Introduction
Tout ce qui concerne les traitements automatisés des données à caractère personnel sont régis par la loi du 6 janvier 1978 dite « loi informatique et liberté ». Ainsi, la création d’un site internet ne se fait pas sans certaines règles ou obligations.
En France, un gérant/responsable de site internet a des devoirs concernant la déclaration et la protection des données qu’il recueille au travers de son site, dans le but de protéger et garantir la vie des personnes privées.
Cependant, la prolifération des sites internet a conduit la CNIL (Commission Nationale de l’Informatique et des Libertés) à limiter les déclarations selon le type de site, et le type d’information recueillie.
Voyons quelles sont les obligations et les dispenses possibles, concernant le recueil et le traitement des données personnelles sur un site internet.
Les obligations concernant le traitement des données personnelles
La sécurité des fichiers
Les données doivent être sécurisées, à la fois par des mesures physiques (locaux) et logiques (sécurité des systèmes de stockage et d’informations), en fonction de l’importance des donnés récoltées et du risque induit. Il est évident que l’on ne protégera pas de la même façon une liste de mails pour l’envoi d’une newsletter, d’un fichier contenant les données bancaires de plusieurs milliers de clients.
La confidentialité des données
En dehors de « tiers autorisés » pour accéder aux informations de façon temporaire (entendez par exemple la police, ou le fisc), l’accès aux informations stockées doit être exclusivement réservée à des personnes désignées.
La durée de conservation des données
Inutile d’espérer transmettre vos fichiers à votre descendance ! La CNIL stipule que les données collectées doivent avoir une date de péremption, sans en préciser le délai, pour peu que ce dernier soit « raisonnable en fonction de l’objectif du fichier ». C’est au responsable du fichier de préciser cette durée. Cela vaut pour les cookies !
L’information aux personnes
Les personnes dont on souhaite obtenir des informations doivent pouvoir d’exercer pleinement leurs droits. Ainsi, l’identité du responsable du fichier doit être mentionnée, ainsi que toutes informations utiles concernant l’exploitation à venir de ces informations (comme par exemple, si vous compter les céder à un tiers…)
Exemple :
Mentions légales pour Cession des e-mails des personnes (Opt-in)
Ces informations sont nécessaires a notre société pour traiter votre demande.
Elles sont enregistrées dans notre fichier de clients et peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de notre service clientèle.
Si vous souhaitez recevoir des propositions commerciales de nos partenaires par voie électronique, merci de cocher la case ci-contre
Et enfin, la finalité des traitements
Il doit y avoir une relation cohérente et précise entre les informations récoltées et l’objectif final. De plus, les informations ne peuvent pas être réutilisées en dehors de l’objectif initial.
Les dispenses concernant certains types de sites internet
Il existe certaines dispenses, le mieux étant de consulter directement le site de la CNIL afin de vérifier si les informations collectées doivent ou non être déclarées.
Le Blog, ou site internet à but strictement personnel est dispensé de déclaration. Tout site ou blog sur lequel on récolte des informations à des fins professionnelles, politiques, ou même associatives reste soumis à déclaration.
Le site internet institutionnel, non commercial est dispensé également de déclaration pour peu que les informations récoltées ne soient pas utilisés dans une sollicitation commerciale.
Le site mis en œuvre par une association « loi 1901 » est dispensé de déclaration à condition que les informations récoltées ne concernent que les membres et donateurs.
De plus, des dispenses de fichiers existent également, et dépendent du secteur d’activité. Si ces dispenses sont nombreuses dans le domaine associatif, il n’y en a quasiment pas dans le secteur privé (Dispenses éventuelles accordées par la CNIL)
Bon à savoir, déclarez un CIL (correspondant Informatique et Liberté)
Si au sein de votre entreprise, vous déclarez un correspondant Informatique et Liberté (un CIL), cela vous dispense de toute déclaration des traitements d’informations courants. Seules les déclarations désignées comme « sensibles » restent à réaliser. La centralisation des informations auprès du CIL font de ce dernier un correspondant privilégié de la CNIL, avec ligne dédiée, outils, extranet…