Ce que le RGPD a changé pour les droits des utilisateurs dans le digital en France

Avant le RGPD, la France disposait déjà de règles pour protéger les données, grâce à la Loi « Informatique et Libertés » de 1978. Mais la directive européenne de 1995 était devenue largement obsolète, face à la généralisation d'internet, à la croissance des géants du web et au développement du big data. Le RGPD est venu durcir, harmoniser et actualiser la protection partout en Europe.

• Application directe : Contrairement aux directives, le RGPD est un règlement, donc il s’applique dans tous les États membres sans adaptation locale.
• Champ élargi : Toute entité traitant les données de résidents européens y est soumise, même hors-UE.
• Pouvoir de sanction accru : Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les infractions les plus graves (Article 83 RGPD).

Mais, au-delà de la pression règlementaire sur les entreprises, ce sont surtout les droits des utilisateurs qui ont connu un véritable bond. Ce sont ces droits, bien souvent mal compris, qu’il est essentiel de détailler.

Concrètement, tout utilisateur (particulier, professionnel, mineur, citoyen…) dispose de pouvoirs étendus sur ses données personnelles. Voici les principaux droits garantis ou renforcés par le RGPD en France :

1. Droit à l’information
2. Droit d’accès
3. Droit de rectification
4. Droit à l’effacement (droit à l’oubli)
5. Droit à la limitation du traitement
6. Droit à la portabilité des données
7. Droit d’opposition
8. Droit de ne pas faire l’objet d’une décision automatisée

Ces droits se complètent et s’exercent généralement directement auprès de l’organisme – gratuitement et sans avoir à justifier d’un motif, sauf exception.

Droit à l’information : transparence avant tout

La première clé du RGPD, c’est de ne plus laisser les personnes dans l’ignorance : toute entité collectant des données doit expliquer, en termes clairs, ce qui est collecté, pourquoi, pour combien de temps, et à qui les données sont transférées. Cette information doit être « concise, transparente, compréhensible et aisément accessible » (Article 12 RGPD).

• Exemple concret : Affichage d’une politique de confidentialité détaillée sur chaque site ou application qui recueille (ou traite) des données personnelles.
• Nouveauté RGPD : Obligation d’informer aussi en cas de collecte indirecte (données obtenues auprès d’un tiers, pas directement auprès de l’utilisateur).
• Sanctions fréquentes : Fin 2023, la CNIL a sanctionné plusieurs sites pour des informations “non accessibles ou incomplètes” (CNIL).

Droit d’accès : consulter facilement ses données

C’est un droit fondamental. Tout utilisateur peut demander : “Quelles sont les données que vous détenez sur moi ?”. L’organisme doit répondre sous un mois, fournir une copie, détailler les finalités du traitement, les destinataires, la durée de conservation, etc.

• Exemple concret : Demander à une enseigne où l’on a un compte client de recevoir la liste de toutes les informations enregistrées (historique d’achats, identifiants, préférences…).
• Délai et coût : Sous 1 mois, sans frais (des frais “raisonnables” ne sont possibles qu’en cas de demandes manifestement infondées ou excessives).

Droit de rectification : corriger sans délai

L’utilisateur peut exiger la correction de toute information inexacte ou obsolète le concernant. L’organisme doit rectifier “dans les meilleurs délais”. Exemple classique : modification d’une adresse, d’une faute dans le nom, d’une donnée de santé inexacte.

Droit à l’effacement (“droit à l’oubli”)

Amorcé par la CJUE en 2014 contre Google, ce droit a été gravé dans le RGPD. Il permet de demander la suppression de ses données dans certains cas :

• Données qui ne sont plus nécessaires
• Retrait du consentement (pour des opérations où il était requis)
• Opposition au traitement ou traitement illicite
• Obligation légale de suppression

Il ne s’applique pas dans tous les cas (notamment si la loi exige la conservation, ou pour la liberté d’expression). Ce droit a été invoqué plus de 276 000 fois auprès de Google entre 2014 et 2023 (Google Transparency Report).

Droit à la limitation du traitement

Entre l’effacement total et l’usage libre, il y a une voie médiane : l’utilisateur peut exiger “la mise en pause” du traitement, par exemple le temps de contester l’exactitude de données, ou encore pour limiter l’utilisation à l’archivage.

