auntie rgpd

Quand Tata lance un sondage... et oublie le RGPD

Pargiuliagovernatori

Lancer un « petit sondage » sans respecter le RGPD peut coûter très cher : même un amateur risque des amendes de plusieurs millions d’euros.

Imaginez Tata Lucette. Charmante, pleine d’énergie, un peu curieuse… et légèrement désinvolte avec la loi. Un beau matin, elle décide de lancer un sondage sur les réseaux sociaux. « C’est juste pour rigoler ! », dit-elle. Elle crée un formulaire, pose des questions sur la santé, les opinions politiques, les préférences amoureuses, récolte noms, prénoms, e-mails, et le tout sans avertir personne. Résultat : 1000 réponses en 24 heures. Elle est ravie. Puis elle publie tout sur Facebook. Et là, c’est le drame. 

Car Tata vient, sans le savoir, de violer plusieurs articles du RGPD. Et ce n’est pas un détail administratif : c’est un terrain miné. 

Ce que dit (et impose) le RGPD 

Le RGPD – Règlement Général sur la Protection des Données – n’est pas là pour décorer les formulaires. Il encadre toute collecte et traitement de données personnelles. Même les petits sondages de famille sont concernés dès qu’on peut relier une réponse à une personne identifiable. 

Voici les règles de base que Tata aurait dû respecter : 

• Informer clairement : toute personne sondée doit savoir qui collecte les données, pourquoi, combien de temps, comment, et avec qui ces données seront partagées.

• Obtenir un consentement libre et éclairé : un petit bouton « J’accepte » ne suffit pas. Le participant doit comprendre ce qu’il accepte, sans être piégé par un design obscur.

• Collecter uniquement ce qui est nécessaire : poser 25 questions alors que 3 suffisent ? Non. C’est contraire au principe de minimisation.

• Assurer la sécurité des données : exit les fichiers Excel non protégés sur un vieil ordi de cuisine. Le RGPD exige des mesures techniques sérieuses (cryptage, contrôle d’accès, etc.).

• Respecter les droits des personnes : chaque participant doit pouvoir accéder à ses données, les corriger, demander leur suppression ou s’opposer à leur traitement.

• Faire très attention aux données sensibles : religion, santé, orientation sexuelle, opinions politiques... ce sont des catégories ultra-protégées. Les collecter sans cadre juridique solide, c’est interdit.

• Définir une durée de conservation claire : les données ne peuvent pas être stockées « au cas où ». Elles doivent être effacées une fois la finalité atteinte.

Et si on ne respecte pas tout ça ? 

Eh bien, Tata risque gros. Voici les principales conséquences d’un sondage improvisé sans respect des règles: 

• Une fuite de données : imaginez que son fichier soit piraté. Mille personnes exposées à leur insu. C’est un cauchemar pour eux, et un risque juridique pour elle.

• Des sanctions lourdes : la CNIL (en France) peut infliger jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires mondial. Bon, Tata ne dirige pas une multinationale, mais même une personne physique peut se voir condamnée.

• Plaintes ou même procès : les participants peuvent demander une compensation pour atteinte à la vie privée.

• Une réputation ruinée : que ce soit une association, une mairie ou une entreprise, diffuser ou perdre des données personnelles, ça laisse des traces.

Les professionnels des données savent ce qu’ils font 

Ce genre de mésaventure n’arrive pas aux professionnels (en tout cas, rarement). Les analystes, data scientists, responsables RGPD… tous ceux qui travaillent dans la data ont été formés à ces enjeux. Ils savent: 

• comment anonymiser ou pseudonymiser les réponses, 

• comment rédiger une information claire, 

• comment choisir une plateforme de sondage conforme, 

• comment documenter les consentements obtenus. 

Bref, ce sont des gens fiables qui respectent la loi, protègent les participants et prennent la question des données personnelles au sérieux. À bon entendeur… 

Et si vos données ont été exposées ? 

Si vous avez rempli un sondage douteux ou si vous avez l’impression qu’un de vos anciens formulaires circule sans votre accord, voici ce que vous pouvez faire : 

1. Demandez la suppression de vos données (droit à l’oubli – article 17 du RGPD). Il suffit d’écrire au responsable du sondage : « Je demande la suppression de toutes mes données personnelles. » Il a un mois pour vous répondre.

2. Révoquez votre consentement : si vous aviez accepté, mais que vous changez d’avis, vous avez le droit de revenir en arrière. Le traitement doit cesser.

Signalez à la CNIL: si l’auteur du sondage ne vous répond pas, ou refuse de supprimer vos données, vous pouvez faire une plainte officielle auprès de la CNIL (https://www.cnil.fr/plaintes). 

4. Soyez vigilants : si des données sensibles ont été publiées, changez vos mots de passe, surveillez vos comptes, et restez attentif à tout comportement suspect.

En conclusion 

Un sondage mal ficelé peut paraître anodin, mais il expose tout le monde à de vrais dangers : perte de vie privée, piratage, sanctions juridiques. La solution ? Soit vous vous formez sérieusement à la gestion de données, soit vous confiez la mission à un·e professionnel·le. Parce qu’en matière de données personnelles, l’amateurisme n’est pas une option. 

Et rappelez-vous : vous avez toujours le droit de demander qu’on efface vos données. Et si on vous le refuse, la CNIL est là pour vous défendre.