Le RGPD expliqué ligne par ligne (articles 1 à 23)
RGPD S01E01
Notre dossier sur le RGPD :
Le 21 février 2018 à 07h30
27 min
Droit
Droit
Le 25 mai 2018, s'appliquera le fameux Règlement général sur la protection des données personnelles. Ses 99 dispositions suscitent interrogations et inquiétudes. Pour tenter d'y voir plus clair, Next INpact vous propose une explication ligne par ligne du RGPD. Nous débutons cette série avec les articles 1 à 23.
Un texte unique pour les régenter toutes. Voilà le credo du RGPD. L’acronyme est désormais un juteux argument commercial dans les salons dédiés à la sécurité, puisqu’on ne compte plus le nombre de sociétés de conseil spécialisées dans la mise en conformité. Il est vrai cependant que le règlement correspond bien à une révolution en Europe et au-delà, avec des points névralgiques que ne devront pas ignorer les sociétés qui brassent de la donnée.
D’abord, pourquoi un règlement et non une directive ? Tout simplement parce que le règlement est juridiquement d’application directe. Il n’exige donc pas de loi de transposition pour être adapté au climat de chaque État membre. Un tel véhicule assure l’uniformisation bien loin de la simple harmonisation. Dit autrement, un règlement évite la fragmentation des législations, et les opportunités de forum shopping, alors que les services en ligne se soucient si peu des frontières.
Voilà en tout cas pour la théorie puisque le RGPD a ses particularités. Le texte ouvre en effet plusieurs options sur certains axes, afin de laisser du mou à chaque législation. Une forme de droit souple.
C’est d’ailleurs l’objet du projet de loi actuellement discuté en France qui, outre une adaptation de l’environnement juridique, active plusieurs des interrupteurs facultatifs programmés par le texte européen. Un exemple parmi d’autres : la question de l’âge à partir duquel un mineur peut consentir à voir ses données personnelles traitées par Facebook et les autres acteurs en ligne. La marge de manœuvre des États se situe entre 16 ans, la norme, et 13 ans, le seuil qui sied tant aux géants américains.
Mais délaissons ces propos introductifs et plongeons-nous maintenant dans les méandres de ce fameux RGPD, article par article en débutant avec les article 1 à 23, à savoir les dispositions générales (chapitre 1), les principes (chapitre 2) et les droits des personnes physiques (chapitre 3).
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Le RGPD expliqué ligne par ligne (articles 24 à 50)
- Le RGPD expliqué ligne par ligne (articles 51 à 99)
Chapitre I. Dispositions générales
Un droit fondamental (article 1)
D’entrée, le règlement rappelle plusieurs considérations de principe. La protection des données personnelles est clairement un droit fondamental. Son objectif ? « Contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques ».
Ces paroles n’ont pas seulement une beauté philosophique alors que géants du Net et institutions publiques engloutissent chaque jour toujours plus de données personnelles, jusque dans les méandres de l’intimité.
Elles guideront les pas du juge lorsqu’il devra ausculter un dossier épineux où seront nécessairement en confrontation des intérêts divergents. La protection des données n’est d’ailleurs pas érigée en droit absolu, mais devra être mise en balance avec d’autres dispositions de même rang, comme la liberté d’entreprendre. Un travail classique d’arbitrage, mais où les rampes d’interprétation sont d’une utilité manifeste.
Champ d’application du règlement (article 2)
Le règlement disponible au Journal officiel européen s'applique donc à tous les traitements de données à caractère personnel, sauf exception.
Quelles exceptions ? Avant tout, les fichiers de sécurité restent de la compétence des États membres. De même, sont exclus les traitements réalisés par une personne physique dans le cadre d'une activité strictement personnelle ou domestique (un répertoire téléphonique dans un domicile privé...). Le RGPD ne s’occupe pas davantage des traitements relatifs à la prévention et la détection des infractions pénales, lesquels font l’objet d’un texte à part, une directive cette fois.
Le règlement, pose l’article 1, établit « des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données ».
Cette notion de libre circulation des données est importante : elle ne pourra être limitée ou interdite « pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Le sacro-saint marché unique ne doit donc pas sortir affaibli de cette législation qui concerne toutes les personnes physiques, « indépendamment de leur nationalité ou de leur lieu de résidence ».
En somme, l’exercice périlleux du règlement sera d’assurer une parfaite fluidité de la donnée, tout en blindant sa protection contre les abus mesurés en fonction de principes classiques et des nouvelles règles.
Le champ d’application territorial (article 3)
Quels sont les traitements qui tomberont sous le coup du règlement ? C’est justement l’une des grandes nouveautés de ce texte.
D’une part, il va s’appliquer à toutes les manipulations de données à caractère personnel effectuées « dans le cadre de l’exercice effectif d'un établissement d’un responsable (…) ou d’un sous-traitant sur le territoire de l'Union ».
Derrière ces mots, on doit comprendre que le lieu du traitement n’a plus aucune incidence. Il ne sera plus possible d’échapper aux griffes de cette législation en faisant héberger son système d’information loin des frontières européennes.
Le critère qui l’emporte est celui de « l’établissement », qui selon la définition apportée par le RGPD « suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable ». Soit un joli champ à contentieux.
Ce critère de l’établissement n’est pas le seul à être pris en compte. Le RGPD s'applique d’autre part aux transferts et traitements concernant des personnes se trouvant en UE quand bien même le responsable (ou un sous-traitant) n'est pas établi dans l'Union.
Plus exactement, toutes les offres de biens ou services, avec ou sans paiement, mais également le suivi de comportements (profilage, prédiction, etc.) repérés au sein de l’Union seront encadrés dès lors qu’ils ciblent des personnes physiques se trouvant dans l’Union.
