Quelques conseils pratiques pour la collecte des données personnelles par les acteurs du Web

Accueil / Actualité / Quelques conseils pratiques pour la collecte des données personnelles par les acteurs du Web
Quelques conseils pratiques pour la collecte des données personnelles par les acteurs du Web

La collecte des données personnelles par les acteurs du web

Quelques conseils pratiques

La loi Informatique et Liberté du 6 janvier 1978 affirme que l’informatique doit être au service de chaque citoyen. Sa réforme du 7 octobre 2016, qui s’inscrit dans le contexte de la collecte massive des données personnelles et du Big Data, est venue ajouter que toute personne dispose « du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Le Règlement Général sur la Protection des données Personnelles ou RGPD (Règlement UE 2016/679) et la loi Informatique et Liberté révisée, ont entreprit une réforme importante visant au renforcement du droit des personnes sur leurs données personnelles et à la responsabilisation des acteurs responsables du traitement de ces données. Le RGPD entrera en vigueur le 24 mai 2018, mais il faut dès à présent se préparer à répondre à ces nouvelles obligations. Les textes renforcent particulièrement le droit à une information complète en langage clair, le droit à l’oubli, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d’opposition (notamment au profilage) et le contrôle de l’usager sur ses données personnelles.

Tous les acteurs du web qui collectent des données personnelles sont concernés par ce nouveau dispositif légal. Les sites commerciaux, les plateformes web, qui collectent des informations nominatives (nom, email) via un formulaire ou autre, et qui constituent des fichiers de clients et de prospects, deviennent « Responsables du traitement de données personnelles ».

Outre la déclaration à effectuer auprès de la CNIL, le responsable de traitement des données personnelles doit respecter les obligations suivantes :

  • Recueillir l’accord des clients pour l’utilisation des données à des fins commerciales (article 38 de LIL). Il n’est pas autorisé à envoyer un mail commercial sans l’accord du destinataire, donné au moment de la collecte de l’adresse mail, sauf si la personne est déjà cliente et que la prospection concerne des produits identiques à ceux déjà fournis ou que la prospection n’est pas de nature commerciale. En pratique, il conviendra donc de prévoir une case à cocher pour autoriser expressément l’utilisation de ces données à des fins de prospection commerciale. Le règlement européen renforce d’ailleurs cette obligation en prévoyant que le consentement doit être express et résulter d’un acte positif. Il ne saurait dès lors y avoir de consentement en cas de silence, de case cachée par défaut ou d’inactivité. En outre, la personne dont les données sont collectées pourra retirer son consentement à tout moment.

 

  • Informer les clients notamment de l’identité du responsable de traitement, de la finalité de la collecte des données, du caractère obligatoire ou facultatif des réponses, des destinataires des données personnelles, du sort des données après la mort, du transfert des données vers un Etat extérieur à la Communauté Européenne, de la durée de conservation des données, de la faculté de mettre en œuvre les droits contre le responsable de traitement et de l’information sur l’existence d’un profilage. Ainsi, l’information à fournir à l’utilisateur va donc bien au-delà d’une simple annonce relative à l’existence d’un cookie qui collecte des données personnelles. Il est recommandé de mentionner toutes ces informations dans des Conditions Générales d’Utilisation ou dans la politique de confidentialité du site internet. La collecte des données doit être adéquate, pertinente et les données personnelles ne doivent être utilisés à des fins autres que celles préalablement portées à la connaissance de l’Utilisateur.

 

  • Mettre en œuvre le droit à la portabilité et à la récupération des données. Il s’agit d’un droit essentiel du nouveau dispositif légal. Ce droit doit couvrir les données personnelles fournies consciemment et volontairement par la personne concernée, mais également celles qui sont générées par son activité.

 

  • Mettre en œuvre le droit d’accès, de rectification, de mises à jour, de verrouillage ou d’effacement données personnelles collectées. Le RGPD prévoit un droit d’accès facilité de la personne à ses données et notamment « le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données la concernant » (Art 17). Les personnes dont les données sont collectées disposent de droits à la rectification, à l’effacement des données et à l’oubli, notamment si la personne concernée retire son consentement ou encore si les données ont été collectées dans le cadre d’une offre de service à destination de mineurs. Par extension, la réglementation sur les données personnelles s’applique aux cookies sont particulièrement utilisés par les régies publicitaires sur le web pour proposer des annonces très ciblées grâce de la reconnaissance des préférences du visiteur. Ces derniers sont sujets à une captation de leurs données personnelles au travers de la navigation et la collecte de l’adresse IP de l’ordinateur, laquelle est considérée par la Cour de Cassation comme une donnée personnelle depuis un arrêt du 3 novembre 2016 (Civ 1er 3 novembre.2016 arrêt n°15-22.595).

 

  • Veiller à la sécurité des systèmes d’information et à la confidentialité des données. Le responsable du traitement et ses sous-traitants doivent prendre les mesures appropriées pour protéger les données collectées de toutes déformations, endommagement ou accès par un tiers non autorisé (art. 34 de la loi Informatique et Liberté). Le RGPD impose aux responsables du traitement de données, d’anticiper les atteintes à la vie privée dès la conception du système d’information (Privacy By Design) et notamment de minimiser l’utilisation des données personnelles ; de limiter leur volume et les destinataires et de privilégier l’anonymisation des données. De manière générale, les entreprises sont incitées à privilégier l’utilisation de pseudonymes avant et pendant le traitement des données pour en garantir la protection afin de s’assurer que les données sont conservées sous une forme ne permettant pas l’identification directe d’un individu sans l’aide d’informations supplémentaires.

Les acteurs du web deviennent, de fait, responsables du niveau de protection des données personnelles de leurs clients. Il leur incombe de se préparer pour l’entrée en vigueur du RGPD. Le règlement européen prévoit un contrôle strict du respect de ces obligations par les autorités de contrôle, de nature à assurer une mise en conformité effective des responsables de traitement et des amendes élevées en cas de manquements pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Dans la logique de « l’accountability », de la conformité, un état des lieux des traitements devra être mené dans l’entreprise. Il conviendra également d’établir des registres de traitements, de mettre en place des règles de conduite au sein de l’entreprise responsable du traitement des données et de réviser les clauses contractuelles portant sur l’information et le consentement préalable des clients.