RGPD : l'indispensable politique de confidentialité

Données personnelles 1572 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

Avant l'entrée en vigueur du RGPD, lorsqu'un site internet collectait des données il devait faire une déclaration préalable auprès de la CNIL. Désormais, les déclarations auprès de la CNIL n'existent plus. En contrepartie, la responsabilité pesant sur le responsable de traitement est plus grande et il conviendra de se montrer vigilant.

Dès lors, tout site web collectant des données doit se munir d'une politique de confidentialité et la mettre à disposition des internautes.

Le droit antérieur : les déclarations auprès de la CNIL

Les sites web dispensés de formalité déclarative

Certaines catégories de sites internet ont purement et simplement été dispensées de toute déclaration auprès de la CNIL :

  • Les sites personnels ou blogs : une dĂ©libĂ©ration de la CNIL n°2005-284 du 22 novembre 2005 a dĂ©cidĂ© de la « dispense de dĂ©claration des sites web diffusant ou collectant des donnĂ©es Ă  caractère personnel mis en Ĺ“uvre par des particuliers dans le cadre d'une activitĂ© exclusivement personnelle ». Par une interprĂ©tation a contrario de cette dĂ©libĂ©ration, il est possible de dĂ©duire que la diffusion et la collecte de donnĂ©es Ă  caractère personnel opĂ©rĂ©e Ă  partir d'un site web dans le cadre d'activitĂ©s professionnelles, politiques, ou associatives demeurent soumises Ă  l'accomplissement des formalitĂ©s prĂ©alables prĂ©vues par la loi.
  • Les sites vitrines : Par une dĂ©libĂ©ration n°2006-138 du 9 mai 2006, la CNIL a dĂ©cidĂ© que seraient dispensĂ©s de dĂ©claration les traitements constituĂ©s Ă  des fins d'information ou de communication externe. Ainsi, bĂ©nĂ©ficient de cette dispense les sites des organismes publics ou privĂ©s collectant ou diffusant des donnĂ©es personnelles dans un but de communication ou d'information, dits les sites vitrines. Cette dispense est toutefois subordonnĂ©e Ă  l'accomplissement d'un certain nombre de conditions.
  • Les sites des associations : en vertu de la dĂ©libĂ©ration n°2006-130 du 9 mai 2006, sont dispensĂ©s de dĂ©claration les traitements relatifs Ă  la gestion des membres et donateurs des associations Ă  but non lucratif rĂ©gies par la loi du 1er juillet 1901. Ainsi, les fichiers de membres et donateurs d'associations sont dispensĂ©s de dĂ©claration. Cette dispense est subordonnĂ©e au respect de plusieurs conditions. Toutefois, elle ne s'applique pas aux traitements mis en Ĺ“uvre par une association ou tout autre organisme Ă  but non lucratif, Ă  caractère religieux, philosophique, politique ou syndical

Les sites soumis à une déclaration simplifiée

Les sites commerciaux de vente de biens ou de services : La norme simplifiée n°48, résultant de la délibération n°2005-112 du 7 juin 2005 simplifiant la déclaration des fichiers de clients et de prospects, a été étendue à internet. Ainsi, les sites web collectant des données auprès de clients et prospects peuvent faire l'objet d'une déclaration simplifiée.

Explications de la norme simplifiée NS-48

La norme simplifiée 48(qui remplaçait les normes 11, 17 et 25) concernait les traitements qui avaient pour objet la gestion, au sein d'un organisme public ou privé, des fichiers de clients et/ou de prospects. Cette norme ne pouvait pas être utilisée par les professionnels des secteurs d’activité suivants : santé, éducation, banque, et assurance.

Elle s’appliquait aux traitements permettant les opérations relatives à la gestion des clients (contrats, commandes, livraisons, factures, comptes clients et comptes fidélité), à la prospection (constitution et gestion d’un fichier de prospects), à la cession, la location ou l’échange du fichier clients et de prospects, à l’élaboration de statistiques commerciales et à l’envoi de sollicitations. Les données enregistrées étaient relatives à l’identité du client, aux moyens de paiement utilisés, à sa situation familiale, économique et financière, à la relation commerciale et aux règlements des factures. La collecte du numéro de sécurité sociale (ou NIR) était en revanche exclue.

Les données pouvaient être transférées hors de l’union européenne sous certaines conditions. Les données clients ne pouvaient être conservées au-delà de la relation commerciale (sauf en cas de nécessité d’établir la preuve d’un droit ou d’un contrat qui peuvent être archivées conformément aux dispositions du Code de commerce, en l’occurrence 10 ans).

Les données prospects n'étaient conservées que pour la durée nécessaire à la réalisation des opérations de prospection (durée préconisée : 1 an maximum après le dernier contact ou sans réponse après deux sollicitations successives). Les personnes concernées étaient informées, lors de la collecte des informations, des droits d’accès, de rectification ou d’opposition qui leur sont reconnus par la loi du 6 janvier 1978 dite Informatique et Libertés.

Le droit actuel : la politique de confidentialité

Les déclarations auprès de la CNIL n'existent plus depuis l'entrée en vigueur du RGPD. En contrepartie, la responsabilité pesant sur le responsable de traitement s'en trouve accrue.

Dès lors, tout site web collectant des données doit se munir d'une politique de confidentialité et la mettre à disposition des internautes, le plus souvent par le biais d'un lien situé dans le footer de la page (le bas de page). Avant d'opérer à la collecte des données, les utilisateurs devront accepter cette politique de confidentialité. Dans la pratique, cela se matérialise par une case à cocher.

Remarque : une politique de confidentialité est requise en cas de collecte de données, qu'il s'agisse d'un site internet ou d'un commerce physique. Néanmoins, nous nous concentrerons ici sur les sites internet.

