RGPD : pensez à actualiser les mentions des sites internet !
Publié le :
08/06/2018
08
juin
juin
06
2018
Le Règlement Général sur la protection des données[1], en vigueur depuis mai 2016, s’impose à tous depuis le 25 mai 2018[2]. De nombreuses mesures doivent être mises en œuvre par les entreprises, parmi lesquelles la mise à jour de la politique de collecte et traitement des données personnelles des sites internet. Qu’ils soient marchands ou non, la quasi-totalité des sites internet sont concernés.
Chaque site internet doit être mis en conformité en fonction des collectes et traitements opérés par le responsable du traitement (qui peut être l’éditeur du site internet mais pas nécessairement). Retrouvons ci-après quelques unes des nouvelles règles applicables.
Une collecte minimisée
Les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[3].Ce principe, nommé « minimisation des données » signifie que le responsable du traitement ne doit collecter que les informations nécessaires au regard des finalités déterminées et décrites à l’internaute. Les données personnelles collectées via les sites internet doivent être réétudiées à la lumière de cette nouvelle exigence et réduites, si besoin, à ce qui est nécessaire.
Le consentement préalable
Le consentement de l’internaute est le préalable à la collecte et au traitement des données personnelles et il appartient au responsable du traitement d’apporter la preuve de ce consentement comme le souligne l’article 7 du Règlement « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».Bien souvent, les informations relatives au consentement de la personne concernée sont intégrées dans les conditions générales de vente ou les conditions générales d’utilisation. En cochant la case « j’accepte les termes des CGV/CGU », l’internaute accepte non seulement la politique de vente, de livraison, d’utilisation…mais aussi la politique en matière de données personnelles.
A compter du 25 mai prochain, cette pratique ne devrait plus exister. En effet, lorsque « le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions ».
Ainsi, la demande de consentement concernant la collecte et le traitement des données personnelles doit être clairement séparée de celle relative à l’acceptation des conditions de vente ou d’utilisation du site internet ou de toute autre question. L’internaute doit donc voir apparaitre deux sollicitations distinctes et doit pouvoir prendre connaissance des CGV/CGU et de la politique relative aux données personnelles séparément.
La demande de consentement doit être formulée sous « forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » … exit donc les mentions « types » pré rédigées en anglais pour un public francophone et/ou les termes trop techniques. Le consentement de l’internaute doit être exprès, ce qui exclut les cases pré cochées.
Les sites internet non marchands sont également concernés car ils peuvent également collectées des données personnelles notamment par le biais des formulaires de contact, demande de catalogues ou inscription à des newsletters….[4]
Un consentement éclairé
La collecte de données personnelles doit être effectuée de manière « transparente »[5]. Ainsi, le responsable du traitement doit porter à la connaissance de la personne concernée un certain nombre d’informations de manière « concise, transparente, compréhensible et aisément accessible ».[6]Ces informations sont notamment celles visées aux articles 13 et 14 du Règlement. Parmi les nouveautés introduites par le Règlement, citons notamment : l’identité du délégué à la protection des données, le droit de solliciter l’effacement, la limitation et la portabilité des données personnelles (en plus des droits d’accès, de rectification et d’opposition), l’existence d’une prise de décision automatisée…
L’identification du responsable du traitement, des destinataires des données, des finalités du traitement, des transferts des données et la durée de conservation des données demeurent des mentions obligatoires.
Rappelons à ce titre que la durée de conservation est déterminée par le responsable du traitement, non par la Loi. Cette durée ne peut excéder celle nécessaire au regard des finalités déterminées et décrites[7] par le responsable du traitement à l’internaute.
Les finalités du traitement, également déterminées par le responsable du traitement, doivent être explicites et légitimes.[8]
La prise en compte des mineurs
Si le site internet vise un public mineur[9], le responsable du traitement doit s’efforcer de vérifier que le consentement soit donné ou autorisé par le titulaire de la responsabilité parentale avant de collecter des données personnelles relatives à un mineur de moins de 16 ans.[10]Protéger et sécuriser les données collectées
Le responsable du traitement doit traiter les données personnelles de façon à garantir une sécurité appropriée. Cette sécurité implique notamment la prise de mesures techniques et organisationnelles appropriées et concerne chaque étape de la collecte jusqu’à l’effacement des données.La sécurisation des données collectées sur un site internet passe bien évidemment par la sécurisation du site lui même. Rappelons qu’une société française a été récemment condamnée par la CNIL au paiement d’une amende de 100.000 euros compte tenu de la défaillance d’un formulaire en ligne. [11]
L’actualisation de la politique et des mentions relatives à la collecte et au traitement des données personnelles des sites internet est l’une des étapes importantes de la mise en conformité des entreprises au regard du Règlement dit « RGPD ». Cette actualisation est également une opportunité de vérifier, de manière plus générale, la conformité de toutes les mentions des sites internet.
