Lorsqu’un site internet requiert des informations personnelles relatives à ses utilisateurs, il est tenu d’adopter et de publier une charte des données personnelles. L’objectif de celle-ci est de protéger les informations des clients et des utilisateurs du site. Il est indispensable de rédiger une politique de confidentialité conforme au RGPD. Depuis l'entrée en application du nouveau Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, la charte se doit de respecter cette nouvelle règlementation.
Qu'est-ce que la charte des données personnelles ?
En France, la loi Informatique et Libertés règlemente la collecte et le traitement des données personnelles, relatives à des personnes humaines. Créée en 1978, elle continue d’évoluer, ses dernières modifications datent du 6 août 2004.
Ses principes sont le respect des libertés individuelles ou publiques, de la vie privée, des droits de l’homme. Le consentement reste une donnée majeure. Le recueil, l’enregistrement, le traitement ou l’utilisation d’une donnée ne peut se faire sans le consentement explicite de la personne concernée. La pertinence est essentielle : seules les données indispensables à ce pour quoi la collecte a été établie peuvent être collectées et enregistrées. Une fois l’objectif atteint, elles doivent être détruites.
La loi rappelle également les droits de la personne propriétaire de ses propres données :
- Le droit d’information, selon lequel toute personne a le droit de savoir si elle est fichée, c’est-à-dire que ses données ont été collectées et enregistrées, ainsi que le droit de savoir dans quel(s) fichier(s) se trouvent ses données.
- Le droit d’opposition, où toute personne peut s’opposer à figurer dans un fichier, ou à ce que ses données soient utilisées pour de la prospection ou à des fins commerciales, avec ou sans justification.
- Le droit d’accès, qui permet de consulter à tout moment ses propres données, et d’en obtenir une copie. La demande d’accès ne doit pas être abusive, son motif doit être justifié.
- Le droit de rectification, par lequel il est possible de modifier ses données, de les compléter ou de les actualiser.
Ainsi, la création d’un fichier client, l’enregistrement de données sur ses salariés, la collecte d’adresses pour une campagne d’e-mailing ne peuvent se faire au détriment des principes de la loi.
La loi Informatique et Liberté constitue le socle de la politique interne de l’entreprise vis-à-vis de la protection des données personnelles, à partir duquel se construit le contenu de la charte des données personnelles propre à l’entreprise.
Dans quelle mesure la charte des données personnelles est-elle obligatoire ?
La charte des données personnelles est obligatoire dès lors qu’en tant qu’entrepreneur, vous êtes en possession de données à caractère personnel des clients ou visiteurs de votre site, que le traitement des données est mis en œuvre et que le responsable et/ou les moyens de traitement sont situés sur le territoire français. En revanche, si les données fournies sont dédiées à une activité exclusivement personnelle, leur traitement n’est pas soumis à la loi Informatique et Libertés.
Quels sont les principes clés à respecter ?
Selon la Commission Nationale de l’Informatique et des Libertés, la charte des données personnelles est portée par cinq principes : la finalité, la pertinence, la conservation, les droits des personnes et la sécurité.
En outre, si les données personnelles des utilisateurs et des clients sont utilisées et/ou traitées, cela doit s’inscrire dans un but précisément défini. À ce titre, les informations personnelles destinées à la mise en place d’une base de données à des fins de recrutement ne peuvent pas être utilisées pour proposer des offres commerciales aux personnes inscrites.
Quant à la pertinence, elle se traduit par le fait que les informations demandées, collectées et traitées doivent correspondre à l’activité évoquée par le site. Il ne serait pas pertinent, par exemple, de rendre obligatoire le remplissage d’un champ n’étant pas lié à la finalité du site. C’est d’ailleurs pour cette raison que sous le volet « pertinence », il est aussi recommandé d’établir le distinguo entre les données obligatoires et les données facultatives.
Par ailleurs, la conservation des données doit être définie sur une période. La durée peut varier en fonction des objectifs et des obligations légales, mais lorsque l’objectif fixé par la collecte est atteint, il est important qu’elles soient supprimées.
Pour ce qui est du respect des droits des personnes, sachez que ces dernières doivent en être informées, par le biais de la charte des données personnelles. Le responsable du fichier a en effet le devoir de leur expliquer comment exercer leurs droits, afin de préserver la maîtrise de leurs informations. Parmi ces droits, on recense : le droit à l’information, le recueil du consentement, le droit d’opposition et les droits d’accès et de rectification.
Enfin, il est indispensable que la charte des données personnelles garantisse la sécurité des informations collectées. Ainsi, le responsable du fichier s’engage à prendre les mesures nécessaires afin de se plier à cette condition et d’éviter la divulgation d’informations, parfois hautement sensibles, à des tiers non autorisés.
Quelles sont les mentions obligatoires de la charte des données personnelles ?
Les principes mentionnés ci-dessus doivent impérativement être indiqués, de manière claire et sans ambiguïté, dans la charte des données personnelles. En parallèle, afin que les clients et utilisateurs puissent exercer leurs droits sans embûche, le responsable du fichier doit décliner son identité, et indiquer la possibilité d’exercer le droit d’accès et de rectification accordé au client.
Soulignons par ailleurs que la loi Informatique et Libertés prévoit que cette charte doit être accessible aux utilisateurs et aux clients.
Quelles sont les déclarations à effectuer à la CNIL ?
Dès qu’une entreprise souhaite collecter et exploiter les informations personnelles des visiteurs de son site, elle est tenue de déclarer son intention de traiter des fichiers contenant des données personnelles. Cela se fait auprès de la CNIL, et seulement contre l’accord explicite du client. Dans tous les cas, c’est le fichier de données qui doit être déclaré, et non l’existence du site internet.
Il existe deux types de déclarations : celle qui permet de déclarer les opérations les plus simples (création d’une base de données dans le cadre d’une campagne de recrutement, par exemple), et celle qui permet d’effectuer des déclarations plus approfondies. En outre, ces dernières déclarations ont une autre vocation que celle de confirmer une conformité, un avis ou demander une autorisation.
Quelles sont les sanctions prévues en cas de manquement ou de défaut ?
En cas de non-conformité avec les directives de la CNIL au sujet de la charte des données personnelles, le responsable du fichier s’expose à une amende de 300 000 euros et une peine d’emprisonnement allant jusqu’à cinq ans. Les délits pourraient alors être les suivants :
- Usage de méthodes frauduleuses, déloyales ou prohibées pour la collecte d’informations personnelles ;
- Usage illicite de données ;
- Conservation de données sur une période plus longue que celle autorisée.
Établir une charte des données personnelles lorsqu’on possède un site internet peut s’avérer être une tâche particulièrement délicate. Un avocat est le professionnel tout indiqué pour vous épauler dans votre démarche.
- La loi Informatique et Libertés encadre la collecte et le traitement des données personnelles, relatives à des personnes humaines.
- La charte des données personnelles pose en toute transparence la politique interne à l’entreprise vis-à-vis des données personnelles transmises par le client ou par les salariés.
Une question ? Laissez votre commentaire