Non, Facebook et Google ne sont pas les seules entreprises à posséder vos données personnelles. Depuis la généralisation d'Internet et des réseaux sociaux, on a désormais tendance à ne penser qu'à ces sociétés lorsqu'on évoque cette problématique.

"Toutes les entreprises détiennent des données à caractère personnel sur leurs clients", affirme Paul-Olivier Gibert, président de l'AFCDP, une association regroupant les responsables des données personnelles des entreprises françaises. "Mais l'Etat, les collectivités locales et les associations en disposent également", continue-t-il. Ces acteurs ne sont d'ailleurs pas propriétaires des données personnelles qu'ils utilisent. "C'est bien le particulier qui reste maître de ses données. Il peut exercer un droit d'accès, de rectification et de suppression qui a été formalisé par la loi Informatique et Libertés de 1978, son application est depuis contrôlée par la CNIL", précise Paul-Olivier Gibert.

Des usages multiples des données

Utiliser des données personnelles d'accord, mais pour en faire quoi ? Tout d'abord, pour mettre en application les contrats qui les lient à leurs clients. Difficile en effet de traiter avec l'un d'eux sans posséder par exemple ses coordonnées. "Les données servent aussi pour des fonctions marketing destinées à gérer la relation avec les clients", détaille Paul-Olivier Gibert. Il faut connaître votre profil pour pouvoir vous vendre un nouveau produit ciblé ou vous fidéliser. Enfin, les derniers modèles d'exploitation des données viennent évidemment d'Internet.

C'est là que Google ou Facebook interviennent. Les deux sites utilisent toutes les données captées par l'usage de leurs services pour cibler au mieux la publicité affichée sur leur site. Une recherche sur un nouveau modèle de voiture vous affichera à coup sûr en première position un lien acheté à Google par le constructeur. Le groupe américain réalise ainsi 90 % de son chiffre d'affaires sur cette activité. La collecte d'informations est donc vitale pour ces entreprises, tout comme leur sécurisation. Le moindre bug ou piratage qui voit des millions de données partir dans la nature est toujours très néfaste pour l'image de marque de ces entreprises dont le modèle est basé sur la confiance.

Des durées de conservation de données variables

Heureusement, la loi a prévu des recours pour les particuliers. Les données ne peuvent tout d'abord pas être traitées sans le consentement de la personne concernée et bien entendu seulement dans un but légitime. Il peut même aller jusqu'à demander leur suppression, si le cadre légal de l'activité le permet. "Une banque doit par exemple garder les données de ses clients à cause d'une obligation de conservation de l'historique des données bancaires", précise Paul-Olivier Gibert. Il est en revanche encore très difficile de pouvoir y accéder directement. Seuls les espaces client en ligne ou les réseaux sociaux le permettent réellement.

"Une partie des traitements de données ont été conçus dans les années 70 et 80 et ne prennent pas toujours en compte les nouvelles contraintes de vie privée", constate Paul-Olivier Gibert. Mais la prochaine réglementation européenne devrait rendre les choses plus facile grâce à la fonction de Data Protection Officer (DPO). Ce médiateur devra être nommé dans chaque entreprise utilisant des données personnelles. Il sera le référent clairement identifiable pour toute demande sur le sujet. Une véritable avancée dans un sujet bien souvent trop flou.