[1] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[2] Article 99 du Règlement
[3] Article 5 du Règlement
[4] Pour les cookies : application du règlement RGPD et de la Directive 2009/136/CE
[5] Article 5 du Règlement
[6] Article 12 du Règlement
[7] Sauf conservation pour une durée plus longue à des fins d’archives dans l’intérêt public ou de recherches scientifiques ou historiques.
[8] Article 5 du Règlement
[9] Article 8 du Règlement
[10] A ce jour, le projet de loi relatif à la protection des données personnelles prévoit un alignement de la réglementation française sur la suggestion du texte européen. En toute hypothèse, les états membres ne peuvent descendre en deçà de 13 ans.
[11] Délibération de la CNIL n°SAN-2018-001 du 8 janvier 2018
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
Droit alimentaire, sécurité des produits et responsabilités
Publié le : 11/06/2018 11 juin juin 06 2018Particuliers / Consommation / AgroalimentaireLes échos médiatiques liés aux obligations des opérateurs du secteur alimen...
-
Dopage du cheval lors d'une course : qui est responsable ?
Publié le : 08/06/2018 08 juin juin 06 2018Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéParce qu’il y va de la santé des chevaux et de la régularité des courses et...
-
Consommation de compléments alimentaires contenant de la mélatonine et avis de l'Anses
Publié le : 08/06/2018 08 juin juin 06 2018Particuliers / Santé / Responsabilité médicaleSi vous me suivez, vous le savez, j’ai un intérêt certain pour cette hormon...
-
La poursuite de l’extension de la notion de « délai raisonnable » en matière de contentieux administratif
Publié le : 08/06/2018 08 juin juin 06 2018Collectivités / Contentieux / Tribunal administratif/ Procédure administrativeOn le sait, en matière de contentieux administratif, le sacro-saint délai h...
-
Quelles sont les conditions d'envoi d'une lettre recommandée électronique (LRE) ?
Publié le : 08/06/2018 08 juin juin 06 2018Particuliers / Consommation / DistributionUn décret du 9 mai 2018 fixe les modalités d'application de l'article 93 de...
-
Annulation partielle du PLU : Mode d’emploi de l’élaboration des nouvelles dispositions applicables au territoire concerné
Publié le : 07/06/2018 07 juin juin 06 2018Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeL’hypothèse qui intéresse cet article concerne l’annulation partielle par l...
-
L’indemnisation du dommage futur par l'assureur RC Décennale
Publié le : 07/06/2018 07 juin juin 06 2018Particuliers / Patrimoine / ConstructionL’indemnisation du dommage futur par l'assureur RC (responsabilité civile)...
-
Guillaume BOULAN à la soirée de l'avocat Jeudi 7 juin
Publié le : 05/06/2018 05 juin juin 06 2018Actualités EUROJURISOrganisée par le Village de la Justice, la Soirée de l’Avocat sera cette anné...
-
La sûreté consentie pour garantir la dette d'un tiers : à la recherche des limites d’un engagement impersonnel mais bien réel
Publié le : 05/06/2018 05 juin juin 06 2018Particuliers / Patrimoine / AssurancesOn sait depuis l’arrêt de la chambre mixte du 2 décembre 2005 (Bull. civ. n...
-
Coffre-fort numérique : quelles modalités de mise en oeuvre ?
Publié le : 05/06/2018 05 juin juin 06 2018Particuliers / Consommation / Informatique et InternetLe décret du 30 mai 2018 relatif aux modalités de mise en œuvre du service...
-
Acheter ou vendre un bateau : 7 conseils juridiques simples
Publié le : 04/06/2018 04 juin juin 06 2018Particuliers / Consommation / Contrats de vente / PrêtsBenjamin English, avocat associé, titulaire d'un DEA de Droit maritime et o...
-
L’autonomie des contrats de réservation et de vente et le nécessaire respect du délai de réflexion
Publié le : 01/06/2018 01 juin juin 06 2018Particuliers / Patrimoine / ConstructionLa cour de cassation, dans son arrêt du 12 avril 2018 n° 17-13118, réaffirm...
-
Bail commercial : location gérance et congé avec refus de renouvellement sans indemnité d'éviction
Publié le : 31/05/2018 31 mai mai 05 2018Entreprises / Gestion de l'entreprise / Construction ImmobilierLe contrat de location gérance conclu en violation des conditions exigées d...
