Protection des données et e-commerce

Dans le commerce électronique, où de nombreuses et diverses transactions sont effectuées chaque jour : plateformes et fournisseurs demandent souvent les données personnelles de leurs clients. Mais de nombreux utilisateurs s’inquiètent toutefois de l’utilisation et de la divulgation des données personnelles,  et à raison : trop souvent, des données sensibles sont utilisées de manière abusive, de façon illégale ou  à des fins  publicitaires,  et sont même parfois revendues à des tiers. Dans l’intérêt des clients et des consommateurs, et afin d’éviter des problèmes juridiques, les entrepreneurs doivent donc se préoccuper de la protection des données. Quiconque ne s’adapte pas au droit complexe de la protection des données court en effet le risque de violer les lois en vigueur et risque de payer des amendes élevées.

En tant qu’entrepreneur, vous devez respecter plusieurs critères et règles qui se trouvent notamment dans la loi relative à l’informatique, aux fichiers et aux libertés. Elle date de 1978 et a été modifiée en 2004 pour mieux se conformer au droit européen. Le respect des règles de protection des données est valable aussi bien pour les institutions publiques que non publiques. Le but de cette réglementation est de permettre aux personnes de garder la maîtrise des informations les concernant et de garantir un certain nombre de droits.

Avant l’entrée en vigueur du RGPD, c’était essentiellement la CnilCNIL| Commission nationale de l’informatique et des libertés qui veillait en France au respect des libertés individuelles ou publiques pour les questions informatiques, ce qui englobaite évidemment la question de la réglementation sur la protection des données personnelles et l’e-commerce. Il était en effet obligatoire pour toutes les entreprises de déclarer à la CNIL ses fichiers clients et prospects,  et parfois même de demander des autorisations afin de collecter des données. Cette déclaration de fichier n’est désormais plus obligatoire depuis l’entrée en vigueur du RGDP.

En effet, depuis le 25 mai 2018, tous les aspects de la protection des données au niveau européen et national sont régis par le règlement européen sur la protection des données. Le RGPD accorde une attention particulière à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, réaffirme les règles nationales déjà  existantes et renforce certains points.

Les données personnelles comprennent toutes les informations relatives à une personne physique identifiée ou identifiable, qui désignent son identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale conformément à l'article 4, alinéa 1 du RGPD. Ceci inclut, entre autres :

• le nom, la date de naissance, l’adresse, la nationalité
• les numéros d'assurance
• les informations bancaires
• les adresses IP, les cookies, les données de localisation GPS
• le sexe, la couleur de la peau, des cheveux, des yeux, etc.
• les propriétés
• les données clients en ligne
• les formation et certificats professionnels

Les données personnelles constituent donc des informations qui peuvent être liées à une personne précise, le nom étant évidemment le critère d’identification décisif. Les données non personnelles sont en revanche collectées de manière anonyme et ne peuvent pas être utilisées pour identifier spécifiquement une personne. Ceci peut par exemple inclure, à condition que la première interaction de l'utilisateur soit totalement anonyme, l'indication du sexe, les données des visiteurs sur certains sites Web ou d'autres informations non spécifiques. Ces données non personnelles ne sont pas concernées par la loi sur la protection des données. En tant qu'entrepreneur, vous pouvez donc utiliser ce type de données pour compiler des statistiques ou des profils d'utilisateurs sans consentement ou autorisation préalable en vertu de la loi sur la protection des données ; toutefois, vous devez vous assurer que les données ne peuvent être associées à une personne physique.

Le traitement des données dites pseudonymisées (article 4 alinéa 5 du RGPD), c'est-à-dire des données stockées sous un pseudonyme pour l'utilisateur concerné, est plus problématique. Elles peuvent en effet être utilisées pour créer des profils d'utilisateurs beaucoup plus spécifiques. Cependant, ceci ouvre une zone grise juridique, car il est souvent difficile pour les administrateurs de sites Web de voir immédiatement si certaines données peuvent être directement ou indirectement associées à une personne physique. Pour cette raison, il est recommandé d’informer vos clients de la collecte de données le cas échéant et de leur indiquer dès le début leur droit d'opposition. Cependant ces données que l’on peut considérer comme anonymes peuvent néanmoins constituer des données personnelles si par regroupement elles permettent indirectement d’identifier une personne. En tant qu’entrepreneur, ce type de données peut être utilisé pour réaliser des statistiques notamment.

Dans le domaine du commerce en ligne, on parle généralement moins de données personnelles mais plutôt de données d’utilisation,  qui sont collectés notamment sur le Web comme les boutiques en ligne, les emails publicitaires ou encore les moteurs de recherche sur Internet.

Le RGPD se réfère moins spécifiquement au domaine d'activité des services de télémédias, mais vise à couvrir l'ensemble des processus relevant du droit de la protection des données. L'avantage est que le nouveau règlement tient déjà compte des développements technologiques futurs et ne doit donc pas être constamment mis à jour. Toutefois, les formulations plutôt abstraites ont également un effet secondaire négatif : elles peuvent être interprétées de façon large et sont donc sujettes à controverse ; de nombreuses questions (par exemple leau sujet du Web tracking) ne seront clarifiées par les tribunaux compétents qu'au fil du temps. Cette incertitude juridique a jusqu'à présent provoqué une grande confusion et un débat animé au sein des entreprises concernées. Toutefois, étant donné que les modifications apportées par le RGPD sont principalement détaillées, bon nombre des réglementations existantes en matière de protection des données dans le commerce électronique restent valables, ce qui rend la transition moins difficile pour les entreprises.

