CNIL, LCEN et RGPD
Avec le développement du web et de l’informatique, les fichiers se sont multipliés dans tous les types d’organisations. Sa déclaration auprès de la Commission nationale de l’informatique et des libertés a été obligatoire de la création de la CNIL jusqu’en 2018. Elle était en réalité dans l’extrême majorité des cas une simple formalité et ne présentait aucun intérêt particulier compte tenu du nombre pharaonique de fichiers déclarés. La quasi-totalité des formalités déclaratives auprès de la CNIL a été supprimée à l’entrée en application du Règlement européen sur la protection des données le 25 mai 2018. Aujourd’hui, la CNIL conserve son rôle d’autorité renforcé par l’harmonisation des législations européennes connue sous l’acronyme RGPD. Ceci étant, le traitement de données informatisées (fichiers et bases de données) et la prospection par voie électronique (emailing et SMS/MMS) sont règlementés depuis longtemps en France par : la loi informatique et liberté d’une part, la Loi sur la Confiance en l’Économie Numérique (LCEN) d’autre part. Ainsi, n’est pas nouvelle l’obligation de collecter le consentement préalable explicite du destinataire (optin) sauf si la personne est prospectée à titre professionnel pour un produit ou service en rapport avec sa profession (BtoB) ou si la personne est déjà cliente de l’entreprise. Les obligations légales liées au Web en France concernent les sites marchands, non marchands, mais aussi le simple blogueur. Celui-ci doit s’identifier ou indiquer à minima le nom de son hébergeur et prendre les mesures pour permettre l’exercice du droit de réponse. Bien évidemment, le blogueur est soumis au respect des textes applicables en matière de droit d’auteur, de droit à l’image, de diffamation.
Ensuite, comme pour toute vente à distance ou vente intervenant suite au démarchage du consommateur de la part du professionnel, l’Article L121-20 (délai de rétractation) peut s’appliquer. Nous ne développerons pas iciles cas et exceptions, mais le principe est le suivant : si le consommateur est en position de “faiblesse” dans le contrat conclu avec le vendeur (attiré ou “manipulé” ou démarché) il dispose d’un délai de sept jours francs pour exercer son droit de rétractation sans avoir à justifier de motifs ni à payer de pénalités, à l’exception, le cas échéant, des frais de retour. ■
Le règlement général sur la protection des données, RGDP.
Applicable depuis 2018, il vise à renforcer les droits des personnes. Son application n’est pas encore spectaculaire, mais le volet sensibilisation a bien fonctionné. L’idée générale est une meilleure protection des mineurs, de la vie privée, un droit à l’oubli, un guichet unique pour simplifier l’application (autorité de protection des données de chaque pays) et le tout motivé par une menace de sanction très importante puisque l’entreprise qui ne respecte pas la loi risque une sanction s’élevant dans le cas le plus grave jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros d’amende. Le problème réside bien évidemment dans le « jusqu’à » et dans le « risque ».
Les obligations liées à la RGPD
Tenir un registre interne pour documenter le traitement des données que vous effectuez. Il vous permettra également de prouver votre conformité en cas de besoin.
Améliorez vos pratiques, ne récoltez pas de données dont vous n’avez pas l’utilité, que seules les personnes habilitées peuvent y avoir accès, et que vous ne conservez pas des données plus longtemps que nécessaire.
Soyez transparent : informez les personnes à chaque collecte d’informations. Expliquez-leur pourquoi vous avez besoin de ces données, qui y aura accès, combien de temps elles seront conservées, comment la personne peut faire exercer ses droits sur ces données…
Désignez un Délégué à la Protection des Données (DPD, ou DPO). Sa mission : tenir son organisme informé de ses obligations et le conseiller dans l’application du RGPD.
Assurez la sécurité et la confidentialité des données, en interne, mais également avec vos sous-traitants et partenaires.
La problématique des données personnelles doit être intégrée dès la conception d’un système d’information. Elle doit également l’être dans le paramétrage par défaut de ces systèmes.
Plus spécifiquement pour le Web, mais dans le même esprit que la loi informatique et liberté, les responsables de sites et fournisseurs de solutions doivent informer les internautes et recueillir leur consentement avant l’insertion de cookies ou autres traceurs.