Dans le commerce élec­tro­nique, où de nom­breuses et diverses tran­sac­tions sont ef­fec­tuées chaque jour : pla­te­formes et four­nis­seurs demandent souvent les données per­son­nelles de leurs clients. Mais de nombreux uti­li­sa­teurs s’in­quiè­tent toutefois de l’uti­li­sa­tion et de la di­vul­ga­tion des données per­son­nelles,  et à raison : trop souvent, des données sensibles sont utilisées de manière abusive, de façon illégale ou  à des fins  pu­bli­ci­taires,  et sont même parfois revendues à des tiers. Dans l’intérêt des clients et des con­som­ma­teurs, et afin d’éviter des problèmes ju­ri­diques, les en­tre­pre­neurs doivent donc se préoc­cu­per de la pro­tec­tion des données. Quiconque ne s’adapte pas au droit complexe de la pro­tec­tion des données court en effet le risque de violer les lois en vigueur et risque de payer des amendes élevées.

L’objectif de la pro­tec­tion des données

En tant qu’en­tre­pre­neur, vous devez respecter plusieurs critères et règles qui se trouvent notamment dans la loi relative à l’in­for­ma­tique, aux fichiers et aux libertés. Elle date de 1978 et a été modifiée en 2004 pour mieux se conformer au droit européen. Le respect des règles de pro­tec­tion des données est valable aussi bien pour les ins­ti­tu­tions publiques que non publiques. Le but de cette ré­gle­men­ta­tion est de permettre aux personnes de garder la maîtrise des in­for­ma­tions les con­cer­nant et de garantir un certain nombre de droits.

Avant l’entrée en vigueur du RGPD, c’était es­sen­tiel­le­ment la CnilCNIL| Com­mis­sion nationale de l’in­for­ma­tique et des libertés qui veillait en France au respect des libertés in­di­vi­duelles ou publiques pour les questions in­for­ma­tiques, ce qui en­glo­baite évi­dem­ment la question de la ré­gle­men­ta­tion sur la pro­tec­tion des données per­son­nelles et l’e-commerce. Il était en effet obli­ga­toire pour toutes les en­tre­prises de déclarer à la CNIL ses fichiers clients et prospects,  et parfois même de demander des au­to­ri­sa­tions afin de collecter des données. Cette dé­cla­ra­tion de fichier n’est désormais plus obli­ga­toire depuis l’entrée en vigueur du RGDP.

En effet, depuis le 25 mai 2018, tous les aspects de la pro­tec­tion des données au niveau européen et national sont régis par le règlement européen sur la pro­tec­tion des données. Le RGPD accorde une attention par­ti­cu­lière à la pro­tec­tion des personnes physiques à l'égard du trai­te­ment des données à caractère personnel, réaffirme les règles na­tio­nales déjà  exis­tantes et renforce certains points.

Les dif­fé­rents types de données per­son­nelles

Les données per­son­nelles com­pren­nent toutes les in­for­ma­tions relatives à une personne physique iden­ti­fiée ou iden­ti­fiable, qui désignent son identité physique, phy­sio­lo­gique, génétique, psy­cho­lo­gique, éco­no­mique, cultu­relle ou sociale con­for­mé­ment à l'article 4, alinéa 1 du RGPD. Ceci inclut, entre autres :

  • le nom, la date de naissance, l’adresse, la na­tio­na­lité
  • les numéros d'as­su­rance
  • les in­for­ma­tions bancaires
  • les adresses IP, les cookies, les données de lo­ca­li­sa­tion GPS
  • le sexe, la couleur de la peau, des cheveux, des yeux, etc.
  • les pro­prié­tés
  • les données clients en ligne
  • les formation et cer­ti­fi­cats pro­fes­sion­nels

Les données per­son­nelles cons­ti­tuent donc des in­for­ma­tions qui peuvent être liées à une personne précise, le nom étant évi­dem­ment le critère d’iden­ti­fi­ca­tion décisif. Les données non per­son­nelles sont en revanche col­lec­tées de manière anonyme et ne peuvent pas être utilisées pour iden­ti­fier spé­ci­fi­que­ment une personne. Ceci peut par exemple inclure, à condition que la première in­te­rac­tion de l'uti­li­sa­teur soit to­ta­le­ment anonyme, l'in­di­ca­tion du sexe, les données des visiteurs sur certains sites Web ou d'autres in­for­ma­tions non spé­ci­fiques. Ces données non per­son­nelles ne sont pas con­cer­nées par la loi sur la pro­tec­tion des données. En tant qu'en­tre­pre­neur, vous pouvez donc utiliser ce type de données pour compiler des sta­tis­tiques ou des profils d'uti­li­sa­teurs sans con­sen­te­ment ou au­to­ri­sa­tion préalable en vertu de la loi sur la pro­tec­tion des données ; toutefois, vous devez vous assurer que les données ne peuvent être associées à une personne physique.

Le trai­te­ment des données dites pseu­do­ny­mi­sées (article 4 alinéa 5 du RGPD), c'est-à-dire des données stockées sous un pseu­do­nyme pour l'uti­li­sa­teur concerné, est plus pro­blé­ma­tique. Elles peuvent en effet être utilisées pour créer des profils d'uti­li­sa­teurs beaucoup plus spé­ci­fiques. Cependant, ceci ouvre une zone grise juridique, car il est souvent difficile pour les ad­mi­nis­tra­teurs de sites Web de voir im­mé­dia­te­ment si certaines données peuvent être di­rec­te­ment ou in­di­rec­te­ment associées à une personne physique. Pour cette raison, il est re­com­mandé d’informer vos clients de la collecte de données le cas échéant et de leur indiquer dès le début leur droit d'op­po­si­tion. Cependant ces données que l’on peut con­si­dé­rer comme anonymes peuvent néanmoins cons­ti­tuer des données per­son­nelles si par re­grou­pe­ment elles per­met­tent in­di­rec­te­ment d’iden­ti­fier une personne. En tant qu’en­tre­pre­neur, ce type de données peut être utilisé pour réaliser des sta­tis­tiques notamment.

Dans le domaine du commerce en ligne, on parle gé­né­ra­le­ment moins de données per­son­nelles mais plutôt de données d’uti­li­sa­tion,  qui sont collectés notamment sur le Web comme les boutiques en ligne, les emails pu­bli­ci­taires ou encore les moteurs de recherche sur Internet.

Le RGPD se réfère moins spé­ci­fi­que­ment au domaine d'ac­ti­vité des services de té­lé­mé­dias, mais vise à couvrir l'en­semble des processus relevant du droit de la pro­tec­tion des données. L'avan­tage est que le nouveau règlement tient déjà compte des dé­ve­lop­pe­ments tech­no­lo­giques futurs et ne doit donc pas être cons­tam­ment mis à jour. Toutefois, les for­mu­la­tions plutôt abs­traites ont également un effet se­con­daire négatif : elles peuvent être in­ter­pré­tées de façon large et sont donc sujettes à con­tro­verse ; de nom­breuses questions (par exemple leau sujet du Web tracking) ne seront cla­ri­fiées par les tribunaux com­pé­tents qu'au fil du temps. Cette in­cer­ti­tude juridique a jusqu'à présent provoqué une grande confusion et un débat animé au sein des en­tre­prises con­cer­nées. Toutefois, étant donné que les mo­di­fi­ca­tions apportées par le RGPD sont prin­ci­pa­le­ment dé­tail­lées, bon nombre des ré­gle­men­ta­tions exis­tantes en matière de pro­tec­tion des données dans le commerce élec­tro­nique restent valables, ce qui rend la tran­si­tion moins difficile pour les en­tre­prises.

