Dans le commerce électronique, où de nombreuses et diverses transactions sont effectuées chaque jour : plateformes et fournisseurs demandent souvent les données personnelles de leurs clients. Mais de nombreux utilisateurs s’inquiètent toutefois de l’utilisation et de la divulgation des données personnelles, et à raison : trop souvent, des données sensibles sont utilisées de manière abusive, de façon illégale ou à des fins publicitaires, et sont même parfois revendues à des tiers. Dans l’intérêt des clients et des consommateurs, et afin d’éviter des problèmes juridiques, les entrepreneurs doivent donc se préoccuper de la protection des données. Quiconque ne s’adapte pas au droit complexe de la protection des données court en effet le risque de violer les lois en vigueur et risque de payer des amendes élevées.
En tant qu’entrepreneur, vous devez respecter plusieurs critères et règles qui se trouvent notamment dans la loi relative à l’informatique, aux fichiers et aux libertés. Elle date de 1978 et a été modifiée en 2004 pour mieux se conformer au droit européen. Le respect des règles de protection des données est valable aussi bien pour les institutions publiques que non publiques. Le but de cette réglementation est de permettre aux personnes de garder la maîtrise des informations les concernant et de garantir un certain nombre de droits.
Avant l’entrée en vigueur du RGPD, c’était essentiellement la CnilCNIL| Commission nationale de l’informatique et des libertés qui veillait en France au respect des libertés individuelles ou publiques pour les questions informatiques, ce qui englobaite évidemment la question de la réglementation sur la protection des données personnelles et l’e-commerce. Il était en effet obligatoire pour toutes les entreprises de déclarer à la CNIL ses fichiers clients et prospects, et parfois même de demander des autorisations afin de collecter des données. Cette déclaration de fichier n’est désormais plus obligatoire depuis l’entrée en vigueur du RGDP.
En effet, depuis le 25 mai 2018, tous les aspects de la protection des données au niveau européen et national sont régis par le règlement européen sur la protection des données. Le RGPD accorde une attention particulière à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, réaffirme les règles nationales déjà existantes et renforce certains points.
Les données personnelles comprennent toutes les informations relatives à une personne physique identifiée ou identifiable, qui désignent son identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale conformément à l'article 4, alinéa 1 du RGPD. Ceci inclut, entre autres :
Les données personnelles constituent donc des informations qui peuvent être liées à une personne précise, le nom étant évidemment le critère d’identification décisif. Les données non personnelles sont en revanche collectées de manière anonyme et ne peuvent pas être utilisées pour identifier spécifiquement une personne. Ceci peut par exemple inclure, à condition que la première interaction de l'utilisateur soit totalement anonyme, l'indication du sexe, les données des visiteurs sur certains sites Web ou d'autres informations non spécifiques. Ces données non personnelles ne sont pas concernées par la loi sur la protection des données. En tant qu'entrepreneur, vous pouvez donc utiliser ce type de données pour compiler des statistiques ou des profils d'utilisateurs sans consentement ou autorisation préalable en vertu de la loi sur la protection des données ; toutefois, vous devez vous assurer que les données ne peuvent être associées à une personne physique.
Le traitement des données dites pseudonymisées (article 4 alinéa 5 du RGPD), c'est-à-dire des données stockées sous un pseudonyme pour l'utilisateur concerné, est plus problématique. Elles peuvent en effet être utilisées pour créer des profils d'utilisateurs beaucoup plus spécifiques. Cependant, ceci ouvre une zone grise juridique, car il est souvent difficile pour les administrateurs de sites Web de voir immédiatement si certaines données peuvent être directement ou indirectement associées à une personne physique. Pour cette raison, il est recommandé d’informer vos clients de la collecte de données le cas échéant et de leur indiquer dès le début leur droit d'opposition. Cependant ces données que l’on peut considérer comme anonymes peuvent néanmoins constituer des données personnelles si par regroupement elles permettent indirectement d’identifier une personne. En tant qu’entrepreneur, ce type de données peut être utilisé pour réaliser des statistiques notamment.
Dans le domaine du commerce en ligne, on parle généralement moins de données personnelles mais plutôt de données d’utilisation, qui sont collectés notamment sur le Web comme les boutiques en ligne, les emails publicitaires ou encore les moteurs de recherche sur Internet.
