Lorsqu’un site internet requiert des informations personnelles relatives à ses utilisateurs, il est tenu d’adopter et de publier une charte des données personnelles. L’objectif de celle-ci est de protéger les informations des clients et des utilisateurs du site.
Il est indispensable de rédiger une politique de confidentialité conforme au RGPD.
Depuis l'entrée en application du nouveau Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, la charte se doit de respecter cette nouvelle règlementation.
SOMMAIRE :
La charte des données personnelles
La collecte, le traitement et la conservation des données personnelles des utilisateurs et des clients d’un site web est réglementée par la loi Informatique et Libertés. Cette dernière garantit par ailleurs un certain nombre de droits pour les personnes directement concernées. Aussi, grâce à cette charte, la CNIL est en mesure d’empêcher que les données personnelles telles que l’adresse, l’identité ou encore la date de naissance des utilisateurs ne se retrouvent publiée sur la Toile, sans le consentement des personnes à qui elles sont associées.
Dans quelle mesure la charte des données personnelles est-elle obligatoire ?
La charte des données personnelles est obligatoire dès lors qu’en tant qu’entrepreneur, vous êtes en possession de données à caractère personnel des clients ou visiteurs de votre site, que le traitement des données est mis en œuvre et que le responsable et/ou les moyens de traitement sont situés sur le territoire français. En revanche, si les données fournies sont dédiées à une activité exclusivement personnel, leur traitement n’est pas soumis à la loi Informatique et Libertés.
Les principes clés à respecter
Selon la Commission Nationale de l’Informatique et des Libertés, la charte des données personnelles est portée par cinq principes : la finalité, la pertinence, la conservation, les droits des personnes et la sécurité.
En outre, si les données personnelles des utilisateurs et des clients sont utilisées et/ou traitées, cela doit s’inscrire dans un but précisément défini. A ce titre, les informations personnelles destinées à la mise en place d’une base de données à des fins de recrutement ne peuvent pas être utilisées pour proposer des offres commerciales au personnes inscrites.
Quant à la pertinence, elle se traduit par le fait que les informations demandées, collectées et traitées doivent correspondre à l’activité évoquée par le site. Il ne serait pas pertinent, par exemple, de rendre obligatoire le remplissage d’un champ n’étant pas lié à la finalité du site. C’est d’ailleurs pour cette raison que sous le volet « pertinence », il est aussi recommandé d’établir le distinguo entre les données obligatoires et les données facultatives.
Par ailleurs, la conservation des données doit être définie sur une période. La durée peut varier en fonction des objectifs et des obligations légales, mais lorsque l’objectif fixé par la collecte est atteint, il est important qu’elles soient supprimées.
Pour ce qui est du respect des droits des personnes, sachez que ces dernières doivent en être informées, par le biais de la charte des données personnelles. Le responsable du fichier a en effet le devoir de leur expliquer comment exercer leurs droits, afin de préserver la maîtrise de leurs informations. Parmi ces droits, on recense : le droit à l’information, le recueil du consentement, le droit d’opposition et les droits d’accès et de rectification.
Enfin, il est indispensable que la charte des données personnelles garantisse la sécurité des informations collectées. Ainsi, le responsable du fichier s’engage à prendre les mesures nécessaires afin de se plier à cette condition et d’éviter la divulgation d’informations, parfois hautement sensibles, à des tiers non autorisés.
Les mentions obligatoires de la charte des données personnelles
Les principes mentionnés ci-dessus doivent impérativement être indiqués, de manière claire et sans ambiguïté, dans la charte des données personnelles. En parallèle, afin que les clients et utilisateurs puissent exercer leurs droits sans embûche, le responsable du fichier doit décliner son identité, et indiquer la possibilité d’exercer le droit d’accès et de rectification accordé au client.
Soulignons par ailleurs que la loi Informatique et Libertés prévoit que cette charte doit être accessible aux utilisateurs et aux clients.
Les déclarations à effectuer à la CNIL
Dès qu’une entreprise souhaite collecter et exploiter les informations personnelles des visiteurs de son site, elle est tenue de déclarer son intention de traiter des fichiers contenant des données personnelles. Cela se fait auprès de la CNIL, et seulement contre l’accord explicite du client. Dans tous les cas, c’est le fichier de données qui doit être déclaré, et non l’existence du site internet.
Il existe deux types de déclarations : celle qui permet de déclarer les opérations les plus simples (création d’une base de données dans le cadre d’une campagne de recrutement, par exemple), et celle qui permet d’effectuer des déclarations plus approfondies. En outre, ces dernières déclarations ont une autre vocation que celle de confirmer une conformité, un avis ou demander une autorisation.
Sanctions prévues en cas de manquement ou de défaut
En cas de non-conformité avec les directives de la CNIL au sujet de la charte des données personnelles, le responsable du fichier s’expose à une amende de 300 000 euros et une peine d’emprisonnement allant jusqu’à cinq ans. Les délits pourraient alors être les suivants :
- Usage de méthodes frauduleuses, déloyales ou prohibées pour la collecte d’informations personnelles
- Usage illicite de données
- Conservation de données sur une période plus longue que celle autorisée
Etablir une charte des données personnelles lorsqu’on possède un site internet peut s’avérer être une tâche particulièrement délicate. Un avocat est le professionnel tout indiqué pour vous épauler dans votre démarche.