En résumé

la dé­cla­ra­tion des sites Web col­lec­tant des données per­son­nelles à la CNIL n’est plus obli­ga­toire depuis que le RGPD est entré en vigueur. Pour aider les en­tre­pre­neurs à se conformer au mieux à cette nouvelle rè­gle­men­ta­tion, la CNIL a mis en place un ensemble de guides, con­sul­tables en lignes et plein de conseils pratiques.

L’adresse IP dynamique est-elle une donnée per­son­nelle ?

Cette question a fait l’objet d’un débat assez long et parfois con­tra­dic­toire. En effet, la CNIL con­si­dé­rait depuis longtemps l’adresse IP comme une donnée per­son­nelle, mais la position des juges français a souvent été assez di­ver­gente. La CJUE (Cour de Justice de l’Union eu­ro­péenne) a rendu deux jugements faisant date au niveau du droit européen. D’abord en novembre 2011, avec le cas Scarlet Extended où le tribunal a acté que l’adresse IP statique était bien une donnée per­son­nelle.

Puis avec le célèbre cas Breyer du 19 octobre 2016 qui a date dans ce débat et a fi­na­le­ment permis à la cour Eu­ro­péenne de se prononcer sur le cas de la collecte des adresses IP dy­na­miques. En Allemagne, Patrick Breyer, chef du parti des Pirate avait lancé un débat sur l’uti­li­sa­tion abusive des données per­son­nelles lors du stockage d’adresses IP dy­na­miques per­met­tant un suivi sans le con­sen­te­ment explicite de l’uti­li­sa­teur. En octobre 2016, la Cour de justice Eu­ro­péenne a décidé que les adresses IP dy­na­miques pouvaient être con­si­dé­rées comme des données à caractère personnel, même si la séquence de chiffres change à chaque nouvelle connexion Internet, car le four­nis­seur peut utiliser des in­for­ma­tions sup­plé­men­taires pour iden­ti­fier la personne concernée. Toutefois, les IP dy­na­miques ne sont con­si­dé­rées comme données per­son­nelles que si des in­for­ma­tions sup­plé­men­taires sont utilisées.

Cependant, le processus n’est pas com­plè­te­ment achevé, cette décision permet toujours aux ex­ploi­tants de sites Web de stocker les adresses IP dy­na­miques pour leur propre pro­tec­tion. La justice française doit encore examiner si les ex­ploi­tants de sites Web disposent des moyens légaux d’accéder aux in­for­ma­tions com­plé­men­taires né­ces­saires à l’iden­ti­fi­ca­tion d’une personne.

Note

vous trouverez des in­for­ma­tions dé­tail­lées sur le jugement de la cour Eu­ro­péenne du 19 octobre 2016 icisur InfoCuria.

Ainsi, l’adresse IP statique ou dynamique est tout de même bien con­si­dé­rée comme une donnée per­son­nelle. Elle fait donc objet du même trai­te­ment que les autres in­for­ma­tions dans le cadre du RGPD.

Le principe de collecte des données per­son­nelles

Les ex­ploi­tants de boutiques en ligne ont évi­dem­ment besoin des données per­son­nelles de leurs clients afin d’effectuer cor­rec­te­ment un processus de commande. Mais au niveau du marketing en ligne, l’analyse des données est par­ti­cu­liè­re­ment appréciée, en effet la publicité et le placement de produits peuvent être pré­ci­sé­ment adaptés aux besoins des uti­li­sa­teurs à l’aide des données cor­res­pon­dantes. Cependant, cette pratique est évi­dem­ment encadrée. Cela signifie qu’avant d’utiliser les données exis­tantes et celles des uti­li­sa­teurs ou clients, vous devez soig­neu­se­ment vérifier si c'est autorisé par la loi dans ce cas précis, et si vous devez obtenir l'au­to­ri­sa­tion explicite de l'uti­li­sa­teur concerné. Ceci est par­ti­cu­liè­re­ment re­com­mandé pour les données dites « données per­son­nelles spéciales » (article 9 alinéa 1 du RGPD), qui com­pren­nent, entre autres, l'origine ethnique et cultu­relle, les opinions po­li­tiques, re­li­gieuses et phi­lo­so­phiques, ainsi que les données gé­né­tiques et bio­mé­triques.