• Cas fréquents : Les situations où une suppression serait trop brutale (litige, contestation…)

Droit à la portabilité des données : récupérer et transférer

C’est l’un des droits les plus novateurs. Tout utilisateur peut recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre organisme si souhaité. Cela s’applique aux données fournies sur la base du consentement ou du contrat.

• Applications pratiques : Récupérer son carnet d’adresses pour le transférer d’une messagerie à une autre, ou exporter son historique bancaire vers une nouvelle banque en ligne.
• Obligation pour les plateformes : Les “fichiers clients” et historiques de commandes sont concernés.

Droit d’opposition : dire non à certains traitements

L’utilisateur peut s’opposer à tout moment au traitement de ses données pour des raisons tenant à sa situation particulière ; il peut aussi refuser l’usage de ses données à des fins de prospection commerciale (publicité ciblée, newsletters…).

• Chaque email de prospection doit proposer un lien de désinscription simple (exigé par le RGPD + la loi française)
• La CNIL a infligé 1,2 million d’euros d’amende à Carrefour en 2020, notamment pour non-respect du droit d’opposition (CNIL).

Droit de ne pas faire l’objet d’une décision automatisée

Avec l’essor des algorithmes, il est crucial que l’utilisateur puisse refuser qu’une décision le concernant soit prise uniquement sur la base d’un traitement automatisé (profilage, scoring…). L’organisme doit offrir une intervention humaine et la possibilité d’exprimer son point de vue.

• Exemples : Refus d’un prêt bancaire généré automatiquement, recrutement via intelligence artificielle (Article 22 RGPD)

• Droit après décès : En France, il est possible de donner des instructions sur le sort de ses données post-mortem. (Article 85 Loi Informatique et Libertés, modifiée par la loi pour une République numérique de 2016)
• Droit des mineurs : Renforcement spécifique : le recueil du consentement est soumis à l’accord des titulaires de l’autorité parentale pour les moins de 15 ans. (la moyenne européenne est à 16 ans)
• Droit à l'action collective : Depuis la loi Lemaire, les associations peuvent agir pour le compte de l’utilisateur en matière de données. (Peu usité à ce stade, mais en progression)

La procédure est largement décentralisée : l’utilisateur doit d’abord contacter directement l’entité qui détient ses données (par email, formulaire, ou lettre). En cas de silence ou de refus non motivé, on peut saisir la CNIL, qui dispose de pouvoirs d’enquête accrus depuis 2018. Les chiffres sont parlants : en 2023, la CNIL a reçu plus de 13 160 plaintes (+35 % en 5 ans, source : rapport annuel CNIL 2023). Trois des motifs les plus fréquents : prospection commerciale non sollicitée, difficultés à effacer ou corriger ses données, réponses incomplètes ou tardives.

• Obligation d’ergonomie : Proposer des interfaces simples pour les demandes d’accès/effacement/portabilité.
• Documentation : Tracer les demandes et y répondre dans le délai de 1 mois.
• Sécurité accrue : Le RGPD impose la notification des failles de sécurité à la CNIL dans les 72h (Article 33 RGPD).
• Privacy by Design : Concevoir tous services digitaux avec le respect des droits utilisateurs comme socle de départ.

Depuis 2019, la CNIL accentue ses contrôles sur les plateformes françaises et étrangères. De nombreux acteurs, dont Google, Microsoft, TikTok ou Amazon, ont été sanctionnés pour non-respect des choix utilisateurs, en particulier au niveau des cookies et de la publicité personnalisée.

• En 2022, Google a dû payer 150 millions d'euros d’amende en France pour non-respect du droit de refuser les cookies aussi facilement que de les accepter (CNIL).

La diffusion de la culture RGPD a déjà transformé le paysage digital en France : 80 % des Français déclarent avoir entendu parler de leurs droits en matière de données personnelles (Baromètre IFOP/CNIL 2022), contre moins de 40 % en 2016. Pourtant, seuls 37 % se disent réellement capables de les exercer (source : Baromètre 2022 CNIL). Clairement, la route est encore longue : multiplications des services en ligne, généralisation de l’IA générative et du profilage, nouveaux risques chez les PME ou les collectivités… Le RGPD reste donc une référence indispensable, mais pas un aboutissement. L’information, la pédagogie, et l’exigence d’un numérique plus responsable resteront le leitmotiv, pour des droits qui ne cessent d’évoluer.