Plusieurs indices permettront aux autorités de justifier cette emprise : langue utilisée, monnaie... Si un prestataire américain veut éviter d’avoir à respecter le RGPD, il devra bien s’atteler à ne pas laisser pareilles traces sur son site.
Cette portée est importante puisque d’une certaine manière, elle va assurer la propagation de ces valeurs à l’échelle planétaire, du moins chez ceux qui envisagent de cibler le marché européen. Les arguties liées à la territorialité, déployées par force de conviction par des armées d’avocats n’auront qu’un intérêt théâtral à l’avenir.
Qu’est-ce qu’une donnée personnelle ? (article 4)
Le règlement définit les « données à caractère personnel », comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Le texte reste très ambitieux puisqu’une « personne physique identifiable » sera celle « qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Autant dire que les juridictions auront plusieurs leviers pour faire entrer un traitement dans ce champ matériel.
Autre précision, les données qui ont fait l'objet d'une pseudonymisation « et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ».
Chapitre II. Principes
Les principes que doivent respecter tous les traitements de données (article 5)
L’article 5 est l’un des autres pivots du RGPD. C’est lui qui définit le niveau de qualité attendu de tous les traitements de données à caractère personnel. Et c’est à partir de lui que pourront être prises diverses sanctions contre les responsables qui n’auraient pas respecté ces fondamentaux.
Pas de surprise à prévoir pour notre législation. On retrouve en effet plusieurs principes déjà inscrits dans la loi CNIL de 1978. Les données à caractère personnel doivent être :
- « traitées de manière licite, loyale et transparente au regard de la personne concernée ».
- « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ».
- « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
- « exactes et, si nécessaire, tenues à jour », sachant que toutes les mesures raisonnables seront prises pour corriger les inexactitudes.
- « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (sauf hypothèse d’archivage dans l’intérêt public, de recherche scientifique, historique ou statistique).
- « traitées de façon à garantir une sécurité appropriée »
En somme : licéité, loyauté, transparence, finalités limitées, données minimisées, exactes, dont la conservation est réduite dans le temps, et dont sont assurées l’intégrité et la confidentialité.
Un dernier alinéa prévient que le responsable du traitement sera « responsable du respect » de ces critères. Mieux, il devra être en mesure de « démontrer » que ceux-ci sont respectés et donc assumer la charge de la preuve.
Ce principe de responsabilité est fondamental dans la logique du RGPD. Le règlement conduit en effet les États membres à sortir d’un régime d’autorisation ou de déclaration que connaissent bien ceux en contact avec la CNIL par exemple. Les entreprises gagneront en liberté, avec des formalités en moins auprès des autorités de contrôle, mais devront aussi assumer les conséquences d’une violation de ces dispositions, ou s’ils ne parviennent pas à apporter la démonstration attendue.
Le caractère licite du traitement (article 6)
Cet article s’attache à définir à partir de quand un traitement est considéré comme « licite ». Pour cela, les responsables devront respecter au moins l’une des conditions énumérées :
- La personne a consenti au traitement
- Le traitement est nécessaire à l'exécution d'un contrat
- Le traitement est nécessaire au respect d'une obligation légale
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique
- Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
- Le traitement est nécessaire aux fins des intérêts légitimes (et privés) poursuivis par le responsable du traitement ou par un tiers.
Ce critère de « l’intérêt légitime » sera aussi le creuset d’un important contentieux, mais pour éviter un déséquilibre manifeste, il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant). Dans ces hypothèses, sa protection l’emportera toujours.
Les propos liminaires ne sont pas explicites sur ce qui se cache derrière ces blocs. On apprend ainsi que l’intérêt légitime s’arrêtera lorsque des données « sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur ».
Néanmoins, la prévention de la fraude, la sécurité des systèmes d’information (dont la lutte contre les attaques DDoS), ou les traitements à des fins de prospection sont considérés par défaut comme « des intérêts légitimes » (point 47 de l’introduction).
Un détail important : les traitements des autorités publiques ne sont pas concernés par cette notion, tout simplement parce qu’« il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques ».
Malgré la grande uniformisation attendue dès mai 2018, les États conservent plusieurs facultés d’adaptation de leur droit. L’article 6 prévient que chaque pays aura la possibilité de prévoir ou maintenir des dispositions spécifiques pour les traitements relatifs à une obligation légale ou ceux concernés par l'intérêt public. Mais la logique est plutôt celle du cliquet anti retour, en ce sens que ces textes devront toujours être plus précis et garantir un traitement licite et loyal.
Cette logique de finalité n’est enfin pas absolue. Le RGPD accepte que les traitements soient effectués pour d’autres finalités que celles qui ont piloté la collecte initiale. Néanmoins, il devra toujours y avoir « compatibilité ».
Le considérant 50 indique à titre d’exemple que « le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible ».
Si on veut résumer, il pourra y avoir extension des finalités, mais jamais un détournement auquel les personnes ne pouvaient pas s’attendre raisonnablement. Là aussi, ce sujet de la compatibilité risque d’être un beau nid à questionnement pour les tribunaux lorsqu’une entreprise lancera un traitement pour des finalités qui n’avaient pas été prévues à l’origine.
Remarquons enfin que le fait pour le responsable du traitement « de révéler l'existence d'éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels » sera considéré comme relevant de « l'intérêt légitime ». Sauf bien sûr si le responsable est soumis à un secret quelconque (médecins, journalistes, etc.).
Le consentement (article 7)
Comme déjà précisé, dans une logique de responsabilité, le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement, du moins dans les cas où ce recueil était nécessaire.
Certes, il y a une astuce bien connue : noyer cette demande de collecte dans des conditions générales d’utilisation ou dans un flot de questions. Une astuce sans détour repoussée par le RGPD lorsqu’il prévient que la demande devra « être présentée sous une forme qui la distingue clairement », « compréhensible et aisément accessible, et formulée en des termes clairs et simples ».