En tant qu'en­tre­pre­neur, vous devez donc être bien informé des con­di­tions dans les­quelles vous pouvez collecter et traiter des données per­son­nelles et à quelles fins. Vous devez notamment porter une attention toute par­ti­cu­lière aux trois principes ci-dessous.

La finalité

En principe, l’objectif de la pro­tec­tion des données est décisif : il est stipulé que la collecte et l'usage des données d'uti­li­sa­tion ne sont autorisés que dans un but résultant ex­pli­ci­te­ment de la relation con­trac­tuelle ou de l'uti­li­sa­tion d'un support. Dès que le contrat ou le processus d'uti­li­sa­tion est résilié, vous êtes tenu, en tant qu'en­tre­pre­neur, de supprimer im­mé­dia­te­ment et com­plè­te­ment toutes les données per­son­nelles. Une pro­lon­ga­tion de la période de stockage n'est autorisée que si les données sont encore né­ces­saires à la fac­tu­ra­tion. La trans­mis­sion de données per­son­nelles à des tiers n'est pas autorisée. Les ex­cep­tions demeurent des fins de fac­tu­ra­tion ou des fins de pour­suites cri­mi­nelles par les autorités po­li­cières.

La mi­ni­mi­sa­tion des données

Le RGPD prévoit en outre un principe de mi­ni­mi­sa­tion des données. Cela signifie que vous devez collecter le moins de données possible sur vos clients et, en par­ti­cu­lier, les données per­son­nelles ne doivent être col­lec­tées qu'avec par­ci­mo­nie. Dans la mesure où cela est tech­ni­que­ment possible et rai­son­nable pour vous en tant que pres­ta­taire de services, il est le plus conforme à la ré­gle­men­ta­tion de base en matière de pro­tec­tion des données si vous re­cueil­lez et traitez les données des uti­li­sa­teurs de façon anonyme. Vous pouvez demander aux clients de fournir uni­que­ment  des in­for­ma­tions obli­ga­toires (par exemple, lors­qu'ils rem­plis­sent un for­mu­laire de contact), qui sont ex­pli­ci­te­ment requises pour l'uti­li­sa­tion de votre service. Il est re­com­mandé d'énu­mé­rer les in­for­ma­tions sur l'uti­li­sa­tion de ces in­for­ma­tions con­for­mé­ment à la ré­gle­men­ta­tion sur la pro­tec­tion des données dans une dé­cla­ra­tion de pro­tec­tion des données séparée.

La trans­pa­rence et l’obli­ga­tion d'in­for­ma­tion

L'un des principes les plus im­por­tants de la loi sur la pro­tec­tion des données est la trans­pa­rence. Vous devez informer vos clients con­for­mé­ment à l'obli­ga­tion de les informer de la manière dont « les données à caractère personnel con­cer­nant des personnes physiques sont col­lec­tées, utilisées, con­sul­tées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être trans­pa­rents à l’égard des personnes physiques con­cer­nées », selon le préambule 39 du RGPD. Le con­sen­te­ment explicite de l'uti­li­sa­teur est décisif pour que vous puissiez  stocker et traiter les données fournies. En tant que four­nis­seur, vous devez non seulement en­re­gis­trer le con­sen­te­ment, mais aussi veiller à ce que votre client puisse consulter le contenu de son con­sen­te­ment à tout moment et le révoquer à tout moment à l'avenir. Vous avez également une obli­ga­tion de di­vul­ga­tion si vous souhaitez stocker des données en dehors de l'UE.

Conseil

Est re­com­mandé de créer pour vos clients une dé­cla­ra­tion de politique de con­fi­den­tia­lité séparée. Veillez cependant à ce qu’elle fasse référence à toutes les in­for­ma­tions d’uti­li­sa­tion des données clients.

