Développer l'activité de son entreprise

Le traitement des données à caractère personnel

Tout site commercial qui collecte des données et informations nominatives et qui constitue des fichiers ou des bases de données de clients et de prospects, doit respecter un certain nombre d’obligations légales en matière de protection des données à caractère personnel. Ce document rappelle les principales obligations en la matière.

L'entrée en vigueur du RGPD

Depuis le 25 mai 2018, date d’entrée en vigueur du Règlement européen sur la protection des données (RGPD), la plupart des formalités déclaratives auprès de la CNIL ont été supprimées.

Le RGPD a deux objectifs principaux :

renforcer le droit des personnes dont les données sont traitées (quel que soit le support de traitement),
responsabiliser les entreprises qui traitent ces données.

La CNIL et Bpifrance ont publié un guide pratique de sensibilisation au RGPD pour les TPE-PME. Ce guide développe les grandes étapes qui vont vous permettre de protéger les données personnelles de votre entreprise.

Les obligations relatives au traitement des données

Les principales obligations

Depuis le 25 mai 2018, en termes de traitement des données, les commerçants en ligne doivent se conformer aux obligations suivantes :

recueillir l'accord des clients si leurs données font l’objet d’un traitement ;
informer les clients de leur droit d'accès, de modification et de suppression des informations collectées ;
assurer la sécurité des systèmes d'information et la confidentialité des données ;
assurer la confidentialité des données ;
indiquer une durée de conservation des données.

Les obligations spécifiques en cas de traitement massif des donnés

Les sites internet ou organismes qui traitent des données personnelles de façon régulières devront répondre à des obligations supplémentaires, à savoir :

créer un registre des activités de traitement des données personnelles (voir modèle de registre de la CNIL)
effectuer une analyse d’impact avant la création d’un fichier de collecte de données comportant un risque élevé d’atteinte aux droits et libertés des personnes.

Le RGPD a certes supprimé la plupart des formulaires déclaratifs de traitement des données. La CNIL peut toutefois opérer des contrôles sur place mais également en ligne afin de vérifier votre conformité au règlement.

L’interdiction d’utilisation des données pour prospection commerciale

Il est strictement interdit au commerçant en ligne d’utiliser les données personnelles de l’utilisateur du site à des fins de prospection commerciale sans l'accord préalable du destinataire, donné au moment de la collecte de ses données.

Toutefois, il existe des exceptions où le recueil du consentement n’est pas requis, à savoir :

si la personne concernée est déjà cliente du site et que la prospection commerciale concerne des produits identiques à ceux déjà achetés sur le site
la prospection n'est pas de nature commerciale, si elle est à titre caritative par exemple.

Les personnes visées par la prospection devront toujours être tenues informées de l’utilisation de leurs données pour prospection et de leur droit de s’y opposer.

Tout courrier envoyé à des fins de prospection commerciale devra préciser l’identité de l’annonceur et préciser le droit d’opposition à de nouvelles sollicitations.

Les obligations en termes d’affichage

Affichage de la politique de collecte, de gestion et de confidentialité des données

Les sites internet, qu’ils soient marchands ou non, ont l’obligation de proposer une page dédiée aux informations personnelles des utilisateurs du site.

Cette page devra notamment :

expliquer la politique de gestion des informations personnelles du site,
lister l’ensemble des informations qui sont collectées depuis le site,
préciser la finalité du traitement de ces données.

Création d’un formulaire de contact dédié aux données personnelles

Un formulaire de contact dédié pour toute demande liée à la gestion des données personnelles d’un utilisateur du site doit être créée.

L’ensemble des demandes envoyées via ce formulaire devront être adressées au délégué à la protection des données personnelles (ou "data protection officer" - DPO) si celui a été désigné par l’entreprise, à défaut au responsable RGPD en charge du traitement des demandes relatives aux données personnelles.

La CNIL met à disposition des modèles de formulaires de contact accessibles via ce lien.

Permettre une gestion des cookies par les utilisateurs

Le RGPD a instauré une obligation d’affichage d’un bandeau ou d’une pop-in dès l’arrivée du visiteur sur n’importe quelle page du site.

L’objectif étant de laisser le choix aux visiteurs de choisir eux-mêmes le type de cookies qu’ils souhaitent laisser actif lors de leur navigation, cela nécessitera une action de leur part ( en général une coche). Le bandeau devra également permettre d’accéder à la personnalisation des cookies du site.

Il existe des exemples de textes pour le bandeau dédié aux cookies, accessibles sur le site de la CNIL.

Les textes de référence

Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Transition numérique des entreprises

Innovation dans les entreprises

Economie sociale et solidaire

Formation et emploi

Je me fais accompagner

Je reprends une entreprise

Je trouve un bureau ou un local professionnel

Le traitement des données à caractère personnel

L'entrée en vigueur du RGPD

Les obligations relatives au traitement des données

Les obligations en termes d’affichage

Les textes de référence

Innovons aujourd'hui, Explorons demain