Gérer des données personnelles en toute légalité
Lundi soir, à la Cantine Numérique Rennaise, un Open Coffee sur le traitement des données personnelles était organisé par Web2Rennes. Cette présentation était animée par un membre du cabinet d’avocats Lamon & Associés, spécialisé dans les NTIC . Voici dans cet article quelques enseignements utiles pour les agences Web.
hh
Durant l’Open Coffee, nous avons parlé des contraintes légales pour pouvoir stocker des données privées, abordé la définition de ce qui est considéré comme privé ou non, et enfin nous avons revu les obligations pour se conformer à la loi.
Voici les quelques points qui m’ont semblé importants :
- La collecte des données est le point principal : si la collecte n’est pas loyale, toute utilisation ultérieure du fichier est rendue illégale. C’est à ce moment qu’il faut penser à préciser tous les usages que l’on fera des données (par exemple : pour recontacter les clients ou pour céder le fichier client à un tiers).
- La loi est applicable en fonction de l’endroit physique où sont stockées les données, mais aussi du public visé (un e-commerçant qui traduit son site en chinois devra se conformer à la loi chinoise). De même, avec le cloud, il faut faire attention et se renseigner de l’endroit où la donnée sera stockée. En Union Européenne, la loi est globalement uniformisée (pas besoin de procédure complexe). Par contre dans presque tous les autres pays, il faut passer par un contrat had-hoc et spécifique (il y a quelques facilités avec les USA, le Canada et la Suisse).
- Ce n’est pas parce qu’une donnée est libre d’accès qu’on a le droit de la stocker dans une base de données (un annuaire d’anciens élèves est accessible dans le but d’être contactées mais nous n’avons pas le droit de récupérer les données privés pour recontacter ces gens de manière automatisée). Se joue aussi ici une question de propriété intellectuelle sur la base de données.
- Si on achète un fichier de prospects, il faut s’assurer que la collecte était légale, puis que le gestionnaire du fichier se charge d’enregistrer et de mettre à jour les demandes de retrait (sinon à chaque importation, on réimporte les clients qui ont déjà déclaré ne pas vouloir être contactés).
- Les données doivent être exactes et mises à jour, si elles sont altérées, cela pourra être reproché.
- Il est obligatoire de faire un historique des accès aux données privées. Non seulement savoir que telle personne a les droits pour le faire, mais aussi de dire à quelle donnée elle a accédé, à quelle heure et pourquoi. Néanmoins peu d’entreprises connaissent et appliquent un telle niveau d’historisation.
- Il est interdit de demander une information « au cas où on en aurait besoin un jour ». Pour demander la date de naissance, sur un site marchand, il faut en avoir expressément le besoin. Dans le cas contraire, c’est considéré comme abusif.
- Les histoires de cookies et de sécurisation ont été abordées mais le législateur n’a pas encore réussi à faire quelque chose de cohérent avec la réalité du terrain. C’est cependant en train d’évoluer. Seul point à retenir : pensez à informer les utilisateurs si une donnée privée a été récupérée contre son gré. Les entreprises qui collectent des données ont l’obligation d’assurer la sécurité du fichier.
- Enfin, pour les hébergeurs de services, il suffit d’une seule déclaration CNIL. Il n’y a pas d’obligation de le faire pour le compte des clients : c’est de leur responsabilité.
Pour rappel, la CNIL peut procéder à des contrôles dans les locaux. Les amendes restent relativement modestes mais peuvent impacter gravement la santé économique d’une entreprise (dans la jurisprudence De 10 à 40k€). Au niveau déontologique, il est toujours bon de faire un rappel sur l’utilisation légale des données personnelles.