Google Analytics et la pro­tec­tion des données

L’outil d’analyse de sites Web Google Analytics est très con­tro­versé en ce qui concerne la pro­tec­tion des données. L’outil gratuit de Google fournit entre autres des in­for­ma­tions sur l’origine des visiteurs, le temps passé sur les sites Web et les pages fré­quem­ment visitées. Les données per­son­nelles comme l’adresse IP, le type de na­vi­ga­teur, ainsi que la date et l’heure de con­sul­ta­tion du site Web sont à la fois col­lec­tées sans l’accord préalable de l’uti­li­sa­teur mais aussi stockées par Google. Cecil permet au géant américain de créer un profil uti­li­sa­teur complet qui peut être attribué à une personne spé­ci­fique. Ceci s’explique par le fait que la lé­gis­la­tion sur la pro­tec­tion des données aux États-Unis est moins stricte qu’en Europe. Le recours aux outils de mesures d’audience peut donc être pro­blé­ma­tique.

La Cnil propose donc deux solutions pour pouvoir rester en con­for­mité :

  • Utiliser un outil dispensé de con­sen­te­ment. Pour cela les outils doivent respecter plusieurs con­di­tions notamment con­cer­nant les cookies. Un cookie ne doit pas permettre de suivre la na­vi­ga­tion de l’in­ter­naute sur d’autre sites et doit servir uni­que­ment à la pro­duc­tion de sta­tis­tiques anonymes et ils doivent comme les adresses IP ne pas être conservés au-delà de 13 mois. Pour retrouver l’ensemble des con­di­tions vous pouvez consulter ce sujet le site de la CNIL.
  • Re­cueil­lir le con­sen­te­ment de l’in­ter­naute lors de l’uti­li­sa­tion d’outil non conforme. De plus si vous utilisez Google Analytics ou Universal Analytics, il est né­ces­saire de mettre à jour votre page Web en y insérant un script pour bloquer les cookies tant que le con­sen­te­ment uti­li­sa­teur n’a pas été obtenu.

Enfin sachez qu’il existe aussi des outils qui peuvent être utilisés en toute con­for­mité comme Matomo, an­cien­ne­ment Piwik, ou Chartbeat,  ou encore AT Internet pour vos analyses Web. 

Sanctions et ré­cla­ma­tions pour non-respect de la loi sur la pro­tec­tion des données

Le RGPD prévoit des amendes élevées pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'af­faires annuel mondial d'une en­tre­prise (article 83 alinéa 5 du RGPD). Les in­frac­tions ad­mi­nis­tra­tives sont notamment celles qui sont commises de façon non in­ten­tion­nelle ou par né­gli­gence, parmi les­quelles :

  • déguiser ou dis­si­mu­ler l'ex­pé­di­teur ou la nature com­mer­ciale d'un message ;
  • informer l'uti­li­sa­teur de manière in­com­plète ou pas du tout sur le type de collecte de données ;
  • collecter, traiter, stocker ou ne pas supprimer des données per­son­nelles en temps utile, en violation des dis­po­si­tions légales ;
  • fusionner un profil d'uti­li­sa­tion avec des données sur le porteur du pseu­do­nyme.
  • Outre les demandes de dommages et intérêts (article 82 du RGPD), les personnes con­cer­nées sont également au­to­ri­sées à réclamer :
  • les in­for­ma­tions sur les données à caractère personnel stockées, leur origine, leur finalité et leurs des­ti­na­taires (article 15 du RGPD) ;
  • la cor­rec­tion, la sup­pres­sion et le ver­rouil­lage des données à caractère personnel (article 15 alinéa  1er du RGPD).
Conseil

la CNIL a mis en place de nombreux supports, textes et vidéos, afin d’aider les en­tre­pre­neurs à mieux com­prendre le RGPD et ses im­pli­ca­tions. Afin d’éviter toute sanction à votre encontre, il est re­com­mandé de les consulter at­ten­ti­ve­ment et d’adapter votre règlement en con­sé­quence.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.

Aller au menu principal