Qu’est-ce que la charte des données personnelles d’un site internet ?

par
5
Je rédige ma charte de confidentialité

Sommaire

  1. La charte des données personnelles
  2. Les déclarations à effectuer à la CNIL
  3. Sanctions prévues en cas de manquement ou de défaut
Je rédige ma charte de confidentialité

Lorsqu’un site internet requiert des informations personnelles relatives à ses utilisateurs, il est tenu d’adopter et de publier une charte des données personnelles. L’objectif de celle-ci est de protéger les informations des clients et des utilisateurs du site.

Il est indispensable de rédiger une politique de confidentialité conforme au RGPD

Depuis l'entrée en application du nouveau Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, la charte se doit de respecter cette nouvelle règlementation. 

La charte des données personnelles

La collecte, le traitement et la conservation des données personnelles des utilisateurs et des clients d’un site web est réglementée par la loi Informatique et Libertés. Cette dernière garantit par ailleurs un certain nombre de droits pour les personnes directement concernées. Aussi, grâce à cette charte, la CNIL est en mesure d’empêcher que les données personnelles telles que l’adresse, l’identité ou encore la date de naissance des utilisateurs ne se retrouvent publiée sur la Toile, sans le consentement des personnes à qui elles sont associées.

Dans quelle mesure la charte des données personnelles est-elle obligatoire ?

La charte des données personnelles est obligatoire dès lors qu’en tant qu’entrepreneur, vous êtes en possession de données à caractère personnel des clients ou visiteurs de votre site, que le traitement des données est mis en œuvre et que le responsable et/ou les moyens de traitement sont situés sur le territoire français. En revanche, si les données fournies sont dédiées à une activité exclusivement personnel, leur traitement n’est pas soumis à la loi Informatique et Libertés.

Les principes clés à respecter

Selon la Commission Nationale de l’Informatique et des Libertés, la charte des données personnelles est portée par cinq principes : la finalité, la pertinence, la conservation, les droits des personnes et la sécurité.

En outre, si les données personnelles des utilisateurs et des clients sont utilisées et/ou traitées, cela doit s’inscrire dans un but précisément défini. A ce titre, les informations personnelles destinées à la mise en place d’une base de données à des fins de recrutement ne peuvent pas être utilisées pour proposer des offres commerciales au personnes inscrites.

Quant à la pertinence, elle se traduit par le fait que les informations demandées, collectées et traitées doivent correspondre à l’activité évoquée par le site. Il ne serait pas pertinent, par exemple, de rendre obligatoire le remplissage d’un champ n’étant pas lié à la finalité du site. C’est d’ailleurs pour cette raison que sous le volet « pertinence », il est aussi recommandé d’établir le distinguo entre les données obligatoires et les données facultatives.

Par ailleurs, la conservation des données doit être définie sur une période. La durée peut varier en fonction des objectifs et des obligations légales, mais lorsque l’objectif fixé par la collecte est atteint, il est important qu’elles soient supprimées.

Pour ce qui est du respect des droits des personnes, sachez que ces dernières doivent en être informées, par le biais de la charte des données personnelles. Le responsable du fichier a en effet le devoir de leur expliquer comment exercer leurs droits, afin de préserver la maîtrise de leurs informations. Parmi ces droits, on recense : le droit à l’information, le recueil du consentement, le droit d’opposition et les droits d’accès et de rectification.

Enfin, il est indispensable que la charte des données personnelles garantisse la sécurité des informations collectées. Ainsi, le responsable du fichier s’engage à prendre les mesures nécessaires afin de se plier à cette condition et d’éviter la divulgation d’informations, parfois hautement sensibles, à des tiers non autorisés.

Les mentions obligatoires de la charte des données personnelles

Les principes mentionnés ci-dessus doivent impérativement être indiqués, de manière claire et sans ambiguïté, dans la charte des données personnelles. En parallèle, afin que les clients et utilisateurs puissent exercer leurs droits sans embûche, le responsable du fichier doit décliner son identité, et indiquer la possibilité d’exercer le droit d’accès et de rectification accordé au client.

Soulignons par ailleurs que la loi Informatique et Libertés prévoit que cette charte doit être accessible aux utilisateurs et aux clients. 

Les déclarations à effectuer à la CNIL

Dès qu’une entreprise souhaite collecter et exploiter les informations personnelles des visiteurs de son site, elle est tenue de déclarer son intention de traiter des fichiers contenant des données personnelles. Cela se fait auprès de la CNIL, et seulement contre l’accord explicite du client. Dans tous les cas, c’est le fichier de données qui doit être déclaré, et non l’existence du site internet.

Il existe deux types de déclarations : celle qui permet de déclarer les opérations les plus simples (création d’une base de données dans le cadre d’une campagne de recrutement, par exemple), et celle qui permet d’effectuer des déclarations plus approfondies. En outre, ces dernières déclarations ont une autre vocation que celle de confirmer une conformité, un avis ou demander une autorisation.

Sanctions prévues en cas de manquement ou de défaut

En cas de non-conformité avec les directives de la CNIL au sujet de la charte des données personnelles, le responsable du fichier s’expose à une amende de 300 000 euros et une peine d’emprisonnement allant jusqu’à cinq ans. Les délits pourraient alors être les suivants :

  • Usage de méthodes frauduleuses, déloyales ou prohibées pour la collecte d’informations personnelles
  • Usage illicite de données
  • Conservation de données sur une période plus longue que celle autorisée

Etablir une charte des données personnelles lorsqu’on possède un site internet peut s’avérer être une tâche particulièrement délicate. Un avocat est le professionnel tout indiqué pour vous épauler dans votre démarche.

 

Amélie Gautier

Écrit par

Amélie Gautier

Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

DPO (Data Protection Officer) : ses missions dans le cadre du RGPD

Avec la mise en place du RGPD (Règlement général sur la protection des données), les entreprises ...

Amélie Gautier

Amélie Gautier

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Délégué à la protection des données (DPO) : quel est son rôle ?

Avant le 25 mai 2018 vous devrez peut-être mettre en conformité vos traitements de données ...

Maxime

Maxime

Modèle de contrat SaaS : un pari risqué avec le RGPD ?

Vous êtes en train de développer un tout nouveau logiciel, celui-ci sera exploité en mode Saas. ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier