AccueilEspace TPE/PMEVotre site internetSécurité / Obligations légales5 conseils pour respecter la règlementation sur la collecte des données personnelles

5 conseils pour respecter la règlementation sur la collecte des données personnelles

Vous collectez par le biais de votre activité web des données à caractère personnel ? Êtes-vous sûr de le faire en toute légalité ? Découvrez les 5 conseils pratiques de Laure Landes-Gronowski, Avocate associée & Experte en droit de la protection des données à caractère personnel, et partenaire de Data Expert, cabinet de conseil qui accompagne ses clients pour faire face aux mutations du droit des données.

  • 1. Données personnelles, de quoi parle-t-on ?
  • 1. Collecter les données de façon « loyale »
  • 2. Appliquer le principe de limitation des finalités…
  • 3. …et de minimisation des données
  • 4. Déterminer une durée de conservation proportionnée
  • 5. Respecter la « protection de la vie privée dès la conception »

    • 1. Données personnelles, de quoi parle-t-on ?

    Une donnée est dite personnelle dès lors qu’elle se réfère à une information relative à une personne physique identifiée ou identifiable, directement ou indirectement ; prénom, adresse postale ou e-mail, numéro de téléphone, etc. Les données personnelles sont au cœur des enjeux du RGPD (Règlement général sur la protection des données) qui encadre leur traitement au niveau de l’Union européenne.

    Si vous disposez d’un site internet (une boutique en ligne ou une vitrine d’exposition), vous manipulez obligatoirement des données personnelles : celles de vos clients ! C’est la raison pour laquelle il vous faut impérativement informer vos internautes sur la politique en vigueur en matière de protection de leurs données.

    Les données personnelles dites « sensibles » font quant à elles l’objet d’un traitement particulier. Par définition, sont considérées comme sensibles « les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. ».

    Faire le bilan de votre présence en ligne

    Évaluez gratuitement votre maturité numérique et obtenez un bilan personnalisé de votre présence en ligne, visibilité, réputation et développement commercial

    Faites votre autodiagnostic

    Les principales obligations du RGPD

    Entré en application en 2018, le Règlement général sur la protection des données est un texte réglementaire européen qui encadre le traitement des données personnelles sur le territoire de l’Union Européenne et se décline en 6 axes principaux : la transparence, la limitation des finalités, la minimisation, l’exactitude, la limitation de conservation et l’intégration & la confidentialité.

    Les utilisateurs concernés disposent à cet effet de droits qui leur permettent de conserver la maîtrise de leurs données et dont leur exercice doit être explicitement expliqué. On parle alors du droit à l’information, du droit d’opposition, du droit d’accès et du droit de rectification.

    Pour en savoir plus, consultez notre article : Comment se mettre en conformité avec le RGPD ?

    1. Collecter les données de façon « loyale »

    Cette notion implique la collecte des données de façon transparente à l’égard des personnes concernées. Si elle est réalisée directement, au moyen d’un formulaire par exemple, des mentions obligatoires (finalités du traitement, destinataires, durées de conservation…) doivent apparaître. De même, le consentement des personnes concernées peut être requis en fonction des finalités d’utilisation (si vous envisagez de faire de la prospection par courriel par exemple). Ce consentement peut-être obtenu par l’intermédiaire d’une case à cocher sur le formulaire.
    En cas de collecte indirecte de données, de type « location de fichiers », une attention particulière doit être portée au contrat régissant les relations entre les parties. Il doit notamment contenir des garanties renforcées au sujet de la loyauté de la collecte des données.

    Vous l’aurez compris, il vous faudra informer les utilisateurs concernés de la collecte de leurs données personnelles (et de leurs droits) à chaque action/dispositif déployé impliquant la collecte directe ou indirecte de données (formulaire de contact, achat réalisé en ligne, création d’un compte client, analyse de trafic web, envoi d’une newsletter, etc.), ou « en cas de modification substantielle ou d’événement particulier ».

    Pour en savoir plus, consultez les ressources de la CNIL :

    Et notre article Êtes-vous conforme au RGPD ?

    2. Appliquer le principe de limitation des finalités…

    Un principe fondateur concernant le traitement de données à caractère personnel impose la « limitation des finalités » d’utilisation des données collectées. Autrement dit, celles-ci ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être ultérieurement traitées pour des finalités incompatibles avec celles annoncées au départ. Par exemple, des informations recueillies en vue de la conclusion d’un achat en ligne (identité, coordonnées et contenu du panier…) ne pourront pas être réutilisées plus tard à des fins de segmentation ou de prospection ciblée sans que cela ait été porté à l’attention des personnes concernées.

    3. …et de minimisation des données

    Cet autre principe impose que ne soient collectées que les données strictement adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées. Il faut identifier, en amont de la collecte, les données indispensables et celles qui ne le sont pas. Des informations non strictement nécessaires pourront être collectées mais à condition d’être cohérentes avec la finalité poursuivie et que leur communication soit facultative. Celles-ci pourront être différenciées des données obligatoires sur le formulaire de collecte au moyen d’un astérisque (*).

    4. Déterminer une durée de conservation proportionnée

    Les données à caractère personnel ne doivent pas être conservées pour une durée plus longue que ce qui est strictement nécessaire pour assurer la finalité du traitement. Aussi, une durée de conservation maximum doit être déterminée et une politique de purge des données mise en place. Les textes ne donnant pas de durées de conservation « types », il convient de se reporter aux recommandations de la Cnil. Par exemple, pour les données utilisées à des fins de prospection, la Cnil recommande ce qui suit :

    • 3 ans à compter de la fin de la relation commerciale pour un client (par exemple, à compter d’un achat),
    • 3 ans à compter de la collecte des données ou du dernier contact émanant d’un prospect (ce peut être un clic sur un lien hypertexte contenu dans un courriel ; attention, l’ouverture d’un courriel ne peut en revanche être considérée comme un contact émanant du prospect).

    5. Respecter la « protection de la vie privée dès la conception »

    Enfin, il convient d’appliquer le principe de privacy by design, c’est-à-dire l’obligation de s’assurer, dès l’origine même d’un projet, et tout au long de son cycle de vie, du respect des dispositions applicables en matière de protection des données. Parmi ces dispositions, outre les principes précités, l’obligation renforcée de sécurité et de confidentialité des données qui pèse sur tout organisme collectant et traitant des données à caractère personnel devra faire l’objet d’une attention particulière.

    www.dataexpert.fr

    Article rédigé par les experts du .fr

    Partager

    S’inscrire
    à la newsletter