Le texte insiste : il sera aussi simple de retirer que de donner son consentement. Ce retrait pourra avoir lieu à tout moment. Bien entendu, « le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait ». Enfin, « la personne concernée en est informée [de cette liberté] avant de donner son consentement ».
Un point névralgique : si l'exécution d'un contrat est subordonnée au consentement de la personne, alors que celui-ci n’est pas nécessaire à une telle démarche, alors le critère de la liberté sera présumé ne pas avoir été respecté.
Lorsqu’un site voudra aspirer vos données personnelles, il devra requérir « un acte positif clair » afin de s’assurer que la personne concernée « manifeste de façon libre, spécifique, éclairée et univoque son accord ».
Idéalement, cela doit se faire par une déclaration écrite, mais une simple case à cocher lors de la consultation d'un site pourra suffire voire « un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte »
En toute hypothèse, pas de consentement en cas de silence, de cases précochées par défaut ou encore d'inactivité durant un laps de temps.
Des lignes directrices et explicatives finalisées seront bientôt disponibles sur le site de la CNIL.
Les enfants (article 8)
Les enfants sont mieux protégés, très logiquement « parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».
La question centrale est de déterminer à partir de quel âge un enfant est en capacité de consentir seul par exemple pour que Facebook puisse traiter ses données. L’article 8 fixe ce seuil à 16 ans, mais il laisse aux États membres la liberté de descendre jusqu’à 13 ans.
Faute de mieux, Facebook et les autres devront s'efforcer « raisonnablement » de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, « compte tenu des moyens technologiques disponibles ». Des propos qui ne sont pas bien utiles, tant cette phase de vérification est impossible à distance, sans moyens extrêmement intrusifs.
Le considérant 38 ajoute une précision utile : même sous le seuil, le consentement des parents ne sera jamais nécessaire « dans le cadre de services de prévention ou de conseil proposés directement à un enfant ». On pense ici aux services liés par exemple à la consommation de drogue ou aux moyens de contraception...
Les données sensibles (article 9)
Cet article pose une interdiction de principe des traitements relatifs à l'origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l'appartenance syndicale. Sont ajoutées les données génétiques, et les données biométriques si elles servent à identifier une personne physique de manière unique. Enfin, les données de la santé ou concernant la vie ou l'orientation sexuelle.
Ces traitements sont toutefois autorisés dans une série de cas limitatifs :
- En cas de consentement de la personne
- En matière de sécurité sociale, protection sociale ou droit du travail.
- Lorsque des intérêts vitaux sont en jeu,
- Pour les associations à finalité politique, philosophique, religieuse ou syndicale,
- Quand les données ont été rendues publiques par la personne
- Dans le secteur de la justice
- Si sont en jeu des « motifs d'intérêt public importants » qui doivent néanmoins respecter « l’essence du droit à la protection de la donnée ».
- Dans le secteur de la santé (médecine, etc.)
- Pour l’archivage, la recherche scientifique ou historique, etc.
Les États membres pourront introduire des conditions supplémentaires pour les données génétiques, biométriques ou de santé. Remarquons que les motifs d’intérêt public importants ne pourront jamais autoriser que des traitements soient envisagés « à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques ». Il y a des précisions de rigueur qui s’imposent, compte tenu de l’appétit de ces secteurs.
Les traitements liés aux condamnations pénales (article 10)
Selon le RGPD, ces traitements sensibles ne peuvent être en principe envisagés « que sous le contrôle de l'autorité publique », soit la CNIL en France. Rappelons ici le contentieux sur le terrain du droit à l’oubli où Google a porté un dossier devant la CJUE alors que plusieurs requérants lui reprochent d’avoir référencé des condamnations pénales.
Traitement sans identification (article 11)
Une mesure de bon sens : lorsque des données à caractère personnel traitées par une entreprise par exemple ne permettent pas à celle-ci d'identifier une personne physique (anonymisation), le responsable « ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement » (conservation, etc.)
Dans ce cas, si « le responsable du traitement est à même de démontrer qu'il n'est pas en mesure d'identifier la personne concernée, il en informe la personne concernée ». Si cela lui est possible... par exemple avec une information générique sur un site Internet. En cas d’anonymisation, les droits de la personne disparaissent (droit d’accès, etc.) sauf le droit d’opposition, curieusement.
Chapitre III. Droits de la personne concernée
Transparence et modalités d’exercice des droits à l’information (articles 12, 13, 14)
Toute collecte devra être accompagnée d’une série d’informations obligatoire. La liste est longue, mais citons l’identité du responsable du traitement, celle du délégué à la protection des données s’il existe, les finalités du traitement, les données concernées, la base juridique…
La personne physique devra également connaitre les « intérêts légitimes » avancés par le collecteur, outre les destinataires de ces données. Il devra être éclairé de la volonté de transférer les données hors UE.
Seront également soufflés la durée de conservation du traitement, le droit à la rectification ou l'effacement, le droit d’opposition, le droit de saisir l’autorité de contrôle.
Les informations à communiquer pourront être fournies accompagnées « d'icônes normalisées » afin « d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu ». Par délégation, la Commission européenne sera chargée de déterminer les informations présentées sous cette forme.
Ce droit est une des pierres angulaires puisque les intéressés devront être informés également « si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ».
Enfin, en cas de décision automatisée (précédée par exemple d’un profilage), la personne physique devra se voir livrer « des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement ».
Le considérant 62 pose qu’« il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations [ou] lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés ». Un dernier point qui devrait servir de brèche.
L’article 14 évoque le scénario où des données n’ont pas été collectées auprès de la personne concernée. Là encore surgit l’obligation d’information (identité, finalité, etc.) qui doit intervenir dans le délai d’un mois, avec en particulier mention de la source. Il devra lui-même dire « s'il est envisagé de communiquer les informations à un autre destinataire », histoire d’assurer une traçabilité pleine et entière.
