Les obligations des entreprises

Les entreprises qui collectent et traitent des données sur les internautes doivent remplir plusieurs critères. Si un entreprise est en présence de données à caractère personnel, qu’elle effectue un traitement des données hors du cadre personnel et qu’elle est située sur le territoire français, elle doit répondre de la loi informatique et liberté.

Selon la loi informatique et liberté, l’entreprise doit respecter 5 grands principes :

1

La Finalité (Article 6)

Les entreprises ont obligation de définir les objectifs du fichier de données. C’est-à-dire qu’avant la collecte elle doit prévenir les personnes concernées de ce à quoi les données collectées sur elles vont lui servir. Ces objectifs sont appelés « finalités » et doivent respecter les droits et libertés des individus.

La finalité doit être déterminée, légitime et explicite c’est-à-dire qu’elle doit définir de façon claire l’objectif pour lequel la structure collecte les données personnelles qui doit être en adéquation avec les missions de l’organisme. Une fois l’objectif déterminé, l’organisme ne peut pas utiliser le fichier de données pour un autre objectif.

Exemples :

Ont été condamnés pour détournement de finalité une dizaine d’employés d’EDF-GDF pour la vente frauduleuse à un assureur de fichiers d’abonnés. A la base ces données étaient collectées avec une finalité de gestion des contrats d’abonnés, mais celle-ci a été détournée en finalité commerciale à un assureur (Tribunal de grande instance Paris -17e ch. Correctionnelle, 16 décembre 1994)

Exemple d’explication des finalités de la politique de confidentialité d’Instagram (cliquez ici)

2

La Pertinence (Article 6)

Les données collectées doivent être pertinentes et strictement nécessaires à la réalisation de la finalité si une entreprise souhaite les collecter: c’est le principe de minimisation de la collecte. L’entreprise qui collecte les données ne doit donc pas collecter plus de données que ce dont elle a réellement besoin. Elles doivent aussi être exactes, complètes et mises à jour si nécessaire. Le responsable de la collecte doit également faire attention aux données à caractère sensible.

Exemple :

Décision n° 2016-083 du 26 septembre 2016 mettant en demeure la société CDISCOUNT. C discount qui a notamment pour activité la vente de produits sur internet aux particuliers. La délégation de contrôle a constaté, dans la base de données de la société, la présence de commentaires non pertinents concernant ses clients. Elle avait constaté la présence de commentaires non pertinents, comme par exemple CLT SUPER CHIANT , CLTE IMBECILE , CLIENT RACISTE , CLT A UNE MALADIE CARDIAQUE etc…  La société Cdiscount a donc clairement fait preuve d’un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données car ces informations ne sont absolument pas en adéquation avec une finalité purement commerciale.

3

La Conservation (Article 36)

Si la finalité de collecte et de traitement des données est remplie et que l’objectif poursuivi par la collecte des données est atteint, l’entreprise n’a plus de raison de conserver ces données et doit les supprimer.  La durée de conservation des données à caractère personnel est définie en fonction de l’objectif de la collecte des données. Ainsi la durée de conservation d’une même donnée peut varier en fonction des objectifs poursuivis.

Exemple :

Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l’encontre de la société BRANDALLEY. Brandalley a pour activité la vente en ligne, aux particuliers, de produits neufs ou d’occasion, tels que les vêtements, chaussures, accessoires et produits de beauté. Elle a fait preuve de manquement à l’obligation de définir et mettre en œuvre une durée de conservation  des données. En effet l’entreprise avait dépassé le temps de conservation des données de ses prospects  sachant que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant une durée de trois ans à compter de la fin de la relation commerciale. De plus la société n’avait pas défini de durées de conservation. La société a donc reçu une sanction pécuniaire.

4

Le Respect des Droits (Article 32)

Les entreprises doivent respecter les droits des personnes en informant les personnes concernées qu’elle collecte des données sur elle. Les structures doivent aussi respecter les droits que les personnes peuvent exercer : le droit d’accès, le droit de rectification, le droit d’opposition et le droit à l’oubli.

Pour que la collecte de données soit loyale et licite, les structures ont l’obligation de présenter aux personnes concernées l’identité du Responsable du traitement des données, la finalité du fichier, le caractère obligatoire ou facultatif des réponses, le destinataire des données, leurs droits et les éventuels transferts de données vers les pays hors UE.

Exemple :

Partie des conditions générales de vente d’Amazon (cliquez-ici)

Dans la plupart des cas, un organisme ne peut pas collecter des données à caractère personnel sans en informer les personnes concernées. Un consentement écrit est obligatoire dans le cas de collecte d’informations dites sensibles. Les données sensibles sont « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. » (http://www.cil.cnrs.fr).

Exemple :

En 2015, l’entreprise d’affichage, JCDecaux, n’avait pas obtenu l’autorisation de la CNIL d’installer et d’exploiter un système de suivi des passants près de leurs affichages publicitaire. Les données collectées sur les passants par les bornes Wifi ne faisaient l’objet d’aucune demande d’autorisation des personnes concernées. JCDecaux avait mis au point un système d’anonymisation que la Cnil n’a pas jugée loyale. De plus la finalité de la collecte de données sur les passants n’était pas du tout compatible avec une anonymisation de ces données.

Il existe des exceptions où le consentement de la personne n’est pas nécessaire par exemple quand le traitement poursuit un intérêt légitime, comme le fichier des impôts.

5

La Sécurité (Article 34)

L’organisme responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données qu’il collecte. Ainsi, seules les personnes autorisées peuvent y accéder. Le responsable du traitement doit donc prendre certaines mesures pour assurer la sécurité des données des internautes.

Exemples :

« Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. S’il est fait appel à un prestataire externe, des garanties contractuelles doivent être envisagées. »

« Les mesures de sécurité, tant physique que logique, doivent être prises. (par ex : Protection anti-incendie, copies de sauvegarde, installation de logiciel antivirus, changement fréquent des mots de passe alphanumériques d’un minimum de 8 caractères.) »

« Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement. »

Délibération de la formation restreinte n° SAN-2017-011 du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR

La société OUICAR est une plateforme de location de véhicules entre particuliers. OUICAR aurait transmis au site www.zataz.fr deux URL permettant d’accéder à des données à caractère personnel. Le format de programmation de ces URL permettait d’accéder à une liste des données des véhicules proposés à la location en Ile de France ainsi qu’aux données de leurs propriétaires et des locataires. Le site internet de Ouicar était donc mal codé et ne respectait pas la loi imposant aux entreprises de mettre en œuvre tous les moyens pour sécuriser les donnée personnelles de leur client. Comme l’entreprise a fait preuve de bonne fois et a rapidement modifié son code, elle n’a reçu qu’un avertissement.

Les données doivent donc être accessibles seulement aux personnes autorisées pour qu’elles ne soient pas déformées ou endommagée par une personne malveillante et que le système de protection soit proportionnel à la nature des données (par exemple, si un fichier comporte des données sensibles, les mesures de sécurité prises doivent être plus strictes)