Accueil > E-commerce, Juridique, Pénal, Web > Données personnelles et entreprise : quelles obligations ?

Données personnelles et entreprise : quelles obligations ?

10 novembre, 2017

J’ai commencé la rédaction de ce billet il y a dix ans, si j’en crois WordPress. À l’époque, on ne parlait pas encore du RGPD. Voici le billet enfin publié, certes un peu réécrit.

Les entreprises au premier rang desquels on trouve les e-commerçants veulent et doivent recueillir des données personnelles sur leurs visiteurs, prospects et clients. Ce type d’information étant sensible voire très sensible, la réglementation leur impose un certain formalisme pour les recueillir. Par ailleurs, mal protéger ces données peut avoir de lourdes conséquences.

Les obligations d’information sur le recueil de données personnelles

Les obligations relatives aux données personnellesLe recueil des informations sur les visiteurs, prospects et client ne peut pas se faire n’importe comment. Il est nécessaire d’obtenir l’accord de la personne pour recueillir et utiliser des informations sur elle. L’article 32 de la loi du 6 janvier 1978 prévoit d’être informé :

  • De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • De la finalité poursuivie par le traitement auquel les données sont destinées ;
  • Du caractère obligatoire ou facultatif des réponses ;
  • Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • Des destinataires ou catégories de destinataires des données ;
  • Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Les cookies permettant de recueillir des données personnelles, il est nécessaire de prévenir les visiteurs de leur utilisation. Ce principe vaut de manière générale pour tous les moyens et toutes les informations recueillies : adresse IP, configuration de l’ordinateur… Ce formalisme est toutefois allégé si les informations sont rapidement anonymisées.

La personne dont des données peuvent être recueillies doit pouvoir s’opposer à ce traitement. C’est ce qui ressort de l’article 38 de la loi de 1978. Le texte distingue deux cas de figure :

  • La personne à le droit de s’opposer, « pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement« . Toutefois, cette obligation est levée quand il s’agit de répondre à une obligation légale : conservation de trace d’achat par exemple.
  • « Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur« .

Ce droit d’opposition s’exerce au moment du recueil de données. Il est par exemple possible de refuser les cookies implantés par les sites. La limite du refus peut être l’impossibilité d’accéder à un site ou de profiter de l’ensemble des fonctions du site.

Les obligations relatives aux données personnelles des entreprisesLe responsable du traitement des données doit répondre à toute personne demandant s’il détient des informations sur elle (art. 39 de la loi de 1978). Cette personne doit bien sûr justifier de son identité. La personne doit pouvoir connaître l’intégralité des données la concernant, la finalité du traitement, du type de données recueillies, d’où elles viennent et où elles vont, s’il y a un transfert hors de l’Union européenne. Le responsable doit par ailleurs préciser les méthodes utilisées pour exploiter les données : scoring…

Le responsable du traitement peut refuser de communiquer ces informations s’il estime que la demande est abusive. Ce refus présente néanmoins un risque si la personne saisit un juge. Dans ce cas, le responsable du traitement devra prouver que la demande est abusive, ce qui est parfois difficile à faire. Ce droit ne s’exerce pas non plus si les données conservées ne présentent pas de risque pour la vie privée et qu’elles sont détruites dès que le traitement notamment statistique est fini.

Si les données enregistrées sont fausses, incomplètes, obsolètes, le responsable de traitement de données doit les rectifier à la demande de son interlocuteur. De la même manière, le responsable des traitement doit effacer les données sur demande (art. 40 de la loi de 1978). Le texte prévoit également que « lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent » [rectification, complément, mises à jour, verrouillage ou effacement].

On le voit tout responsable de site internet recueillant d’une manière ou d’une autre des données personnelles doit informer, permettre une opposition, communiquer sur ce qu’il fait, modifier ou effacer ces données.

Le volet pénal du traitement de données personnelles

le volet pénal des données personnellesAu delà du volet civil de la gestion des données personnelles, le code pénal prévoit une série d’infractions en lien avec des mauvaises pratiques affectant les données personnelles.

Une section du code pénal recense les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Il s’agit des articles 226-16 et suivants du code pénal. Reprendre un à un les différents articles du code ne présente pas d’intérêt. Pour résumer chacune des mauvaises pratiques suivantes :

  • le défaut de respect des formalités de la loi de 1978 modifiée,
  • le défaut de sécurisation des informations recueillies,
  • la collecte déloyale ou frauduleuse de données personnelles,
  • le recueil de données sensibles hors des cas prévus par la loi,
  • le détournement de finalité,

constitue une infraction pénale. Les peines maximales encourues sont de cinq ans d’emprisonnement et de 300 000 € d’amende.

Le pouvoir de sanction de la CNIL

Le risque pénal n’est pas le seul pour une entreprise ne respectant pas les dispositions de la loi Informatique et libertés. La CNIL dispose également un pouvoir de sanction.  Ainsi, rien que pour l’année 2016, la Cnil a procédé à 430 contrôles dont 100 contrôles en ligne, 94 contrôles vidéo. Elle a émis 82 mises en demeure et prononcé 13 sanctions dont 4 sanctions financières et publiques et 9 avertissements.

Les délibérations de la CNIL sont disponibles en ligne sur son site. Le pouvoir de sanction de la CNIL s’ajoute bien évidemment aux éventuels poursuites fondées sur la commission d’une infraction pénale.

Ainsi, le RGPD n’est pas un bouleversement total de la réglementation relative aux données personnelles. Les mauvais comportements peuvent d’ores et déjà être sanctionnés, à la fois par les tribunaux et par la CNIL.

Le RGPD est un renforcement de la réglementation avec de nouvelles obligations à la charges des organisations traitant des données personnelles : entreprises, associations…

Adopter les bonnes pratiques comme le Privacy by Design permettent de s’assurer que cet actif est correctement protégé et utilisé à bon escient.

Se conformer au RGPD réclame de la part de chaque organisation une remise à plat de sa manière de fonctionner. Une modification de son architecture informatique peut même être nécessaire.

Et vous, où en êtes-vous avec la mise en conformité avec le RGPD ?

Publicités
%d blogueurs aiment cette page :