Tout pareillement, cette obligation d’information dérivée n’aura pas à être organisée si le concerné a déjà ces infos ou si leur fourniture « se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public ».
Les droits d’accès et de rectification (articles 15 et 16)
Si le responsable dispose d’une obligation d’information, la personne concernée a, elle, le droit d'obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. C’est le droit d’accès qui lui permettra d’avoir un éclairage individualisé de ces traitements.
Fait notable, le responsable doit sur demande lui fournir une copie des données faisant l'objet d'un traitement, mais le cas échéant, il peut exiger le paiement « de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ».
Mais comment s’assurer que celui qui fait cette demande est bien celui qui se prétend être ? Sur ce point, le considérant 64 explique que le responsable « devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne ». Nous voilà bien avancés.
Évidemment, en cas d’erreur, le demandeur dispose du droit, « dans les meilleurs délais », d’obtenir rectification des données inexactes ou incomplètes.
Droit à l’effacement ou à l’oubli (article 17)
Ce droit à l’effacement a été consacré à destination des moteurs dans le fameux arrêt Costeja de la Cour de justice de l’Union européenne. Il devient ici un droit à l’oubli, précisé, détaillé et expliqué dans le marbre du RGPD, conditionné à la vérification d’un des motifs suivants : des données qui ne sont plus nécessaires (principe de minimisation), le consentement de l’intéressé a été retiré, ou le traitement initial était illicite, ou concernait des enfants sans autorisation, etc.
Une fois l’une de ces conditions respectée, le site, le moteur ou autre devra prendre « des mesures raisonnables » pour informer tous les autres prestataires utilisant ces mêmes données qu’une demande d’effacement a été exprimée.
Ce droit n’est pas absolu : il ne s’applique pas lorsque le traitement est nécessaire à la liberté d’expression ou d’information ou est consécutif au respect d’une obligation légale. Impossible ainsi de demander son effacement du fichier TES des titres sécurisés, géré par le ministère de l’Intérieur. Des motifs d’intérêt public dans le domaine de la santé, de l’archivage, de la recherche ou historique pourront être avancés. Enfin, le droit à l’effacement ne percera pas dans le secteur de la justice.
Droit à la limitation du traitement (article 18)
Lorsque l’exactitude du traitement est contestée ou que ce même traitement est illicite, la personne physique peut demander la limitation de l’utilisation des données. Cette demande vaudra également lorsque les données ne sont plus nécessaires, mais qu’elles doivent être pour partie conservées afin de permettre l’exercice des droits. Les données limitées ne peuvent alors être exploitées qu’avec le consentement des intéressés.
Cet article pourra se matérialiser par un déplacement des données vers un autre système de traitement, au moins temporairement, histoire de les sanctuariser sans les rendre accessibles aux tiers.
Obligation de notification (article 19)
Les rectifications et effacements de données devront faire l’objet d’une notification aux différents destinataires auxquelles ces informations ont été communiquées, « à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés ».
Droit à la portabilité des données (article 20)
C’est l’un des éléments les plus médiatisés du règlement, qui fait l'objet de lignes directrices. En quoi consiste-t-il ? Quiconque a fourni des données chez X ou Y aura le droit dès le 25 mai d’y accéder et de les récupérer. Et pas n’importe comment : même s’il est un peu brumeux, l’article 20 prévient que ce transfert se fera « dans un format structuré, couramment utilisé et lisible par machine ». Et même interopérable, insiste le considérant 68.
Ce droit en emporte un autre : celui de transmettre « son » stock de données à un autre prestataire, sans que le premier détenteur ne puisse y faire obstacle. Mieux, il sera également possible d’exiger un déport des données du premier au second prestataire, du moins « lorsque cela est techniquement possible ».
Cette dernière incise est un appel du pied pour que des acteurs spécialisés émergent sur le marché afin d’aider à la suppression de ces barrières (voir à ce titre l’exemple de Cozy Cloud).
Ce droit n’est toutefois pas absolu. Il suppose que le traitement initial ait été fondé sur le consentement ou un contrat ou à l'aide de procédés automatisés. Néanmoins, ces trois motifs sont suffisamment vastes pour assurer la petite révolution espérée.
Le périmètre exclut en tout cas les traitements nécessaires à l'exécution d'une mission d'intérêt public, relevant de l'exercice de l'autorité publique et ceux répondant à une obligation légale.
Droit d’opposition (article 21)
Toute personne pourra s’opposer à n’importe quel moment à un traitement de données, « pour des raisons tenant à sa situation particulière ».
Ce droit exercé, le responsable du traitement devra alors s’abstenir, sauf à démontrer l’existence de « motifs légitimes et impérieux » suffisamment lourds pour prévaloir « sur les intérêts et les droits et libertés de la personne concernée » ou bien parce que cette poursuite est utile « pour la constatation, l'exercice ou la défense de droits en justice ».
En attendant cette démonstration, le traitement devra nécessairement être interrompu. Ce droit pourra par exemple s’exercer dans toute sa plénitude en cas de prospection commerciale accompagnée ou non d’un profilage.
Pour le blinder davantage encore, le responsable de traitement devra explicitement porter à l'attention de l’individu l’existence de ce droit, « clairement et séparément de toute autre information ». Inutile encore de tenter de noyer le poisson dans les CGU.
Ajoutons qu’à l’égard des services en ligne, une personne pourra exercer son droit d’opposition de manière automatique (via des services en ligne dédiés par exemple).
Décision individuelle automatisée, profilage (article 22)
Cette interdiction se retrouvait déjà dans la loi CNIL. Il sera interdit dans toute l’Europe le 25 mai de fonder une décision – peu importe sa nature dès lors qu’elle affecte ou produit des effets juridiques – exclusivement sur un traitement automatisé, en particulier un profilage. Cela concerne à titre d’illustration « le rejet automatique d'une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine ».