Cette question a fait l’objet d’un débat assez long et parfois contradictoire. En effet, la CNIL considérait depuis longtemps l’adresse IP comme une donnée personnelle, mais la position des juges français a souvent été assez divergente. La CJUE (Cour de Justice de l’Union européenne) a rendu deux jugements faisant date au niveau du droit européen. D’abord en novembre 2011, avec le cas Scarlet Extended où le tribunal a acté que l’adresse IP statique était bien une donnée personnelle.

Puis avec le célèbre cas Breyer du 19 octobre 2016 qui a date dans ce débat et a finalement permis à la cour Européenne de se prononcer sur le cas de la collecte des adresses IP dynamiques. En Allemagne, Patrick Breyer, chef du parti des Pirate avait lancé un débat sur l’utilisation abusive des données personnelles lors du stockage d’adresses IP dynamiques permettant un suivi sans le consentement explicite de l’utilisateur. En octobre 2016, la Cour de justice Européenne a décidé que les adresses IP dynamiques pouvaient être considérées comme des données à caractère personnel, même si la séquence de chiffres change à chaque nouvelle connexion Internet, car le fournisseur peut utiliser des informations supplémentaires pour identifier la personne concernée. Toutefois, les IP dynamiques ne sont considérées comme données personnelles que si des informations supplémentaires sont utilisées.

Cependant, le processus n’est pas complètement achevé, cette décision permet toujours aux exploitants de sites Web de stocker les adresses IP dynamiques pour leur propre protection. La justice française doit encore examiner si les exploitants de sites Web disposent des moyens légaux d’accéder aux informations complémentaires nécessaires à l’identification d’une personne.

Ainsi, l’adresse IP statique ou dynamique est tout de même bien considérée comme une donnée personnelle. Elle fait donc objet du même traitement que les autres informations dans le cadre du RGPD.

Les exploitants de boutiques en ligne ont évidemment besoin des données personnelles de leurs clients afin d’effectuer correctement un processus de commande. Mais au niveau du marketing en ligne, l’analyse des données est particulièrement appréciée, en effet la publicité et le placement de produits peuvent être précisément adaptés aux besoins des utilisateurs à l’aide des données correspondantes. Cependant, cette pratique est évidemment encadrée. Cela signifie qu’avant d’utiliser les données existantes et celles des utilisateurs ou clients, vous devez soigneusement vérifier si c'est autorisé par la loi dans ce cas précis, et si vous devez obtenir l'autorisation explicite de l'utilisateur concerné. Ceci est particulièrement recommandé pour les données dites « données personnelles spéciales » (article 9 alinéa 1 du RGPD), qui comprennent, entre autres, l'origine ethnique et culturelle, les opinions politiques, religieuses et philosophiques, ainsi que les données génétiques et biométriques.

En tant qu'entrepreneur, vous devez donc être bien informé des conditions dans lesquelles vous pouvez collecter et traiter des données personnelles et à quelles fins. Vous devez notamment porter une attention toute particulière aux trois principes ci-dessous.

En principe, l’objectif de la protection des données est décisif : il est stipulé que la collecte et l'usage des données d'utilisation ne sont autorisés que dans un but résultant explicitement de la relation contractuelle ou de l'utilisation d'un support. Dès que le contrat ou le processus d'utilisation est résilié, vous êtes tenu, en tant qu'entrepreneur, de supprimer immédiatement et complètement toutes les données personnelles. Une prolongation de la période de stockage n'est autorisée que si les données sont encore nécessaires à la facturation. La transmission de données personnelles à des tiers n'est pas autorisée. Les exceptions demeurent des fins de facturation ou des fins de poursuites criminelles par les autorités policières.

La minimisation des données

Le RGPD prévoit en outre un principe de minimisation des données. Cela signifie que vous devez collecter le moins de données possible sur vos clients et, en particulier, les données personnelles ne doivent être collectées qu'avec parcimonie. Dans la mesure où cela est techniquement possible et raisonnable pour vous en tant que prestataire de services, il est le plus conforme à la réglementation de base en matière de protection des données si vous recueillez et traitez les données des utilisateurs de façon anonyme. Vous pouvez demander aux clients de fournir uniquement  des informations obligatoires (par exemple, lorsqu'ils remplissent un formulaire de contact), qui sont explicitement requises pour l'utilisation de votre service. Il est recommandé d'énumérer les informations sur l'utilisation de ces informations conformément à la réglementation sur la protection des données dans une déclaration de protection des données séparée.

La transparence et l’obligation d'information

L'un des principes les plus importants de la loi sur la protection des données est la transparence. Vous devez informer vos clients conformément à l'obligation de les informer de la manière dont « les données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées », selon le préambule 39 du RGPD. Le consentement explicite de l'utilisateur est décisif pour que vous puissiez  stocker et traiter les données fournies. En tant que fournisseur, vous devez non seulement enregistrer le consentement, mais aussi veiller à ce que votre client puisse consulter le contenu de son consentement à tout moment et le révoquer à tout moment à l'avenir. Vous avez également une obligation de divulgation si vous souhaitez stocker des données en dehors de l'UE.