-
Urbanisme : les dispositions du projet de loi « ELAN » relatives à la procédure contentieuse
Publié le : 30/05/2018 30 mai mai 05 2018Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeDécidément, le contentieux des autorisations d’urbanisme ne cesse de subir...
-
Copropriétés et DTG (Diagnostic Technique Global ) : quelles obligations ?
Publié le : 28/05/2018 28 mai mai 05 2018Particuliers / Patrimoine / CopropriétéLe diagnostic technique global (DTG) est devenu obligatoire pour certaines...
-
L'enclave
Publié le : 28/05/2018 28 mai mai 05 2018Particuliers / Patrimoine / CopropriétéLes propriétaires dont les propriétés sont enclavées et, qui n’ont sur la v...
-
Communes littorales : la question du recul du trait de côte
Publié le : 28/05/2018 28 mai mai 05 2018Collectivités / Environnement / EnvironnementDans une proposition de loi déposée par la sénatrice de Gironde Françoise C...
-
Droits voisins : interprétation large de la notion de contrat conclu entre artiste-interprète et un producteur en vue de la réalisation d’une œuvre audiovisuelle
Publié le : 28/05/2018 28 mai mai 05 2018Entreprises / Marketing et ventes / Contrats commerciaux/ distributionPar cet arrêt du 16 février 2018, rendu en assemblée plénière, la Cour de C...
-
Sécurité informatique : comment choisir un mot de passe fiable ?
Publié le : 24/05/2018 24 mai mai 05 2018Particuliers / Consommation / Informatique et InternetLa CNIL met en ligne un outil vous aidant à construire un mot de passe fort...
-
La semaine dernière : Sophie CLANCHET intervient chez Microsoft ; Benjamin ENGLISH intervient à l’Electrochoc numérique
Publié le : 22/05/2018 22 mai mai 05 2018Actualités EUROJURISLa semaine dernière, Sophie CLANCHET et Benjamin ENGLISH ont représenté le...
-
Acte réglementaire : comment le contester ?
Publié le : 18/05/2018 18 mai mai 05 2018Collectivités / Contentieux / Tribunal administratif/ Procédure administrativeLe Conseil d’État vient de préciser selon quelles modalités un acte régleme...
-
Aide à l'entreprise : les modalités d'intervention du Département
Publié le : 18/05/2018 18 mai mai 05 2018Collectivités / Finances locales / Droit public économiqueLes Départements à l'issue de la loi "Notre" d'août 2015 n'ont pas perdu to...
-
Les modalités de récusation d'un expert judiciaire
Publié le : 17/05/2018 17 mai mai 05 2018Particuliers / Civil / Pénal / Procédure pénale / Procédure civileLes articles 231 et 341 du Code de Procédure Civile prévoient limitativemen...
-
Marché public et mémoire de réclamation : l'exigence de précision
Publié le : 17/05/2018 17 mai mai 05 2018Collectivités / Marchés publics / Contestation et contentieuxDans une décision du 26 avril 2018 référencée sous le numéro 407898, le Con...
-
Libre prestation de service de transport : la CJUE précise sa jurisprudence UberPop
Publié le : 16/05/2018 16 mai mai 05 2018Collectivités / International / Droit Européen / Droit communautaireDans un arrêt du 10 avril 2018, la Cour de Justice de l’Union Européenne co...
-
Fermeture d'un établissement ou d'un service social ou médico-social : comment organiser les conséquences financières ?
Publié le : 15/05/2018 15 mai mai 05 2018Collectivités / Finances locales / Fiscalité/ Gestion de fait/ Chambre des ComptesDans un arrêt du 26 mars 2018, n° 404819, le Conseil d'Etat précise le déro...
-
Agent immobilier : obligation d’information sur les risques de l’opération
Publié le : 07/05/2018 07 mai mai 05 2018Particuliers / Patrimoine / GestionEntreprises / Gestion de l'entreprise / Construction ImmobilierL’agent immobilier qui apporte son concours à une opération d’investissemen...
-
Recours à l'intelligence artificielle au sein de l'entreprise et CHSCT
Publié le : 07/05/2018 07 mai mai 05 2018Entreprises / Gestion de l'entreprise / Informatique et RéseauxL'utilisation de l'intelligence artificielle (IA) au sein d'une entreprise...
-
Données personnelles : votre entreprise respecte t-elle les obligations du RGPD ?
Publié le : 03/05/2018 03 mai mai 05 2018Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéLe Règlement Général sur la Protection des Données (RGPD) vise à renforcer...
