La Loi « Informatique et Liberté », dont la bonne application est vérifiée par la CNIL, oblige les propriétaires de sites Internet à se soumettre des obligations légales, notamment si ils collectent des données personnelles en vue de constituer une base de prospects. Cet article a pour objectif de vous aider à comprendre et, le cas échéant, à répondre aux exigences légales en la matière.
Qu’est-ce que la CNIL ?
La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante créée en 1978 en France. Elle est chargée de veiller à la protection des données personnelles et au respect des droits des citoyens dans l’environnement numérique. Dans le cadre de sa mission, la CNIL accompagne les entreprises, les administrations et les particuliers dans la mise en conformité avec les lois en vigueur. Elle assure également un rôle de sensibilisation en publiant des guides, en fournissant des outils pratiques, et en organisant des campagnes d’information. Grâce à son action, la CNIL favorise un équilibre entre innovation technologique et protection de la vie privée.
Le RGPD et son impact sur les sites web
Le Règlement Général sur la Protection des Données (RGPD), entré en application en mai 2018, est une réglementation européenne qui renforce la protection des données personnelles. Il impose aux entreprises et aux sites web de respecter des principes stricts, tels que la transparence, la minimisation des données collectées, et le consentement explicite des utilisateurs. La CNIL joue un rôle clé dans l’application du RGPD en France, notamment en sanctionnant les violations et en accompagnant les organisations dans leur mise en conformité. Pour un site web, cela signifie mettre en place des mécanismes clairs de gestion des cookies, informer les visiteurs de l’utilisation de leurs données et garantir leur sécurité.
La CNIL exige-t-elle de mon site qu’il soit déclaré ?
Déclarer un site web à la CNIL est une démarche essentielle pour tout propriétaire collectant des données personnelles. Bien que certaines formalités aient été allégées avec l’entrée en vigueur du RGPD, il reste des obligations à respecter pour assurer la conformité. Par exemple, les entreprises doivent tenir un registre des activités de traitement et s’assurer que les visiteurs de leur site donnent leur consentement éclairé pour l’utilisation de cookies ou autres traceurs. La CNIL propose sur son site des outils et des modèles pour aider les organisations à remplir leurs obligations.
La première question à se poser est bien celle du champs d’application de la Loi « Informatique et Libertés ». Votre site est-il concerné ?
Qu’est-ce qu’une donnée personnelle ?
On appelle « donnée personnelle », toute information qui se rapporte à une personne physique et permet de l’identifier. Ces données sont regroupées en trois familles :
- les données qui permettent une identification directe : nom, photo, email nominatif, etc…
- les données qui permettent une identification indirecte : identification de compte, numéro de portable, empreintes digitales, etc…
- les recoupements d’informations : « Le petit blond qui habite au 25 rue de la Louve », « Le boucher de la place de la mairie », etc…
Quels sont les droits des utilisateurs ?
Le cadre légal défini par la CNIL et le RGPD accorde plusieurs droits aux utilisateurs concernant leurs données personnelles. Ceux-ci incluent le droit d’accès, qui leur permet de consulter les données collectées à leur sujet, et le droit de rectification pour corriger d’éventuelles erreurs. Les utilisateurs peuvent également exercer leur droit à l’effacement (« droit à l’oubli ») ou s’opposer à certains traitements de données, notamment à des fins de prospection commerciale. La CNIL veille à ce que ces droits soient respectés et propose des modèles de lettres pour faciliter les démarches auprès des entreprises concernées.
Votre site traite-t-il les données personnelles ?
Si votre site recueille et manipule des données personnelles (conservation, utilisation, comparaison, modification, etc…) on dit qu’il les traite. Si ce traitement est réalisé par n’importe quel moyen, et pas uniquement informatique (enregistrement d’images pour des vidéos, manipulations manuelles de listings, classements, etc…), votre site est concerné. La technologie et les pratiques pouvant évoluer rapidement, la Loi n’est pas exhaustive quant aux moyens de collecte et de traitement.
La CNIL accepte les traitements de données à usage personnel
La Loi ne s’applique pas aux traitements qui sont réalisés à des fins personnelles (répertoire de contacts, photos de vacances), ni aux traitements qui sont effectués à des fins purement techniques (proxy, serveurs de cache). Dans ces cas, aucune déclaration n’est demandée.
La CNIL exige que le responsable du traitement soit identifié
Le responsable de traitement des données personnelles est la personne morale propriétaire du site qui est incarnée par son représentant légal (Le gérant pour une SARL, Le Président pour une SA. le Maire pour une municipalité). Le responsable de traitement peut déléguer à un sous-traitant qui interviendra pour le compte et sous la responsabilité du responsable de traitement.
Et si mon site ne relève pas du droit Français ?
La Loi Française est applicable uniquement sur le territoire national. Pour relever des compétences de la CNIL, l’organisme qui publie le site doit être établi en France.
Alors, déclaration ou pas ?
Si votre site récolte et traite des données personnelles, que vous les utilisez à des fins professionnelles et que l’organisme qui publie votre site est établi en France, vous devez faire une déclaration à la CNIL. Dans tous les autres cas, ce n’est pas nécessaire.
Note aux clients d’ONI : tous les sites que nous gérons acquièrent des données personnelles à des fins commerciales. Une déclaration à la CNIL est donc obligatoire.
Comment faire une déclaration ?
Vous pouvez déclarer votre société auprès de la CNIL en cliquant ici. Il s’agit de la déclaration simplifiée NS-048 destinée aux fichiers de prospects et de clients. Vous constaterez qu’une seule déclaration par société est nécessaire dans la plupart des cas, même si votre société exploite plusieurs sites Internet.
Le cas particulier des cookies et autres traceurs
La Loi oblige les responsables de sites à informer les internautes et à recueillir leur consentement avant la mise en oeuvre de cookies et autres traceurs. Vous devez donc mettre votre site en conformité avec cette disposition légale. Pour plus d’infos, cliquez ici.
Note aux clients d’ONI : cette opération est systématique sur tous les sites que nous gérons.
Mon site est géré par un tiers, que dois-je faire ?
Si vous avez fait appel à un professionnel pour la gestion de votre site, celui-ci vous aura averti et indiqué la marche à suivre pour vous mettre en conformité avec la Loi. Il aura également fait le nécessaire pour afficher les informations obligatoires concernant les cookies et traceurs. Si ce n’est pas le cas, posez-lui rapidement la question.
Quelles sanctions en cas de non-conformité ?
Ne pas se conformer aux exigences de la CNIL peut avoir des conséquences lourdes pour une entreprise ou un propriétaire de site web. Les sanctions peuvent aller de simples avertissements à des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon la gravité de l’infraction. En outre, la CNIL publie régulièrement les noms des entités sanctionnées, ce qui peut nuire à leur réputation. Pour éviter ces risques, il est crucial de mettre en œuvre des mesures robustes de protection des données et de suivre les recommandations de la CNIL.
Les outils de la CNIL pour vous accompagner
La CNIL propose une gamme complète d’outils pour aider les entreprises et les organisations à se conformer aux lois sur la protection des données. Parmi ces outils figurent des guides pratiques, comme celui sur la gestion des cookies, des formations en ligne, ainsi que des modèles de documents tels que le registre des activités de traitement. La CNIL met également à disposition des simulateurs pour évaluer le niveau de conformité d’une organisation. En utilisant ces ressources, les propriétaires de sites web peuvent réduire leur risque juridique tout en garantissant une meilleure protection des données des utilisateurs.