Données personnelles : les bonnes pratiques à adopter sur internet

Culture web
ideematic Par ideematic
10 octobre 2016
personal-data

Que ce soit à des fins d’amélioration de votre relation client ou de vos retours sur investissement, les données à caractère personnel sont devenues un enjeu capital pour votre entreprise.
La collecte des données personnelles et leur traitement est soumis à un droit particulier qui s’applique également sur internet. Vous souhaitez créer ou refondre votre site ? Cet article va vous permettre d’identifier les points de vigilance à ne surtout pas manquer pour être en accord avec la législation.

1 – L’identification des données personnelles

Données personnellesLa législation ne s’applique qu’aux données à caractère personnel, les données personnelles sont définies par la Loi informatique et liberté qui dispose que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. ».
Ce qu’il faut comprendre c’est qu’une donnée qui parait anodine peut se révéler identifiante – et donc être soumise à la législation – si l’ensemble dans lequel elle est contenue permet indirectement de la relier à une personne.

2 – Le responsable de traitement et ses obligations

Responsable de traitementEst considéré comme responsable d’un traitement de données à caractère personnel, la personne physique ou morale qui détermine les finalités et les moyens du traitement.
En sommes si vous avez répondu aux questions : « A quoi sert le traitement ? » et « Comment atteindre l’objectif fixé ? » , alors, vous êtes considéré comme tel.

En tant que responsable de traitement, vous devez respecter certaines obligations.

Le recueil de consentement et l’obligation d’information

Vous devez recueillir les données personnelles des internautes de manière loyale et obtenir leur consentement. Pour se faire, vous devez respecter le droit d’information des utilisateurs et leurs indiquer notamment les finalités du traitement.
Comme la finalité d’une collecte A peut être différente que la finalité d’une collecte B, nous vous conseillons d’indiquer directement dans le formulaire de collecte les finalités du traitement et de permettre à l’utilisateur d’indiquer par une action son consentement, l’ajout d’une check box est dans ce cas particulièrement utile.

Le respect des finalités du traitement

Le responsable de traitement s’engage à respecter les finalités indiquées aux internautes. Cela implique que les données personnelles que vous avez récoltées ne peuvent être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été récoltées.

Vous ne pouvez donc en aucun cas céder à uen entreprise les données personnelles récoltées si vous n’en avez pas informé l’utilisateur lors de la récolte et si vous n’avez pas obtenu son consentement éclairé.
D’une manière générale nous vous conseillons de toujours permettre à l’utilisateur de refuser la cession de ses données à une entreprise tierce.

Le respect du principe de pertinence et de proportionnalité

Yes NoQuelque soit la finalité pour laquelle des données à caractère personnel sont récoltées, vous êtes amené à respecter le principe de pertinence et de proportionnalité.

Ce principe implique que les données personnelles récoltées doivent avoir un lien direct avec la finalité du traitement. Vous ne pouvez par exemple pas demander à un internaute de vous faire part de son numéro de téléphone lors d’une inscription à une newsletter.
Il existe tout de même des informations complémentaires qui peuvent avoir un intérêt pour la finalité du traitement, même si elles n’ont pas de rapport direct avec l’objet de la collecte.

Afin de permettre la récolte de données complémentaires tout en respectant ce principe ainsi que le droit d’information, nous vous conseillons d’ajouter aux champs obligatoires des champs facultatifs.

La conservation, la protection et la divulgation des données personnelles

Une fois les données récoltées, elles ont vocation à être conservées durant un temps défini qui est fonction de la finalité du traitement.
La durée de conservation doit toujours être limité et proportionnelle à l’objectif à atteindre.
Ex : Si vous avez récolté des CV, la durée de conservation maximum recommandées par la CNIL est de deux ans. D’une part car l’acte de candidature ne sera plus valable et d’autre part car les données d’un CV seront en toute logique incomplète.

La question de la conservation amène à la question de la sécurisation de l’accès aux données et à leur destruction. Seules les personnes autorisées à traiter les données personnelles doivent pouvoir y accéder durant la période définie. Il faut que votre système permettre de protéger l’accès des données à quiconque n’a pas le droit d’y accéder. Afin d’avoir la certitude que votre système informatique soit en adéquation avec la loi il est important pour vous d’en parler avec des professionnels qui sauront mettre à votre disposition les moyens techniques nécessaires.

