Collecte des données à caractère personnel sur les sites web : les obligations à respecter
Septième épisode d'une série sur les droits et obligations de l'entreprise en matière de données personnelles.
PublicitéUn site web peut contenir un questionnaire que l'internaute remplira, soit de façon facultative, soit de façon impérative, s'il veut accéder à d'autres parties du site. Ce type de questionnaire peut évidemment servir à collecter des données à caractère personnel (l'adresse électronique, l'adresse postale, le numéro de téléphone, les noms et prénoms, la profession, le revenu, etc.). Mais il existe également d'autres moyens de collecter des informations sur des individus. On peut citer à titre d'exemple les outils mis en oeuvre par les fournisseurs d'accès pour surveiller la navigation des utilisateurs en enregistrant les adresses des sites web qu'ils consultent, la date et la durée des connexions, leurs interventions, par exemple dans le cadre d'un forum de discussion. Ces données sont ensuite stockées dans des « fichiers log » qui permettent de les conserver pendant de nombreux mois. La simple utilisation d'un moteur de recherche permet en quelques minutes de « tracer » un utilisateur. Ses réflexions, les sujets qui l'intéressent, le nombre et la nature des sites auxquels il s'est connecté sont autant d'éléments qui peuvent permettre d'en dresser un profil. Aussi, la collecte des données via un site web doit respecter un certain nombre d'obligations : Mentions obligatoires. La personne, dont les données à caractère personnel sont susceptibles d'être collectées, doit être informée de ses droits (L. 6 janv. 1978, art. 32 s.). Ces mentions doivent figurer en langue française conformément à la loi Toubon (L. 4 août 1994). Formalités déclaratives obligatoires. La collecte de données à caractère personnel sur l'internet est un traitement de données nominatives qui doit faire l'objet de formalités déclaratives. Le contrevenant s'expose à des peines de cinq ans d'emprisonnement et de 300.000 euros d'amende (Code pénal, art. 226.16). C'est précisément à raison du non respect de ces formalités que la Ligue européenne de défense des victimes de notaires a été condamnée par la Cour d'appel de Bourges, suivant arrêt du 11 janvier 2007. Dans le cas d'espèce, non seulement l'association n'avait procédé à aucune déclaration préalable auprès de la Cnil, mais de plus, son site donnait accès à des listes nominatives de notaires, alors mêmes que ceux-ci avaient exprimé leur refus de voir leur nom figurer sur ces listes. Les juges ont retenu que le dispositif constituait une liste noire qui s'apparentait à de la délation, occasionnant un préjudice aux notaires cités. Une exploitation limitée des « traçages ». La Cnil a émis, à ce titre, plusieurs recommandations : - les renseignements demandés doivent être limités à la finalité du traitement ; ainsi, à titre d'exemple, les données ne peuvent pas être exploitées à des fins commerciales si le traitement a été mis en oeuvre dans le cadre d'un forum de discussion ; - les utilisateurs doivent pouvoir consulter anonymement un site web ou participer à un forum ; mais, pour tenir compte des abus sous couvert de l'anonymat, la Cnil accepte l'intervention d'un « modérateur » dont le rôle consiste à supprimer, préalablement à sa diffusion, toute contribution qui ne serait pas en relation avec le thème de discussion abordé, la ligne éditoriale du site, ou qui serait contraire à l'ordre public ; - les utilisateurs doivent pouvoir s'opposer à la réception par e-mail de documents de prospection commerciale qu'ils n'ont pas demandés ; - les utilisateurs doivent pouvoir refuser que leurs adresses e-mail soient cédées à un tiers ou utilisées pour le compte d'un tiers. Cependant, si les sociétés commerciales sont soumises à l'exigence de déclaration lorsqu'elles procèdent à des traitements de données personnelles via l'internet, elles sont dispensées de déclarer les traitements de données personnelles dans un certain nombre de cas : - les sites web de particuliers (y inclus les blogs) collectant ou diffusant des données à caractère personnel ; - les sites vitrines collectant ou diffusant des données personnelles dans un but de communication ou d'information ; - les sites web des associations pour ce qui concerne les fichiers relatifs à leurs membres et donateurs. Il n'en reste pas moins que les dispositions légales et recommandations de la Cnil visant à s'assurer du consentement de la personne et de l'exactitude des données collectées et diffusées demeurent applicables, quelle que soit la nature du site. Les sites des ministères ou des collectivités locales. S'agissant des sites mis en oeuvre par les ministères ou les collectivités locales, la Cnil a également émis les recommandations suivantes : - toute personne a le droit de s'opposer à la diffusion de données la concernant, à tout moment et sans avoir à en donner le motif ; - la conservation des informations liées à la navigation (adresse IP, date et heure, etc.) est limitée à ce que commandent la sécurité du site et la mesure de sa fréquentation ; - en cas d'hébergement du site, il est interdit au fournisseur d'utiliser ou de céder les données autrement que sous forme statistique.
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire