fait valoir mon droit #RGPD ?

À l’arrivée du RGPD, je me suis lancé dans la reconquête des données personnelles détenues par les entreprises dont j’étais client. J’ai adressé mes requêtes à des entreprises de secteurs divers : bancaire, grande distribution, télécom, énergie… Afin de voir comment celles-ci allaient me répondre et quelle typologie de données elles allaient me restituer.

Reprendre le pouvoir, c’est possible ?

Pour rappel, le Règlement Européen sur la Protection des données, entré en vigueur le 26 mai dernier, permet à tout citoyen européen de rectifier, corriger, effacer, emporter ou geler l’utilisation de ses données personnelles. Il permet aussi de déréférencer du contenu, de rester informé sur l’utilisation qui est faite de ses données et enfin, de s’opposer à leur transmission et leur diffusion. La Commission Nationale de l’Informatique et des Libertés (CNIL) rappelle tous les droits existants pour maitriser ses données personnelles : https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles

Ce même règlement européen donne aux entreprises 30 jours pour restituer les données personnelles à leur client une fois la première demande de restitution faite (article 12.3). Au-delà de ces 30 jours, j’ai le droit, en tant que citoyen européen et résident français, de porter plainte auprès de la CNIL — ou à un organisme équivalent dans un autre pays membre de l’UE. Sur le site de la CNIL, un travail important de documentation à destination des entreprises et des particuliers a été réalisé afin que chacun comprenne bien ses droits en tant que particulier et surtout ses devoirs en tant qu’entreprise.

Au travers de mes différentes expériences professionnelles, j’ai été amené à travailler et à m’intéresser à la question de la restitution des données personnelles à leurs propriétaires, notamment au travers du projet MesInfos. Cette expérience m’a fait prendre conscience de l’étendue des données que je laissais, et que nous laissons tous à dispositions des entreprises dont nous sommes les clients. Certes, Google, Facebook, Uber, … collectent des données sur nous, mais ce ne sont pas les seules !

En quête de mes données personnelles

Il y a un an et demi, avant que le RGPD n’entre en vigueur, je deviens enfin un fidèle client de mon supermarché Franprix avec une carte de fidélité qui allait permettre à mon supermarché préféré de collecter tout un tas de données exploitables sur moi. Ce type de carte récolte en effet beaucoup d’informations me concernant :

la liste d’achats, le moyen de paiement, l’horodatage, l’identifiant caisse, l’identifiant caissier.e, le nombre d’articles, le total de points, le solde fidélité, les points convertis, les points accordés, l’identifiant point de vente, le montant payé, le libellé de l’article, le rayon, la quantité, le prix unitaire, le prix total.

Avec cela, j’allais enfin pouvoir comprendre à quoi ma prise de poids de 7 kilos en 9 mois était due.

Après le mise en place du RGPD, j’ai effectué une demande de restitution de mes données à Franprix, en envoyant un mail le 21 juin à macarte@franprix.fr. Le 22 juin à 15h, j’ai une réponse dans laquelle il m’est demandé une photocopie de ma carte d’identité — document que je leur ai fourni dans la minute. En parallèle, j’ai demandé à cinq entreprises de me restituer mes données via différents canaux : mon espace client à la Société Générale qui m’a redirigé vers protectiondesdonnees@societegenerale.fr ; un échange en privé sur Twitter pour SFR ; mon compte client pour Blablacar et enfin mon compte client Eau du Grand Lyon. Pour information, à l’époque de ma demande, j’étais client depuis 14 ans chez SFR, je suis client depuis 18 ans à la Société Générale, 8 ans chez Blablacar et un an et demi chez Eau du Grand Lyon

Blablacar m’a répondu en 7 jours après avoir prouvé mon identité. Ils m’ont fait parvenir un fichier HTML avec mon profil, mes historiques de discussion, de trajets, mes ratings, mes différents paiements…, bref, quelque chose d’assez complet.

Pour ce qui est de SFR, j’ai reçu un CSV de 795 octets avec des données d’un basique inouï : mon numéro de téléphone (impressive) mon mail (Wahou) le forfait auquel j’avais souscrit (Am-az-ing) et 23 autres données toutes aussi inintéressantes les unes que les autres, alors que, je le rappelle, j’étais client chez eux depuis 14 ans. (cf ci dessous) Je m’autorise même à vous les partager.

De la part de SFR, je m’attendais à recevoir des données comme mon historique des appels entrants et sortants avec l’horodatage, ma géolocalisation, mes différentes consommations : données, minutes d’appels, nombre de sms…

Revenons maintenant à Franprix. 1 mois et 29 jours après ma demande (le 20 août), je reçois un ensemble de fichiers. 5 .jpeg et 2 .xls avec, sur l’un des .xls les données suivantes :

Les .jpeg me présentaient les informations sur mon profil et les différents échanges de mail que j’avais pu avoir avec le service client Franprix.

Suite à ce message j’ai renouvelé ma demande auprès de Franprix leur demandant d’affiner certaines données. Conscient du type de données qu’un supermarché récolte sur ses clients, et constatant le caractère succinct des données que j’avais réussi à obtenir, j’ai sollicité le détail de mes achats et du mode de paiement. Le 24 août, après avoir renvoyé un mail indiquant que je portais plainte auprès de la CNIL, je recevais les données demandées. Mais la plainte était déjà déposée, et a mes yeux, il manque encore quelques données.

A ce jour j’ai déposé 2 plaintes auprès de la CNIL : une contre SFR (le 27/08/2018) et une auprès de Franprix (le 20/08/2018). J’ai informé les deux entreprises de mon dépôt de plainte. Je n’ai toujours rien reçu de la part de la Société Générale, qui avait jusqu’au 3 octobre pour m’envoyer mes données. Eau Du Grand Lyon a deux mois de retard sur la restitution, il y a 14 jours ils m’ont mis en relation avec la responsable relation consommateurs.

A vous de jouer

La procédure pour porter plainte auprès de la CNIL est assez simple et intuitive. Après avoir déposé mes plaintes, j’ai reçu un courrier via La Poste m’informant que celles-ci avaient bien été prises en compte mais que, compte tenu du grand nombre de plaintes qu’ils recevaient, ma demande ne serait pas traitée tout de suite.

En somme, il est dommage que des règlements européens bien intentionnés soient mis en place, mais que les moyens mis en face ne suffisent pas à permettre à chacun de faire valoir ses droits : la CNIL croule sous les demandes, aucun suivi de dossier n’est possible, il n’y aucun moyen de juger si une information est partielle ou non…

Avec Franprix, j’avais la chance de connaître le type de données que ce magasin possédait sur moi et j’ai été en mesure d’énumérer les données qu’ils devaient me restituer. Sans cette relance avec énumération des données voulues, je n’aurais jamais reçu le détail de mes tickets de caisse. Comment peut-on être sûr que les entreprises jouent honnêtement le jeu du partage de l’ensemble des données personnelles à leurs clients? Comment connaître l’avancée de mes plaintes à la CNIL? Nous sommes dans un changement de paradigme autant du point de vue de l’individu que celui des institutions. Comment peut-on permettre à tous de se questionner sur qui possède quoi sur qui ? Comment permettre aux entreprises d’acquérir cette culture de la donnée, et de in fine être plus transparent et proposer des formes de restitution plus accessibles et être GDPR compliant ?

Tous, en tant que citoyens, nous devons faire jouer nos droits, allez-y, c’est très simple, ça se fait sur la pause dej!