Des exceptions : lorsque ces traitements sont autorisés par la loi (lutte contre la fraude, etc.), ou encore en matière de droit des contrats ou enfin lorsque la personne a donné son consentement explicite.
Dans ces deux derniers cas, l’individu aura cependant toujours la possibilité « d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision ». Les données sensibles sont en principe exclues sauf cas particulier.
Sur le profilage, on pourra retenir que des lignes directrices sont disponibles en l'état de projet sur le site de la CNIL.
Les limitations aux droits de la personne (article 23)
Différents motifs peuvent venir limiter l’ensemble des droits exposés par le RGPD (rectification, information, accès, effacement…). Ce sont des éléments tenant par exemple à la sécurité ou la défense nationale, la sécurité civile (catastrophes naturelles),
Ces limitations doivent toujours respecter « les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ».
Le 21 février 2018 à 07h30
Le RGPD expliqué ligne par ligne (articles 1 à 23)
-
Chapitre I. Dispositions générales
-
Un droit fondamental (article 1)
-
Champ d’application du règlement (article 2)
-
Le champ d’application territorial (article 3)
-
Qu’est-ce qu’une donnée personnelle ? (article 4)
-
Chapitre II. Principes
-
Les principes que doivent respecter tous les traitements de données (article 5)
-
Le caractère licite du traitement (article 6)
-
Le consentement (article 7)
-
Les enfants (article 8)
-
Les données sensibles (article 9)
-
Les traitements liés aux condamnations pénales (article 10)
-
Traitement sans identification (article 11)
-
Chapitre III. Droits de la personne concernée
-
Transparence et modalités d’exercice des droits à l’information (articles 12, 13, 14)
-
Les droits d’accès et de rectification (articles 15 et 16)
-
Droit à l’effacement ou à l’oubli (article 17)
-
Droit à la limitation du traitement (article 18)
-
Obligation de notification (article 19)
-
Droit à la portabilité des données (article 20)
-
Droit d’opposition (article 21)
-
Décision individuelle automatisée, profilage (article 22)
-
Les limitations aux droits de la personne (article 23)
Commentaires (88)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/02/2018 à 07h46
#1
Super initiative, c’est tellement inhabitable ce texte !
Aura-t-on un éclaircissement sur les spécificités de la partie HADS de ce texte ?
Le 21/02/2018 à 07h49
#2
Je n’ai pas prévu de partie spécifique sur les HADS, je suis resté “scotché” au seul texte qui est déjà monstrueux. L’idée est d’avoir une base de départ, que j’espère assez solide, pour permettre ensuite à chacun, en fonction des spécificités, de savoir où aller.
Le 21/02/2018 à 08h00
#3
Beau boulot Marc " />
Le 21/02/2018 à 08h02
#4
merci !
Le 21/02/2018 à 08h13
#5
Merci pour cet article qui éclaire et décrypte ce texte. Vivement la suite!
Le 21/02/2018 à 08h17
#6
Top boulot Marc " />
On va enfin capté quelque chose
Le 21/02/2018 à 08h17
#7
Merci pour ce travail !
Le 21/02/2018 à 08h17
#8
Merci !! " />
Le 21/02/2018 à 08h19
#9
Merci, au top !
Le 21/02/2018 à 08h23
#10
Excellent, merci !
J’ai enfin une chance d’y comprendre quelque chose (ou pas) " />
Le 21/02/2018 à 08h36
#11
Merci beaucoup pour cet article Marc,
une remarque cependant, il est écrit pour l’Article 7 : “le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement.”
Hors je comprends des Articles 6 et 7 que le consentement n’est pas toujours nécessaire pour que le traitement soit licite (exemple si d’intérêt public) et donc, comme écrit dans l’Article 7, que le responsable doit pouvoir être en mesure de démontrer que la personne a donnée son consentement “dans les cas où le traitement repose sur le consentement”.
Pierre
Le 21/02/2018 à 08h40
#12
Mais comment s’assurer que celui qui fait cette demande est bien celui
qui se prétend être ? Sur ce point, le considérant 64 explique que le
responsable « devrait prendre toutes les mesures raisonnables pour
vérifier l’identité d’une personne concernée qui demande l’accès à des
données, en particulier dans le cadre des services et identifiants en
ligne ». Nous voilà bien avancés.
Effectivement, ce n’est pas plus simple ou plus clair que la loi informatique et liberté qui stipule que le demandeur doit justifier de son identité, sans plus de précision.
Le 21/02/2018 à 08h57
#13
Merci beaucoup pour l’article.
Mais même avec toutes ces explications, il me manque un point : qu’est ce qu’un “traitement de données” ? J’ai un service où je me sers uniquement de l’adresse email de la personne pour d’évenutelles tâches que je qualifierait de “traitement” (services liés au compte comme connexion et réinitialisation de mot de passe, newsletter). Ensuite je stocke d’autres données personnelles comme le nom et le prénom mais uniquement pour personnaliser l’affichage et la personne peut mettre ce qu’elle souhaite ou rien et encore d’autres données liés à l’activité d’une entreprise (mon service est de type CRM/ERM).
Je ne partage aucune donnée personnelle avec des services tiers, pas même avec des outils “analytics”.
Est-ce que le simple fait de stocker ces données peut-être qualifié de “traitement” ? Car si c’est le cas et que je dois donc demander à mes utilisateur leur consentement au “traitement” de leurs données, ils ont vite fait de me mettre dans le même panier que les GAFAM sans que j’ai le temps de m’expliquer sur ce que je fais avec leurs données (qui grosso modo se résumerait à “rien”).
Le 21/02/2018 à 09h08
#14
Merci beaucoup ! " />
Le 21/02/2018 à 09h09
#15
Le 21/02/2018 à 09h14
#16
Le 21/02/2018 à 09h14
#17
Marc a encore frappé.