La collecte des données

La politique de confidentialité vise à informer les internautes concernant les données que vous collectez. Dès lors, devront être énumérées les données collectées. Il s'agit le plus fréquemment de données telles que : nom et prénom, numéro de téléphone, adresse e-mail, adresse postale, etc.

Vous devrez également informer les internautes de la finalité de cette collecte, le but poursuivi. Il peut s'agir par exemple de l'envoi d'une newsletter, ou encore de la mise à disposition d'un espace personnel pour l'internaute.

Il est indispensable d'indiquer la durée de cette conservation, à savoir qu'elle ne doit pas être excessive au regard des données collectées et que certaines informations doivent être conservées parfois jusqu'à 10 ans. Une étude des données collectées est donc nécessaire pour fixer une durée de stockage raisonnable.

Enfin, il conviendra d'informer l'internaute sur les conditions de stockage de ses données. L'idée étant qu'il faut stocker les données à caractère personnel dans un environnement sécurisé. Certaines données à caractère personnel, dites sensibles, n'ont pas le droit d'être collectées sauf exception. Et lorsque tel est le cas, elles devront être stockées dans des conditions particulières avec des exigences de sécurité renforcées.

Les données à caractères personnel sensibles sont définies ainsi par la CNIL :

Les données sensibles forment une catégorie particulière des données personnelles.

Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants :

  • si la personne concernĂ©e a donnĂ© son consentement exprès (dĂ©marche active, explicite et de prĂ©fĂ©rence Ă©crite, qui doit ĂŞtre libre, spĂ©cifique, et informĂ©e) ;
  • si les informations sont manifestement rendues publiques par la personne concernĂ©e ;
  • si elles sont nĂ©cessaires Ă  la sauvegarde de la vie humaine ;
  • si leur utilisation est justifiĂ©e par l'intĂ©rĂŞt public et autorisĂ© par la CNIL ;
  • si elles concernent les membres ou adhĂ©rents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale. 

Les droits des internautes

La politique de confidentialité devra également avertir les internautes des droits qui sont les leurs. Le Règlement Général sur la Protection des Données (RGPD) en dresse une liste :

  • Droit d'information : l'internaute doit ĂŞtre informĂ© des donnĂ©es collectĂ©es et sur ses droits. C'est lĂ  tout l'intĂ©rĂŞt de la politique de confidentialitĂ©.
  • Droit d'opposition : l'internaute doit pouvoir s'opposer Ă  l'utilisation de tout ou partie de ses donnĂ©es. Cependant, si l'internaute s'oppose au traitement de donnĂ©es indispensables au bon fonctionnement du service proposĂ©, il est logique qu'il ne pourra pas bĂ©nĂ©ficier de ce service.
  • Droit d'accès : l'internaute a un droit d'accès sur ses donnĂ©es, cela signifie qu'il peut demander l'obtention des donnĂ©es qu'un organisme dĂ©tient sur lui et les vĂ©rifier.
  • Droit de rectification : Ă  tout moment, l'internaute peut adresser Ă  l'organisme une demande de rectification afin de corriger les informations inexactes le concernant.
  • Droit au dĂ©rĂ©fĂ©rencement : l'internaute peut demander Ă  l'Ă©diteur d'un site internet de dĂ©rĂ©fĂ©rencer le contenu relatif Ă  sa personne afin de ne plus ĂŞtre visible sur les moteurs de recherches.
  • Droit d'effacement : l'internaute peut Ă  n'importe quel moment demander la suppression dĂ©finitive des donnĂ©es le concernant.
  • Droit Ă  la portabilitĂ© : longtemps contestĂ©, ce droit Ă  la portabilitĂ© permet Ă  l'internaute de demander un export de l'intĂ©gralitĂ© des donnĂ©es le concernant dans un format lisible. Ce droit a Ă©tĂ© longtemps contestĂ© en raison de la difficultĂ© pour les Ă©diteurs de site web pour le mettre en Ĺ“uvre. Des sites internet comme Facebook ou Instagram se sont mis en règle, mais il s'agit pour les petits Ă©diteurs d'une disposition particulièrement difficile Ă  mettre en place, et qui suppose parfois des dĂ©veloppements qui peuvent s'avĂ©rer coĂ»teux.
  • Droit Ă  la limitation des donnĂ©es : il s'agit lĂ  du droit pour l'internaute de demander Ă  un organisme de "geler" temporairement les donnĂ©es que l'organisme a collectĂ© sur lui.

Bien que cette liste ne soit pas exhaustive, elle dresse les principaux droits consacrés aux internautes.

Le transfert des données

Si les données collectées font l'objet d'un transfert à un partenaire ou à un prestataire vous devez en informer l'internaute par l'intermédiaire de la politique de confidentialité. Il est possible de transférer les données collectées hors Union Européenne ou Espace Économique Européen à condition d'assurer un niveau de protection similaire à celui imposé dans l'Union Européenne.

Identités du responsable de traitement et du délégué à la protection des données

La politique de confidentialité devra impérativement mentionner l'identité du responsable de traitement et du délégué à la protection des données (DPO) si l'organisme en possède un. L'internaute pourra ainsi contacter l'un ou l'autre en cas de réclamation concernant les données collectées.

 

La rédaction d'une politique de confidentialité peut vite devenir compliquée c'est pourquoi nous vous recommandons de faire appel aux services d'un avocat spécialisé en propriété intellectuelle pour la rédiger.

 
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :

Merci de sélectionner le thème de votre devis

Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Type de règlement :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Donnees personnelles 2111 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Donnees personnelles 409 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 558 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Donnees personnelles 1386 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 683 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
Donnees personnelles 1276 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 779 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
Donnees personnelles 5612 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Donnees personnelles 853 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.