Comment Incogni appuie les exigences de la CNIL
Si vous ne le savez pas encore, depuis février 2022 la CNIL (Commission nationale de l’informatique et des libertés) a publié un rapport qui vise à encadrer un peu mieux le traitement de données par toutes les organisations qui effectuent des activités commerciales avec. Cela implique donc par exemple les data brokers dont j’ai déjà parlé sur ce site.
Pour résumer, les data brokers vont récupérer vos informations personnelles (depuis différents services et base de données) et essayer de les croiser pour obtenir une fiche la plus complète possible à votre propos. De l’adresse mail, à l’adresse physique en passant par vos mots de passe ou vos données bancaires. Cela dans le but de les revendre à prix d’or à des démarcheurs ou d’autres organismes. Selon le data broker cette recherche va aller de simplement récupérer des informations légales (que vous avez données à divers services/sites) jusqu’à l’illégalité pure et simple (hack de base de données, etc.). Bref le panel est large et croyez-moi, VOS infos sont chez des dizaines d’entre eux (voir mon test personnel d’Incogni).
Ce sont ces revendeurs et ces acheteurs qui sont entrés un peu plus dans le collimateur de la CNIL depuis début de l’an dernier. Avec un rappel prononcé de leurs obligations en décembre 2022. Ce qu’il faut savoir c’est que ce genre de pratique n’est PAS interdite par le RGPD, ce n’est donc pas aussi simple que de dire qu’il faut tous les épingler, il existe une marge de manoeuvre.
La première chose qui leur est demandée est justement de s’assurer de la légalité des données. Notamment qu’elles ont bien été récoltées avec l’accord de la personne. Dans la majorité des cas ce sera que la personne a bien validé ou coché la case des conditions générales & Co lorsqu’elle s’est inscrite ou qu’elle a rempli un formulaire. Pour ceux qui refusent ces transmissions de données dès l’inscription, cela ne doit bien entendu jamais se retrouver chez un data broker, et encore moins être revendu par ce dernier.
Le second point c’est que les données ne soient pas conservées plus longtemps que ne le demande la CNIL. À savoir 3 ans après la fin de l’acte qui a généré la relation commerciale (que ce soit l’achat sur un site e-commerce, la délivrance d’une prestation diverse, la fin d’une garantie …). De plus, tout ce qui a trait à la gestion d’un contentieux, à la comptabilité, etc. (bref toute la paperasse administrative) doit être exclu par défaut et ne pas être partagé.
Là où le règlement de la CNIL va plus loin, c’est dans le fait que les acquéreurs des données doivent eux aussi s’assurer que tout est légal. Et nous en informer (dans un délai d’un mois), en citant leur source, si ce n’est pas le cas. Nous dire à qui ils ont acheté nos informations en somme et nous demander notre accord. Et ça, c’est plutôt cool parce que ça permet de savoir où nos infos ont trainé.
Ils doivent pouvoir prouver que nous avons donné notre consentement pour tout démarchage. C’est parfois inscrit de manière explicite dans les conditions générales ou les formulaires que nous validons en créant un compte quelconque. En vous inscrivant sur WhatsApp, vos données sont partagées avec Facebook & Co. Ce genre de choses. Dans le cas inverse à lui de recueillir votre assentiment. Et si vous n’êtes pas d’accord, il doit respecter votre demande de retrait/modification de sa liste.
Bref, ça, c’est la théorie. Pas toujours simple à faire respecter ou difficile à gérer au cas par cas. Comment vraiment savoir qui a quoi ? À qui avez-vous donné les droits de partage sur tel site en 2017 ? Etc. Si vous préférez déléguer ou prendre les devants, il y a Incogni.
Comme je l’ai déjà expliqué dans d’autres articles, le job d’Incogni va être proactif, avant même que les sociétés aient à vous contacter. Vous lui indiquez les données que vous acceptez de partager et celles que vous ne voulez plus voir sur le web et il va faire le taf à votre place.
Il commencera par analyser le contenu de ce que possèdent des dizaines de data brokers sur vous. Et ensuite il les contactera pour leur demander de supprimer ce qui ne vous convient pas. De cette manière les acheteurs n’auront déjà plus accès à ces informations lorsqu’ils vont acquérir une base de données.
Et si les data brokers ne font pas le boulot ? Incogni va continuer à les harceler régulièrement. Et si cela ne suffit toujours pas ? Alors vous pourrez peut-être vous tourner vers la CNIL. Mais, pour 5-6€/mois, le service de Surfshark est plutôt pratique. J’ai pris quelques minutes pour mettre en place mon test et depuis ce sont des dizaines de brokers qui m’ont retiré de leurs listes. Et qui continuerons, car l’outil veille au grain pour le cas où ils me réintégreraient en scred.