Attention, les informations concernant la CNIL ne sont plus les mêmes depuis l’entrée en vigueur du RGPD.
Willy est un web entrepreneur qui a su tôt comment profiter des avancées technologiques pour gagner de l’argent. Il avait compris que créer une entreprise sur le net demandait potnetiellement moins d’investissement de départ. Il avait créé des sites de vente en ligne. Ses sites étaient amenés à collecter et à enregistrer des données sur ses clients : nom, prénom, numéro de téléphone, photo, adresse électronique…
Pourtant, Willy ignorait encore qu’il existait des règles en matière de protection des données personnelles et ne suivait pas les évolutions juridiques en la matière. Le danger d’internet, c’est que toute conection à un site laisse des traces électroniques. Dès lors, la confidentialité sur internet est mise en quarantaine car les données personnelles des internautes sont collectées même à leur insu.
Ces traces, une fois exploitées, peuvent révéler des informations propres à l’internaute. Il peut s’agir de son nom, son adresse (données simplement nominatives) comme il peut s’agir des données relatives à son comportement, son habitude, ses goûts, (données propres à la personne).
Un jour, Willy s’est fait contrôler par des agents de la CNIL. Ce jour-là, son monde, ou plutôt son empire commercial, s’est effondré sous ses yeux.
Si vous êtes aussi un entrepreneur du web, il faut avant tout savoir quelle est votre vraie place, votre étiquette aux yeux de la loi. C’est cette place qui vous permettra de savoir quelles sont vos obligations légales. Etes-vous un responsable de traitement? Telle est la première question à laquelle vous devrez répondre.
Qu’est ce qu’un responsable de traitement
L’article 3 de la loi de 1978 modifiée nous explique ce qu’il faut entendre par responsable de traitement. » Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens « .
Ce n’est pas parce que vous êtes un web entrepreneur que vous devenez automatiquement le responsable de traitement. Mais la majorité des entrepreneurs du web sont des responsable de traitement car ce sont eux qui dictent à leurs prestataires les finalités de traitement de données.
1. Declarer votre site avant sa mise en ligne
Vous n’avez pas le droit de collecter et/ou d’enregistrer les données personnelles de vos clients. La déclaration de votre site auprès de la CNIL est ainsi donc votre première obligation. Différents types de déclaration existent. En fonction des données que vous allez collecter correspondra le type de déclaration : déclaration simplifiée ou déclaration normale
Il s’agit d’une obligation de notification auprès de la CNIL, préalablement à la mise en oeuvre des traitements. L’article 30 de la loi informatique et liberté donne tous les détails sur les informations que doit contenir toute déclaration adressée à la CNIL
- Nom et adresse du responsable de traitement
- Finalité du traitement
- Description des personnes ou de la catégorie des personnes concernées par la collecte
- Description des personnes pouvant avoir accès aux données traitées
- Description des mesures prises pour assurer la sécurité des traitements.
2. Informer la personne dont les données seront collectées
La deuxième obligation découle de l’exigence émise par l’article 32 de la loi 1978 modifiée. Cet article pose le principe fondamental du droit à l’information accordé à la personne dont les données sont traitées. Cette obligation d’information porte sur la révélation :
- de l’identité du responsable de traitement, de son représentant le cas échéant.
- des finalités du traitement des données personnelles collectées
- le caractère obligatoire ou non de donner ses données personnelles
3. Donner l’accès et permettre la contestation
La troisième obligation apparait comme une conséquence logique de la deuxième obligation. Toute personne dont les données sont collectées doit avoir un droit d’accès à ces données et un droit de pouvoir contester cette collecte pour en exiger la rectification ou l’effacement voire le verrouillage s’il s’avère que les données collectée la concernant sont inexactes, incomplètes, équivoques, etc ( Article 40 de la loi 1978 modifiée).
Dans le cas où ce droit est activé, le responsable de traitement a l’obligation de confirmer, sans contrainte et dans des intervalles raisonnables, les rectifications ou effacements apportés aux données collectées.
4. Faciliter l’opposition
La loi du 6 juin 1978 modifiée reconnait par son article 38 le droit de s’opposer à ce que ses données personnelles face objet d’un traitement encours ou envisagé. Le responsable de traitement ayant reçu une opposition justifiée sera tenu de faire en sorte que les traitements ne portent plus sur de les données personnelles de cette personne.
5. Obligation de confidentialité et de sécurité
Article 34 de la loi de 1978 modifiée exige du responsable de traitement de mettre en place toutes précautions utiles pour assurer la sécurité des données personnelles traitées. Cela implique que le responsable de traitement devra mettre en oeuvre des mesures techniques appropriées pour:
- Empêcher la destruction illicite ou accidentelle,
- Limiter l’accès aux seules personnes autorisées