Gros gros boulot là, bravo." />
Tu sors un bouquin “le RGPD pour les nuls” du coup? " />
Le 21/02/2018 à 09h20
#18
Le 21/02/2018 à 09h33
#19
une grosse usine à gaz cette loi quand je vois tout ce qu’il faut faire/vérifier (en tant qu’admin) comme si on avaient pas assez de boulot comme ça
Le 21/02/2018 à 09h39
#20
Le 21/02/2018 à 09h45
#21
Merci pour l’article et pour la précision.
La question que je me pose, surtout à l’heure de la dématérialisation, concerne les bases de données de devis et de facturation qui comportent forcément un minimum d’informations personnelles (adresse et objet de la facturation ou du devis). Sont-elles aussi concernées, sachant qu’on ne demande pas aux personnes à qui l’on facture un bien ou un service leur autorisation explicite pour entrer dans la base de données.
Le 21/02/2018 à 09h47
#22
Le 21/02/2018 à 09h53
#23
#NXiEmpowerment
Merci Marc
Le 21/02/2018 à 09h55
#24
Super, Merci pour ces articles !
Le 21/02/2018 à 09h58
#25
Merci. Bon en fait ça simplifie plutôt si je comprends bien.
Je vais m’y plonger.
Le 21/02/2018 à 10h19
#26
Merci pour ce vrai travail de fond et de pédagogie.
Le 21/02/2018 à 10h27
#27
Belle initiative !
Merci
Le 21/02/2018 à 10h34
#28
Dans le “qu’est ce qu’une donnée personnelle ?” on a une définition qui semble englober pas mal de choses.
Dans ce genre de projet il faut se méfier des définition initiales. J’explique:
Si la définition est large elle nécessitera donc un besoin de contrôle serré. Bien évidement cela va à l’encontre des intérêt des géants du secteur (FB, Google etc..). Si elle ne l’est pas cela officialise l’open bar. Et donc légitime des pratiques plus ou moins douteuses.
Donc de deux choses l’une. Soit c’est pour contrôler et donc monétiser le passe droit histoire de renflouer les caisse. Soit cela reviendra a pisser dans un violon car cela sera inapplicable (mais surtout démontrera en pratiqu le baissage de froc de nos gouvernements).
Je ne suis pas juriste mais un “digest” sur les potentielles conséquences, usages et potentiels abus serait très appréciable. Comment l’état s’équipe pour identifier les contrevenants, combien; ça va couter? etc… Ce n’est pas une critique sur l’article mais une suggestion de réflexion.
Le 21/02/2018 à 10h52
#29
La définition est assez large, cf. : https://www.cnil.fr/fr/definition/donnee-personnelle
combien ça va couter ? pas tellement si l’on attribue les amendes délivrés au budget de la CNIL :)
Cf : jusqu’à 20 millions d’euros ou 4% du CA mondial de l’entreprise au montant le plus élevé. Donc pour les grosses entreprises, ça peut se chiffrer en centaines de millions voir au milliard d’amende. D’ailleurs les grosses entreprise américaine l’ont bien comprisà la vue de l’impact sur leur business … dixit Julien Blanchez Global Security & Compliance Strategist chez Google il y a 3 jours de ça.
Le 21/02/2018 à 11h16
#30
Donner des informations privées à des entreprises et administrations cupides, quelle idée stupide " />
Le 21/02/2018 à 11h24
#31
Le 21/02/2018 à 11h36
#32
C’est quoi une administration cupide ?
Le 21/02/2018 à 11h42
#33
C’est peut-être de l’humour mais… une entreprise, quelle qu’elle soit, manie des infos privées en fonction de ses objectifs notamment l’identité (faut bien facturer), cela peut être l’âge (certains produits ou prestations sont vendues selon des critères d’âge, parfois règlementairement définis) ou encore le niveau de formation ou la fonction (données que le dispositif règlementaire ou législatif peut imposer à l’entreprise prestataire de recueillir) et j’en passe.
Le 21/02/2018 à 11h44
#34
Celle qui revend le fichier des cartes grises aux plus offrants (=riches) par exemple " />
Le 21/02/2018 à 11h50
#35
Aux plus offrants, vraiment ?
Tu as un lien prouvant ces enchères ?
EDIT : Et si tu as aussi un lien pour dire combien ça rapporte, on verra si c’est vraiment de la cupidité.
Le 21/02/2018 à 11h53
#36
Merci mille fois ! " />
Le 21/02/2018 à 11h58
#37
Merci pour ce résumé très clair ;)
Je me pose quand même une question en ce qui concerne la revente de données personnelles. C’est évoqué dans les prochains articles du RGPD ou du moment où on accepte de confier nos données à une entreprise elle a le droit de les revendre à un tier ?
Le 21/02/2018 à 11h59
#38
Doublon
Le 21/02/2018 à 12h12
#39
Pas sans que cela soit signalé clairement de toute façon.
Le 21/02/2018 à 12h23
#40
Ca signifierai donc, théoriquement malheureusement, la fin du démarchage publicitaire. Ces boites n’ayant plus le droit de récupérer nos adresses mails, postales ou numéro de téléphone, considérés comme des données personnelles par le RGPD, sans notre consentement.
Après, c’est peut-être que c’est déjà interdit par la loi de recueillir ces informations mais qu’ils s’en tamponnent le coquillard.
Le 21/02/2018 à 12h23
#41
Le 21/02/2018 à 12h30
#42
Fais donc un peu de publicité à cette société en citant son nom.
Et donne nous les 2 décisions de la CNIL, c’est intéressant.
Le 21/02/2018 à 12h36
#43
Ben alors mark, il est où (DTC proff) le TLDR de 3 lignes ?
Merci pour le travail, je le lis en détail ce WE !