Une GED, pour gérer facilement vos documents électroniques

La déclaration auprès de la CNIL

En tant que responsable de traitement, vous avez l’obligation d’informer la CNIL des traitements que vous allez effectuer. Vous pouvez être soumis à 4 systèmes différents selon les données collectées et les modalités de traitements qui y sont associées. Selon le cas dans lequel vous vous situez, vous pourrez être soumis aux cas suivants :

  • Les dispenses de déclaration
  • La déclaration normale
  • La déclaration simplifiée
  • Les formalités particulières (autorisation ou avis de la CNIL)

La déclaration doit toujours être préalable à la collecte et au traitement. Une fois que vous aurez reçus votre récépissé et le numéro de déclaration correspondant, vous pouvez commencer à collecter des données.
N’oublier pas d’indiquer le numéro de déclaration CNIL auquel correspond la collecte dans les informations à destination de vos internautes.

En plus de respecter la loi ces bonnes pratiques vous permettront d’améliorer votre E-réputation.

E-réputation : comment conserver une bonne image sur le Web

3 – Les droits des internautes

Droit internautes

Outres les obligations que vous êtes amenés à respectés, les internautes ont des droits que vous devez respecter.

Le droit d’information

Les internautes ont un droit d’information quant aux données suivantes :

  • L’identité du responsable du traitement ou de son représentant ;
  • La finalité poursuivie par le traitement ;
  • Le caractère obligatoire ou facultatif des réponses ;
  • Les conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • Les destinataires des données ;
  • Les droits et moyens d’accès, d’opposition et de rectification ;
  • Le cas échéant, les transferts de données envisagés à destination d’un État non membre de la Communauté européenne.

Afin que ces données soient facilement accessibles nous vous conseillons de regrouper ces informations dans la page de mentions légales de votre site.

Le droit d’accès, de rectification

L’utilisateur peut vous demander de lui faire parvenir les données que vous détenez sur lui, ceci afin d’en vérifier l’exactitude et la cas échéant d’exercer sont droit de rectification – ce implique la modification ou la suppression des données erronées. Afin d’exercer ses droits vous devez mettre à disposition de l’internaute une adresse postale afin qu’il puisse en effectuer la demande, nous vous conseillons tout de même de créer une adresse mail dédiée à ce type de demandes.

Ces droits impliquent que votre système informatique soit capable de stocker, d’éditer et de supprimer ces données. Accessibles depuis la base de donnée ou le Back office vous devez pouvoir les retrouver facilement.

Le droit d’opposition

L’internaute peux faire opposition à la collecte et au traitement des données le concernant. Ce droit peut s’exercer à deux moments.

Au moment de la collecte, l’internaute doit être en mesure de vous faire savoir qu’il ne souhaite pas pour un motif légitime que ces données soient stockées dans un fichier.
Il vous faudra donc donner la possibilité à l’utilisateur de s’opposer au traitement des données et dans une plus large mesure à leurs collectes. Nous vous conseillons dans ce cas de figure de permettre à l’utilisateur de vous indiquer son acceptation ou son refus par le biais d’une check box.

Après la collecte, un internaute doit pouvoir s’adresser au responsable de traitement. Ceci, afin que les données que vous détenez sur lui et qui figurent dans un fichier non obligatoire soient supprimées.
Dans ce second cas de figure votre système informatique doit vous permettre de classer et supprimer les données à caractère personnel non obligatoire qui ont été collectées.

Vous souhaitez être en règle avec la législation ?

La gestion et l’exploitation de données à caractère personnel nécessitent une expertise technique et juridique. Avec idéematic vous serez accompagné par une équipe technique sensible aux problématiques juridiques, n’hésitez pas à nous consultez pour nous faire part de vos projets.

Driiiinnnng !
Retrouvez-nous sur :

Ajouter un commentaire

Articles similaires
Actualités de l’agence
Idéematic recrute un(e) développeur(se) web Full-Stack
Culture web
E-commerce : lutter contre l’abandon du panier d’achat
Développement mobile
Développer des applications iOS et OSX directement en Ruby