Tribunes

Collecte des données à caractère personnel sur les sites web : les obligations à respecter

Collecte des données à caractère personnel sur les sites web : les obligations à respecter

Septième épisode d'une série sur les droits et obligations de l'entreprise en matière de données personnelles.

PublicitéUn site web peut contenir un questionnaire que l'internaute remplira, soit de façon facultative, soit de façon impérative, s'il veut accéder à d'autres parties du site. Ce type de questionnaire peut évidemment servir à collecter des données à caractère personnel (l'adresse électronique, l'adresse postale, le numéro de téléphone, les noms et prénoms, la profession, le revenu, etc.). Mais il existe également d'autres moyens de collecter des informations sur des individus. On peut citer à titre d'exemple les outils mis en oeuvre par les fournisseurs d'accès pour surveiller la navigation des utilisateurs en enregistrant les adresses des sites web qu'ils consultent, la date et la durée des connexions, leurs interventions, par exemple dans le cadre d'un forum de discussion. Ces données sont ensuite stockées dans des « fichiers log » qui permettent de les conserver pendant de nombreux mois. La simple utilisation d'un moteur de recherche permet en quelques minutes de « tracer » un utilisateur. Ses réflexions, les sujets qui l'intéressent, le nombre et la nature des sites auxquels il s'est connecté sont autant d'éléments qui peuvent permettre d'en dresser un profil. Aussi, la collecte des données via un site web doit respecter un certain nombre d'obligations : Mentions obligatoires. La personne, dont les données à caractère personnel sont susceptibles d'être collectées, doit être informée de ses droits (L. 6 janv. 1978, art. 32 s.). Ces mentions doivent figurer en langue française conformément à la loi Toubon (L. 4 août 1994). Formalités déclaratives obligatoires. La collecte de données à caractère personnel sur l'internet est un traitement de données nominatives qui doit faire l'objet de formalités déclaratives. Le contrevenant s'expose à des peines de cinq ans d'emprisonnement et de 300.000 euros d'amende (Code pénal, art. 226.16). C'est précisément à raison du non respect de ces formalités que la Ligue européenne de défense des victimes de notaires a été condamnée par la Cour d'appel de Bourges, suivant arrêt du 11 janvier 2007. Dans le cas d'espèce, non seulement l'association n'avait procédé à aucune déclaration préalable auprès de la Cnil, mais de plus, son site donnait accès à des listes nominatives de notaires, alors mêmes que ceux-ci avaient exprimé leur refus de voir leur nom figurer sur ces listes. Les juges ont retenu que le dispositif constituait une liste noire qui s'apparentait à de la délation, occasionnant un préjudice aux notaires cités. Une exploitation limitée des « traçages ». La Cnil a émis, à ce titre, plusieurs recommandations : - les renseignements demandés doivent être limités à la finalité du traitement ; ainsi, à titre d'exemple, les données ne peuvent pas être exploitées à des fins commerciales si le traitement a été mis en oeuvre dans le cadre d'un forum de discussion ; - les utilisateurs doivent pouvoir consulter anonymement un site web ou participer à un forum ; mais, pour tenir compte des abus sous couvert de l'anonymat, la Cnil accepte l'intervention d'un « modérateur » dont le rôle consiste à supprimer, préalablement à sa diffusion, toute contribution qui ne serait pas en relation avec le thème de discussion abordé, la ligne éditoriale du site, ou qui serait contraire à l'ordre public ; - les utilisateurs doivent pouvoir s'opposer à la réception par e-mail de documents de prospection commerciale qu'ils n'ont pas demandés ; - les utilisateurs doivent pouvoir refuser que leurs adresses e-mail soient cédées à un tiers ou utilisées pour le compte d'un tiers. Cependant, si les sociétés commerciales sont soumises à l'exigence de déclaration lorsqu'elles procèdent à des traitements de données personnelles via l'internet, elles sont dispensées de déclarer les traitements de données personnelles dans un certain nombre de cas : - les sites web de particuliers (y inclus les blogs) collectant ou diffusant des données à caractère personnel ; - les sites vitrines collectant ou diffusant des données personnelles dans un but de communication ou d'information ; - les sites web des associations pour ce qui concerne les fichiers relatifs à leurs membres et donateurs. Il n'en reste pas moins que les dispositions légales et recommandations de la Cnil visant à s'assurer du consentement de la personne et de l'exactitude des données collectées et diffusées demeurent applicables, quelle que soit la nature du site. Les sites des ministères ou des collectivités locales. S'agissant des sites mis en oeuvre par les ministères ou les collectivités locales, la Cnil a également émis les recommandations suivantes : - toute personne a le droit de s'opposer à la diffusion de données la concernant, à tout moment et sans avoir à en donner le motif ; - la conservation des informations liées à la navigation (adresse IP, date et heure, etc.) est limitée à ce que commandent la sécurité du site et la mesure de sa fréquentation ; - en cas d'hébergement du site, il est interdit au fournisseur d'utiliser ou de céder les données autrement que sous forme statistique.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Exploitez-vous un ou plusieurs clouds privés pour héberger des applications métiers en production ?