Le 21/02/2018 à 12h48
#44
C’est une société locale, un concessionnaire automobile d’une marque étrangère. Dévoiler son nom n’a aucun intérêt. Comme ce n’étaient pas les premières plaintes que j’engageais auprès de la CNIL, je savais que la CNIL ne prendrai aucune mesure coercitive. J’ai donc aussi écrit au DG de la société qui détient les droits d’utilisation de la marque en France pour lui dire que l’attitude du gérant/propriétaire de la concession en question portait préjudice à la marque. C’est le Président m’a répondu, en recommandé avec AR, que j’avais raison : l’attitude de cette personne nuit à la marque et qu’il allait lui rappeler ses obligations.
Quant aux décisions de la CNIL, de mémoire c’est : nous avons rappelé à la société “truc” les termes de la loi et si jamais vous recevez à nouveau des emails et/ou SMS publicitaires dans les 2 mois, veuillez nous les signaler et nous interviendrons.
Depuis le courrier au DG de la société mère française, la boîte en question me fout une paix royale…
Le 21/02/2018 à 12h51
#45
Les amendes lié à la loi informatique et liberté n’ont strictement rien à voir avec celles prévu par le RGPD (jusqu’à 20 millions d’€ ou 4% du CA mondial de l’entreprise, à la somme la plus élevée).
Après, je ne sais pas du tout comment et ou déposer plainte pour les infractions à la RGPD après le 25 mai (date d’entrée en vigueur de la RGPD).
Le 21/02/2018 à 12h58
#46
La CNIL m’a montré à plusieurs reprises son inefficacité en matière de respect des droits des particuliers (voir mes autres posts) en n’infligeant jamais aucune amende, pas même à un récidiviste, au point que j’ai écrit à sa présidente pour m’en plaindre en qualifiant son organisation de parasite puisqu’elle vit au crochet du contribuable qu’elle ne défend pas suffisamment.
Le 21/02/2018 à 13h02
#47
Excellent !
Vivement les saisons 2 et 3 …
Merci beaucoup
Le 21/02/2018 à 13h42
#48
Top cet article, merci pour ces éclaircissements Marc !
Le 21/02/2018 à 13h45
#49
La suite arrive demain (part2) et après demain (part 3). En tout 75 000 caractères dédiés au sujet ;)
Le 21/02/2018 à 13h58
#50
Le 21/02/2018 à 14h07
#51
Excellent article, merci pour tout le travail !
Le 21/02/2018 à 14h11
#52
Je ne pensais pas au consentement préalable, mais aux déclarations auprès de la CNIL en fait. Si je comprends bien, ce n’est plus nécessaire, je parle toujours des fichiers et des données indispensables à l’activité de la structures (en gros fichiers clients et éventuellement prospect).
Le 21/02/2018 à 14h16
#53
Le 21/02/2018 à 14h28
#54
Le 21/02/2018 à 14h39
#55
juste un hs, ça met combien de un partage à s’activer ?
Le 21/02/2018 à 14h44
#56
Ah super !!
Depuis que je vois ce mot RGPD écrit partout, je ne prends jamais la peine de m’y pencher à fond dessus.
Merci pour cet article, qui plus est est très clair !
Le 21/02/2018 à 14h45
#57
Merci pour ce document qui nous laisse beaucoup de travail pour les TPE.
Une question :
Si nous sommes tenus, à la demande d’un client, de faire disparaitre les données le concernant, qu’en est il de la facture qui, selon la dernière loi SAPIN, nous oblige à conserver en l’état et donc sans modification les données inscrites sur cette facture ( nom client, adresse, date d’émission, montant et type de paiement).
merci de votre réponse
Le 21/02/2018 à 14h57
#58
Le 21/02/2018 à 15h02
#59
Le 21/02/2018 à 15h05
#60
La facture, même dématérialisée même traitée dans une base de données, est un document fini pas une donnée sur laquelle on peut faire des traitements informatiques.
Le 21/02/2018 à 15h08
#61
Le 21/02/2018 à 15h15
#62
Le 21/02/2018 à 15h33
#63
Merci pour ce résumé, c’est tellement compliqué à tout assimiler.
Le 21/02/2018 à 15h33
#64
S’il y en a qui se questionnent sur l’intérêt de l’abonnement à NextINpact, cet article le justifie en une fois ! Et tous les autres articles sont en bonus !
Le 21/02/2018 à 16h24
#65
+1
Sinon en passant, vous voulez pas vous mettre aussi aux articles en biologie ? nan c’est juste parce que là bon disons qu’il y a un paquets de baffes qui se perdent en ce moment chez certains de vos “confrères”, ça permettrait de remonter un peu le niveau. " />
En tout cas vivement la suite et fin ;)
Le 21/02/2018 à 16h53
#66
J’apprécie d’autant plus le travail de Marc que je me plonge dedans. Rien qu’avec les considérants, qu’on ne peut pas mettre de côté, il y en a une sacrée tartine à la lisibilité, ne serait-ce que visuelle, douteuse. Le problème c’est qu’on ne peut pas les shunter parce que les considérants définissent les orientations et les optiques du texte.
Je m’y replonge.
Le 21/02/2018 à 19h26
#67
A Marc Rees
“Article 6, dernier paragraphe :
Remarquons enfin que le fait pour le responsable du traitement « de révéler l’existence d’éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels » sera considéré comme relevant de « l’intérêt légitime ». Sauf bien sûr si le responsable est soumis à un secret quelconque (médecins, journalistes, etc.).”
Est-ce que cela signifie un début de protection/reconnaissance des lanceurs d’alerte, ou cela n’a rien à voir ?
Le 21/02/2018 à 19h39
#68
Beaucoup de sites génèrent la facture à la volée lorsqu’on la demande. Je me demande si c’est bien légal comme manière de faire ? Il devrait y avoir systématiquement archivage de l’ensemble des factures à mon sens, le tout au format pdf par exemple.
