Jérémie Gachelin

Blog personnel

RGPD : Exercez vos droits !

Retour d’expérience sur l’exercice de mes nouveaux droits relatifs au nouveau règlement européen sur la protection des données (RGPD). Remonter à l’origine de ses données personnelles donne parfois des résultats étonnants !

1 – Optical Center

Je reçois à mon domicile familiale un courrier de la part d’Optical Center. Société épinglé par la CNIL, qui a prononcé une sanction de 250k€ à son encontre en juin 2018. L’occasion rêvée de tester leur conformité au RGPD non ? 🙂

A l’arrière de l’enveloppe, une adresse e-mail pour exercer mes droits : personaldata[at]optical-center.com. J’envoie donc un mail, le 13/11/2018, en demandant deux choses :

  • Comment Optical Center a obtenu mes données ?
  • Le droit à l’effacement ou « droit à l’oubli » (article 17)

Je reçois 3 jours plus tard, le 16/11/2018, une réponse de leur part : mon droit à l’opposition est pris en compte, mais les campagnes étant déterminées à l’avance, il faut compter 3 à 4 mois avant l’arrêt des publicités. Pour ce qui est de la provenance de mes données : ils ne savent pas, ils font appel à la société de publipostage Dataneo et me renvoient vers eux.

Réponse d'Optical Center

2 – Dataneo

Optical Center fait (presque) bien les choses, puisqu’ils me fournissent dans leur réponse l’adresse mail à laquelle contacter cette société de publipostage : contact[at]dataneo.fr. Cependant, l’adresse à utiliser est plutôt celle-ci : cnil[at]dataneo.fr.

J’écris donc le 17/11/2018 à la société Dataneo, avec toujours pareil, mes deux requêtes :

  • Où ont-ils collectés mes données personnelles ?
  • Oubliez-moi !

Pour information, le RGPD impose un délai de réponse de 1 mois (article 12.3), mais si la demande est trop complexe, le délai peut être allongé de 2 mois, à condition d’en informer la personne concernée durant le 1er mois, donc Optical Center et Dataneo sont largement dans les clous, c’est bien.

Je reçois une réponse de la société, le 28/11/2018. La réponse est pour le moins surprenante : mes données viennent « du Ministère de l’Intérieur (qui gère le fichier des immatriculations de véhicules) auquel (ils sont) liés par un contrat de licence, conformément au Code de la route. »

Réponse de Dataneo

J’ai donc renvoyé un mail, le 28/11/2018, à Dataneo pour connaître le rapport entre le Ministère de l’Intérieur, Dataneo et le Code de la route, parce que je n’ai pas compris. Je n’ai pas encore reçu de réponses de Dataneo, mais le Ministère m’a apporté une réponse.

3 – Ministère de l’Intérieur

Puisque, « en raison du Code de la route », le Ministère de l’Intérieur transmet mes données à une (plusieurs ?) sociétés de publipostage, j’ai envoyé le 28/11/2018 une demande à delegue-protection-donnees@interieur.gouv.fr afin de :

  • Savoir où ont-ils collectés mes données personnelles ? (probablement d’une immatriculation récente à mon nom)
  • Savoir surtout où ont-ils obtenu mon consentement ?
  • Savoir à qui d’autre que Dataneo ils ont transmis mes données personnelles ?
  • Faire une demande d’opposition au traitement de mes données à des fins de prospection

En moins de 24h, le 29/11/2018, j’ai reçu une réponse de la part du DPO du Ministère de l’Intérieur. Effectivement, l’article L. 330-5 du Code de la route indique que les données issue du SIV (Système d’Immatriculation des Véhicules) peuvent être utilisés à des fins commerciales (la CNIL liste d’ailleurs tous les destinataires possible).

Réponse du Ministère

Conclusion

Le concessionnaire automobile chez qui j’ai acheté un véhicule dans l’année, s’occupe de toutes les démarches. Je n’ai pas vu le papier où décocher cette utilisation, n’ayant pas eu de formulaire CERFA sous les yeux, et il ne m’a pas demandé non plus. Je penserais à être plus prudent à l’avenir, mais le consentement « clair et explicite » du RGPD n’y était pas.

Et encore plus face à un commercial qui, je me souviens très bien, m’a dit qu’ils avaient des formations en ce moment, que désormais il lui fallait demander le consentement à chaque fois, et tout le baratin. Il n’a pas dû écouter beaucoup !

Sinon globalement ça fonctionne bien, puisque toutes mes sollicitations ont eu un retour positif.

Je viens d’envoyer cette fois une nouvelle demande au Secours Populaire Français, qui m’a envoyé un courrier à une adresse où je ne suis plus depuis 2 ans (mais dans le même village, donc ça fini par arriver chez moi quand même), donc c’est un nouveau cheminement qui s’annonce.