RGPD : pensez à actualiser les mentions des sites internet !
Publié le :
08/06/2018
08
juin
juin
06
2018
Le Règlement Général sur la protection des données[1], en vigueur depuis mai 2016, s’impose à tous depuis le 25 mai 2018[2]. De nombreuses mesures doivent être mises en œuvre par les entreprises, parmi lesquelles la mise à jour de la politique de collecte et traitement des données personnelles des sites internet. Qu’ils soient marchands ou non, la quasi-totalité des sites internet sont concernés.
Chaque site internet doit être mis en conformité en fonction des collectes et traitements opérés par le responsable du traitement (qui peut être l’éditeur du site internet mais pas nécessairement). Retrouvons ci-après quelques unes des nouvelles règles applicables.
Une collecte minimisée
Les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[3].Ce principe, nommé « minimisation des données » signifie que le responsable du traitement ne doit collecter que les informations nécessaires au regard des finalités déterminées et décrites à l’internaute. Les données personnelles collectées via les sites internet doivent être réétudiées à la lumière de cette nouvelle exigence et réduites, si besoin, à ce qui est nécessaire.
Le consentement préalable
Le consentement de l’internaute est le préalable à la collecte et au traitement des données personnelles et il appartient au responsable du traitement d’apporter la preuve de ce consentement comme le souligne l’article 7 du Règlement « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».Bien souvent, les informations relatives au consentement de la personne concernée sont intégrées dans les conditions générales de vente ou les conditions générales d’utilisation. En cochant la case « j’accepte les termes des CGV/CGU », l’internaute accepte non seulement la politique de vente, de livraison, d’utilisation…mais aussi la politique en matière de données personnelles.
A compter du 25 mai prochain, cette pratique ne devrait plus exister. En effet, lorsque « le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions ».
Ainsi, la demande de consentement concernant la collecte et le traitement des données personnelles doit être clairement séparée de celle relative à l’acceptation des conditions de vente ou d’utilisation du site internet ou de toute autre question. L’internaute doit donc voir apparaitre deux sollicitations distinctes et doit pouvoir prendre connaissance des CGV/CGU et de la politique relative aux données personnelles séparément.
La demande de consentement doit être formulée sous « forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » … exit donc les mentions « types » pré rédigées en anglais pour un public francophone et/ou les termes trop techniques. Le consentement de l’internaute doit être exprès, ce qui exclut les cases pré cochées.
Les sites internet non marchands sont également concernés car ils peuvent également collectées des données personnelles notamment par le biais des formulaires de contact, demande de catalogues ou inscription à des newsletters….[4]
Un consentement éclairé
La collecte de données personnelles doit être effectuée de manière « transparente »[5]. Ainsi, le responsable du traitement doit porter à la connaissance de la personne concernée un certain nombre d’informations de manière « concise, transparente, compréhensible et aisément accessible ».[6]Ces informations sont notamment celles visées aux articles 13 et 14 du Règlement. Parmi les nouveautés introduites par le Règlement, citons notamment : l’identité du délégué à la protection des données, le droit de solliciter l’effacement, la limitation et la portabilité des données personnelles (en plus des droits d’accès, de rectification et d’opposition), l’existence d’une prise de décision automatisée…
L’identification du responsable du traitement, des destinataires des données, des finalités du traitement, des transferts des données et la durée de conservation des données demeurent des mentions obligatoires.
Rappelons à ce titre que la durée de conservation est déterminée par le responsable du traitement, non par la Loi. Cette durée ne peut excéder celle nécessaire au regard des finalités déterminées et décrites[7] par le responsable du traitement à l’internaute.
Les finalités du traitement, également déterminées par le responsable du traitement, doivent être explicites et légitimes.[8]
La prise en compte des mineurs
Si le site internet vise un public mineur[9], le responsable du traitement doit s’efforcer de vérifier que le consentement soit donné ou autorisé par le titulaire de la responsabilité parentale avant de collecter des données personnelles relatives à un mineur de moins de 16 ans.[10]Protéger et sécuriser les données collectées
Le responsable du traitement doit traiter les données personnelles de façon à garantir une sécurité appropriée. Cette sécurité implique notamment la prise de mesures techniques et organisationnelles appropriées et concerne chaque étape de la collecte jusqu’à l’effacement des données.La sécurisation des données collectées sur un site internet passe bien évidemment par la sécurisation du site lui même. Rappelons qu’une société française a été récemment condamnée par la CNIL au paiement d’une amende de 100.000 euros compte tenu de la défaillance d’un formulaire en ligne. [11]
L’actualisation de la politique et des mentions relatives à la collecte et au traitement des données personnelles des sites internet est l’une des étapes importantes de la mise en conformité des entreprises au regard du Règlement dit « RGPD ». Cette actualisation est également une opportunité de vérifier, de manière plus générale, la conformité de toutes les mentions des sites internet.
[1] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[2] Article 99 du Règlement
[3] Article 5 du Règlement
[4] Pour les cookies : application du règlement RGPD et de la Directive 2009/136/CE
[5] Article 5 du Règlement
[6] Article 12 du Règlement
[7] Sauf conservation pour une durée plus longue à des fins d’archives dans l’intérêt public ou de recherches scientifiques ou historiques.
[8] Article 5 du Règlement
[9] Article 8 du Règlement
[10] A ce jour, le projet de loi relatif à la protection des données personnelles prévoit un alignement de la réglementation française sur la suggestion du texte européen. En toute hypothèse, les états membres ne peuvent descendre en deçà de 13 ans.
[11] Délibération de la CNIL n°SAN-2018-001 du 8 janvier 2018
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)