Et puis le site change les offres/produits proposés changent, la TVA aussi et au bout de quelques années les factures deviennent totalement farfelues.
Par exemple, mon historique d’abonnement et de factures est totalement bidon sur le site du monde.fr .
Le 21/02/2018 à 20h56
#69
Merci, c’est pour ce genre d’analyses que je suis abonné. C’est vraiment un travail d’utilité publique.
Le 21/02/2018 à 22h06
#70
Et pour ma balance connectée, qui balance mes poids, taille, sexe age et autre sur un serveur chinois, je fais comment pour m’assurer que le fabricant respecte ma vie privée ? " />
Le 21/02/2018 à 22h49
#71
A partir du 25 mai 2018, c’est un peu sur ses épaules que reposera cette charge de la preuve ;)
Le 22/02/2018 à 02h48
#72
Merci beaucoup pour cet article ! =)
Entreprises vs humains, je crois que les résultats seront pires que ce à quoi j’imagine =x
Le 22/02/2018 à 08h03
#73
Normalement une facture est un document figé et doit être fait en deux exemples identiques, un pour le client, un pour l’émetteur.
Une facture à la volée qui change au fil du temps me laisse dubitative et à mon avis ce n’est pas très légal et c’est le résultat d’une mauvaise programmation.
Le 22/02/2018 à 10h21
#74
Bravo, et merci!
Le 22/02/2018 à 12h39
#75
C’est ce que je me dis.
D’ailleurs en regardant l’historique de celles de NXI dans mon espace à première vue c’est très étrange. " /> Les règles de calcul/modalités d’abonnement ne semblent pas conservées et rattachées à un paiement.
Le 23/02/2018 à 10h20
#76
Une adresse IP étant une donnée à caractère personnel, quelles sont les conséquences de la RGPD ?
Je pense notamment à la HADOPI, qui utilise des entreprises privées afin de traquer les méchants “pirates” à l’aide de leurs adresses IP…
(Et je suppose qu’une empreinte de navigateur est aussi une donnée à caractère personnel ?)
Le 23/02/2018 à 12h04
#77
Pour ce qui concerne la suppression des données :
Qu’en est-il pour le stockage basé sur des transistors (mémoire flash) tels que les clefs USB et les disques SSD, dont les données ne peuvent pas en pratique être véritablement effacées à moins de détruire physiquement le stockage en question ?
(Et est-ce qu’encrypter les données et détruire ensuite la clef compte pour le RGPD comme une suppression des dites données?)
Je pense en particulier à la situation d’une personne demandant la suppression de ses données stockées parmi des données de nombreux autres utilisateurs sur un même disque…
Le 23/02/2018 à 13h33
#78
Sans vouloir abuser, il y a un truc qui me chiffonne un peu :
J’ai bien compris qu’on parlait dutraitement de donnéesdès qu’un ordinateur ou un document papier étaient impliqués
(même s’il ne s’agit que de quelque chose de temporaire comme un processeur convertissant une addresse IP stockée en binaire en coordonnées de pixels à allumer/éteindre sur un écran),
mais est-ce que ça ne s’appliquerait pas aussi aux êtres humains (et autres êtres vivants) comme êtres étant dotés de sens et pouvant traiter et stocker des informations dans leur cerveau ?!
(Ca me rappelle d’ailleurs pas mal d’épisodes de Black Mirror…)
Il me semble évident que la loi ne comptait pas aller aussi loin, mais j’aurais quand même préféré que cette exception soit clairement énoncée…
Le 23/02/2018 à 13h56
#79
Le 23/02/2018 à 14h07
#80
Et pour reprendre ton exemple volontairement absurde, tu peux en prendre un autre quotidien. Ton smartphone, si tu l’utilises (même que partiellement) à titre professionnel, ben son répertoire relève strictement de la RGPD… Et là on comprend l’absurdité du texte qui se trompe totalement de cible …
Le 23/02/2018 à 15h21
#81
Merci beaucoup pour l’excellent traitement (de données) de cet énorme règlement !
Le 23/02/2018 à 15h53
#82
Pourtant cet article dit bien :
De même, sont exclus les traitements réalisés par une personne physique dans le cadre d’une activité strictement personnelle ou domestique (un répertoire téléphonique dans un domicile privé…).
Sous-entendu : un répertoire téléphonique dans une entreprise (sur papier ou dans un smartphone) est concerné par la RGPD
(et séparer les numéros de téléphone personnels et professionnels est quand même en général une bonne pratique…)
Et je trouve ça assez compréhensible, si ce n’était pas le cas, de quel droit devrait-on obliger des publicitaires ou Facebook d’effacer notre nom/prénom/numéro de téléphone de leurs bases de données?
Pour en revenir à l’exemple du carnet d’adresses, il me semble que même aujourd’hui, il soit assez poli d’en effacer une personne qui nous le demanderait, en particulier dans un cadre professionnel !
Le 23/02/2018 à 16h05
#83
Le 23/02/2018 à 16h14
#84
Et j’ajoute qu’en cas de perte/vol, tu devras faire les différentes notifs aux contacts concernés sauf chiffrement du téléphone, c’est pas beau ? ^^
Le 24/02/2018 à 07h29
#85
Et le RGPD il en pense quoi de l’application Photo menu contacts de Windows 10 1709 ?
Pour ce qui ne connaissement pas je vous conseille d’aller voir… C’est effrayant.
Le 24/02/2018 à 08h00
#86
Qu’est ce qui se passe si dans ma boutique j’ai un perroquet qui finit par apprendre le nom/prénom des clients et un client s’en offusque? Je dois me “débarrasser” du perroquet? " />
Le 26/02/2018 à 09h47
#87
Le 26/02/2018 à 19h11
#88
Je crois que l’important est que ton perroquet ne le répète pas à n’importe qui quand tu as le dos tourné…