Le RGPD se réfère moins spécifiquement au domaine d'activité des services de télémédias, mais vise à couvrir l'ensemble des processus relevant du droit de la protection des données. L'avantage est que le nouveau règlement tient déjà compte des développements technologiques futurs et ne doit donc pas être constamment mis à jour. Toutefois, les formulations plutôt abstraites ont également un effet secondaire négatif : elles peuvent être interprétées de façon large et sont donc sujettes à controverse ; de nombreuses questions (par exemple leau sujet du Web tracking) ne seront clarifiées par les tribunaux compétents qu'au fil du temps. Cette incertitude juridique a jusqu'à présent provoqué une grande confusion et un débat animé au sein des entreprises concernées. Toutefois, étant donné que les modifications apportées par le RGPD sont principalement détaillées, bon nombre des réglementations existantes en matière de protection des données dans le commerce électronique restent valables, ce qui rend la transition moins difficile pour les entreprises.
la déclaration des sites Web collectant des données personnelles à la CNIL n’est plus obligatoire depuis que le RGPD est entré en vigueur. Pour aider les entrepreneurs à se conformer au mieux à cette nouvelle règlementation, la CNIL a mis en place un ensemble de guides, consultables en lignes et plein de conseils pratiques.
Cette question a fait l’objet d’un débat assez long et parfois contradictoire. En effet, la CNIL considérait depuis longtemps l’adresse IP comme une donnée personnelle, mais la position des juges français a souvent été assez divergente. La CJUE (Cour de Justice de l’Union européenne) a rendu deux jugements faisant date au niveau du droit européen. D’abord en novembre 2011, avec le cas Scarlet Extended où le tribunal a acté que l’adresse IP statique était bien une donnée personnelle.
Puis avec le célèbre cas Breyer du 19 octobre 2016 qui a date dans ce débat et a finalement permis à la cour Européenne de se prononcer sur le cas de la collecte des adresses IP dynamiques. En Allemagne, Patrick Breyer, chef du parti des Pirate avait lancé un débat sur l’utilisation abusive des données personnelles lors du stockage d’adresses IP dynamiques permettant un suivi sans le consentement explicite de l’utilisateur. En octobre 2016, la Cour de justice Européenne a décidé que les adresses IP dynamiques pouvaient être considérées comme des données à caractère personnel, même si la séquence de chiffres change à chaque nouvelle connexion Internet, car le fournisseur peut utiliser des informations supplémentaires pour identifier la personne concernée. Toutefois, les IP dynamiques ne sont considérées comme données personnelles que si des informations supplémentaires sont utilisées.
Cependant, le processus n’est pas complètement achevé, cette décision permet toujours aux exploitants de sites Web de stocker les adresses IP dynamiques pour leur propre protection. La justice française doit encore examiner si les exploitants de sites Web disposent des moyens légaux d’accéder aux informations complémentaires nécessaires à l’identification d’une personne.
vous trouverez des informations détaillées sur le jugement de la cour Européenne du 19 octobre 2016 icisur InfoCuria.
Ainsi, l’adresse IP statique ou dynamique est tout de même bien considérée comme une donnée personnelle. Elle fait donc objet du même traitement que les autres informations dans le cadre du RGPD.
Les exploitants de boutiques en ligne ont évidemment besoin des données personnelles de leurs clients afin d’effectuer correctement un processus de commande. Mais au niveau du marketing en ligne, l’analyse des données est particulièrement appréciée, en effet la publicité et le placement de produits peuvent être précisément adaptés aux besoins des utilisateurs à l’aide des données correspondantes. Cependant, cette pratique est évidemment encadrée. Cela signifie qu’avant d’utiliser les données existantes et celles des utilisateurs ou clients, vous devez soigneusement vérifier si c'est autorisé par la loi dans ce cas précis, et si vous devez obtenir l'autorisation explicite de l'utilisateur concerné. Ceci est particulièrement recommandé pour les données dites « données personnelles spéciales » (article 9 alinéa 1 du RGPD), qui comprennent, entre autres, l'origine ethnique et culturelle, les opinions politiques, religieuses et philosophiques, ainsi que les données génétiques et biométriques.
En tant qu'entrepreneur, vous devez donc être bien informé des conditions dans lesquelles vous pouvez collecter et traiter des données personnelles et à quelles fins. Vous devez notamment porter une attention toute particulière aux trois principes ci-dessous.
En principe, l’objectif de la protection des données est décisif : il est stipulé que la collecte et l'usage des données d'utilisation ne sont autorisés que dans un but résultant explicitement de la relation contractuelle ou de l'utilisation d'un support. Dès que le contrat ou le processus d'utilisation est résilié, vous êtes tenu, en tant qu'entrepreneur, de supprimer immédiatement et complètement toutes les données personnelles. Une prolongation de la période de stockage n'est autorisée que si les données sont encore nécessaires à la facturation. La transmission de données personnelles à des tiers n'est pas autorisée. Les exceptions demeurent des fins de facturation ou des fins de poursuites criminelles par les autorités policières.