-
Contestation des contrats : coexistence des jurisprudences Tarn-et-Garonne et Cayzeele
Publié le : 03/05/2018 03 mai mai 05 2018Collectivités / Contentieux / Tribunal administratif/ Procédure administrativeDans la décision Val d’Europe Agglomération du 9 février 2018, le Conseil d...
-
Bail commercial : déplafonnement pour modification du loyer au cours de la vie du bail
Publié le : 03/05/2018 03 mai mai 05 2018Entreprises / Gestion de l'entreprise / Construction ImmobilierLa fixation conventionnelle du loyer librement intervenue entre les parties...
-
Garantie décennale : pour que les désordres soient réparables, il faut qu’ils soient survenus...
Publié le : 02/05/2018 02 mai mai 05 2018Particuliers / Patrimoine / ConstructionCour de cassation, Chambre civile 3, 28 févr. 2018, n° 17-12460 A la sui...
-
Redynamisation des centres-villes
Publié le : 02/05/2018 02 mai mai 05 2018Collectivités / Environnement / EnvironnementDans le prolongement du précédent article sur les opérations de redynamisatio...
-
Un employeur peut-il consulter les informations diffusées par un salarié sur le compte privé d'un réseau social ?
Publié le : 02/05/2018 02 mai mai 05 2018Particuliers / Emploi / Licenciements / DémissionLa Cour de cassation dans un arrêt du 20 décembre 2017, estime qu’un employ...
-
AIRBNB : responsabilité à l'égard du bailleur retenue !
Publié le : 02/05/2018 02 mai mai 05 2018Particuliers / Patrimoine / Immobilier / LogementLe vent tourne pour la célèbre plateforme américaine qui propose à la locat...
-
Le renforcement de la politique de soutien aux énergies renouvelables
Publié le : 25/04/2018 25 avril avr. 04 2018Collectivités / Environnement / EnvironnementDans un rapport daté du 18 avril 2018, la Cour des comptes détaille les mod...
-
Conflit : pourquoi choisir l'arbitrage ?
Publié le : 23/04/2018 23 avril avr. 04 2018Entreprises / Contentieux / Justice commercialeA l’heure où les Tribunaux sont particulièrement encombrés, avec des délais...
-
Emplois francs : expérimentation du dispositif depuis le 1er avril
Publié le : 23/04/2018 23 avril avr. 04 2018Entreprises / Ressources humaines / Salaires et avantagesDu 1er avril 2018 au 31 décembre 2019 est expérimenté le dispositif « emplo...
-
Portabilité des services numériques dans l'UE depuis le 1er avril
Publié le : 19/04/2018 19 avril avr. 04 2018Particuliers / Consommation / Informatique et InternetLes citoyens membres de l’Union européenne peuvent désormais, lors de leurs...
-
L'employeur peut-il apporter une preuve tirée du compte Facebook du salarié?
Publié le : 18/04/2018 18 avril avr. 04 2018Entreprises / Ressources humaines / Discipline et licenciementLe recueil d’informations publiées en accès restreint sur le compte Faceboo...
-
Intervention de P. Roger : Violences : Aspects juridiques et éthiques
Publié le : 17/04/2018 17 avril avr. 04 2018Actualités EUROJURISPhilippe ROGER, avocat à Bordeaux (Cabinet KPDB), interviendra le vendredi 15...
-
Permis de construire régularisé par un permis modificatif
Publié le : 17/04/2018 17 avril avr. 04 2018Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeUn permis de construire peut être régularisé par un permis modificatif pren...
-
Intervention de P. Roger sur le thème : Droits sexuels / Droits humains : perspectives
Publié le : 13/04/2018 13 avril avr. 04 2018Actualités EUROJURISPhilippe ROGER interviendra le jeudi 26 avril 2018 sur le thème « Droits Sexu...
-
Intervention de P. Roger sur l'état civil et ses changements en France et en Europe
Publié le : 13/04/2018 13 avril avr. 04 2018Actualités EUROJURISPhilippe ROGER, avocat à Bordeaux (Cabinet KPDB) est intervenu jeudi 15 mars...
-
La CPAM doit motiver les notifications de payer adressées aux établissements hospitaliers
Publié le : 13/04/2018 13 avril avr. 04 2018Collectivités / Finances locales / Fiscalité/ Gestion de fait/ Chambre des ComptesPar deux jugements du 22 mars 2018, le Tribunal des affaires de sécurité so...
-
Critères d'une infection nosocomiale
Publié le : 13/04/2018 13 avril avr. 04 2018Particuliers / Santé / Responsabilité médicaleLa présomption d’imputabilité aux soins d’une infection survenue au cours d...