Le RGPD prévoit en outre un principe de minimisation des données. Cela signifie que vous devez collecter le moins de données possible sur vos clients et, en particulier, les données personnelles ne doivent être collectées qu'avec parcimonie. Dans la mesure où cela est techniquement possible et raisonnable pour vous en tant que prestataire de services, il est le plus conforme à la réglementation de base en matière de protection des données si vous recueillez et traitez les données des utilisateurs de façon anonyme. Vous pouvez demander aux clients de fournir uniquement des informations obligatoires (par exemple, lorsqu'ils remplissent un formulaire de contact), qui sont explicitement requises pour l'utilisation de votre service. Il est recommandé d'énumérer les informations sur l'utilisation de ces informations conformément à la réglementation sur la protection des données dans une déclaration de protection des données séparée.
L'un des principes les plus importants de la loi sur la protection des données est la transparence. Vous devez informer vos clients conformément à l'obligation de les informer de la manière dont « les données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées », selon le préambule 39 du RGPD. Le consentement explicite de l'utilisateur est décisif pour que vous puissiez stocker et traiter les données fournies. En tant que fournisseur, vous devez non seulement enregistrer le consentement, mais aussi veiller à ce que votre client puisse consulter le contenu de son consentement à tout moment et le révoquer à tout moment à l'avenir. Vous avez également une obligation de divulgation si vous souhaitez stocker des données en dehors de l'UE.
Est recommandé de créer pour vos clients une déclaration de politique de confidentialité séparée. Veillez cependant à ce qu’elle fasse référence à toutes les informations d’utilisation des données clients.
L’outil d’analyse de sites Web Google Analytics est très controversé en ce qui concerne la protection des données. L’outil gratuit de Google fournit entre autres des informations sur l’origine des visiteurs, le temps passé sur les sites Web et les pages fréquemment visitées. Les données personnelles comme l’adresse IP, le type de navigateur, ainsi que la date et l’heure de consultation du site Web sont à la fois collectées sans l’accord préalable de l’utilisateur mais aussi stockées par Google. Cecil permet au géant américain de créer un profil utilisateur complet qui peut être attribué à une personne spécifique. Ceci s’explique par le fait que la législation sur la protection des données aux États-Unis est moins stricte qu’en Europe. Le recours aux outils de mesures d’audience peut donc être problématique.
La Cnil propose donc deux solutions pour pouvoir rester en conformité :
Enfin sachez qu’il existe aussi des outils qui peuvent être utilisés en toute conformité comme Matomo, anciennement Piwik, ou Chartbeat, ou encore AT Internet pour vos analyses Web.
Le RGPD prévoit des amendes élevées pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial d'une entreprise (article 83 alinéa 5 du RGPD). Les infractions administratives sont notamment celles qui sont commises de façon non intentionnelle ou par négligence, parmi lesquelles :
la CNIL a mis en place de nombreux supports, textes et vidéos, afin d’aider les entrepreneurs à mieux comprendre le RGPD et ses implications. Afin d’éviter toute sanction à votre encontre, il est recommandé de les consulter attentivement et d’adapter votre règlement en conséquence.
Veuillez prendre connaissance des mentions légales en vigueur sur cet article.
La protection de la vie privée est un sujet phare depuis l’introduction du Web dans nos vies. C’est depuis 2014 que la France, sous l’égide de la CNIL, a décidé de mettre en application la directive de l’Union européenne sur les cookies. La procédure dite de l’opt-in se confirme désormais. Mais quelles sont les obligations ? Et sont-elles valables pour tous les cookies ou certains seulement ?
L’utilisation et la légalité des hyperliens comportent des limites. La Cour de justice de l’Union européenne vient de le confirmer dans son arrêt du 8 septembre 2016. Les exploitants de sites Web qui établissent des liens hypertextes dans un but commercial sont tenus de vérifier la légalité des contenus en ligne auxquels ils renvoient. Selon la CJUE, les particuliers ne peuvent pas faire l’objet...
Depuis le 25 mai 2018, il existe un règlement général sur la protection des données. Nous résumons tout ce que les entrepreneurs et les commerçants en ligne doivent savoir à son sujet. Quelles sont les lois pertinentes qui ont changé ? Quelles sont les mesures à prendre pour continuer à exercer une activité conforme à la protection des données ? Et que pensent les experts de ces nouvelles règles ?...
L’UE prévoit de réglementer davantage la protection des données sur le Web. En effet, avec le règlement ePrivacy, la collecte de données à caractère personnel risque d’être uniquement autorisée avec un consentement explicite de l’internaute. Le règlement est encore en discussion et n’est pas encore définitif. Nous avons résumé les points importants et lignes directrices susceptibles d’être dans le...
Un patrimoine numérique est l’ensemble des informations électroniques laissées par une personne en cas de décès. Les profils en ligne dans les réseaux sociaux doivent être supprimés ou convertis en pages commémoratives, les contrats en cours annulés, les biens numériques transférés, et bien plus encore. Ceux qui gèrent soigneusement leur patrimoine numérique tout au long de leur vie rendent un...
Offrez un service performant et fiable à vos clients avec l'hébergement web de IONOS.
Voir les packs
