Parce que la rentrée peut aussi être le moment propice pour faire le point sur la conformité de votre site web au regard du cadre législatif et règlementaire, je vous invite à poursuivre la lecture de cet article.
Le tapage médiatique fait autour de la RGPD, reprenant en partie les prérogatives de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, a permis la mise en conformité de nombreux sites web, notamment en ce qui concerne les principes de protection des données. Le cadre applicatif est néanmoins plus vaste et concerne également les informations relatives à l’éditeur du site et aux cookies.
Les mentions légales relatives à l’éditeur
Chaque site web doit obligatoirement, en fonction du statut de l’entreprise qu’il représente ou de la nature de son activité, indiquer les mentions légales suivantes :
Les sanctions : le manquement à ces obligations peut être sanctionné jusqu’à 1 an d’emprisonnement, 75 000 € d’amende pour les personnes physiques et 375 000 € d’amende pour les personnes morales.
Les cookies
Concernant les cookies, les éditeurs de sites doivent :
- informer les internautes de la finalité des cookies,
- obtenir leur consentement,
- fournir aux internautes un moyen de les refuser.
La durée de validité de ce consentement est de 13 mois maximum.
Il est également recommandé aux éditeurs d’informer les utilisateurs des principes de gestion des cookies dans leur navigateur.
Concernant le recueil du consentement de l’utilisateur, dans le cadre de campagne e-mailing comme dans le cadre de l’acceptation des cookies pour poursuivre la navigation sur un site, l’éditeur se doit d’obtenir le consentement explicite du destinataire ou de l’utilisateur. En cas de litige, la loi exige des preuves écrites
La protection des données
La constitution d’une base de données contenant des informations dites personnelles et le traitement de ces mêmes informations est soumise au respect d’un cadre législatif et règlementaire.
En France, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ayant donné naissance à la CNIL, ainsi que la RGPD applicable au niveau Européen, oblige les propriétaires de sites web collectant des données personnelles à :
- Rappeler la base juridique du traitement de données (consentement des personnes concernées, respect d’une obligation prévue par un texte, exécution d’un contrat notamment…),
- Mentionner l’identité du responsable du fichier,
- Faire mention de coordonnées de contact permettant à l’utilisateur d’exercer ses droits de consultation, droits d’opposition, d’interrogation et de rectification,
- Mentionner la finalité poursuivie par le traitement auquel les données sont destinées, incluant les destinataires ou catégories de destinataires des données,
- Faire état du caractère obligatoire ou facultatif des réponses, notamment au sein d’un formulaire de contact,
- Mentionner le droit de faire une réclamation ou de déposer une plainte auprès de la CNIL.
Son également recommandées les mentions suivantes :
- Les principes de protection et de sécurisation des données (hébergement sur un serveur sécurisé, protection par mot de passe),
- Rappeler les règles concernant la protection de ses identifiants (non divulgation, complexité, changement régulier) et soumettre les utilisateurs authentifiés à des critères d’authentification forts,
- La durée de conservation et l’archivage des données (pour rappel : la CNIL stipule que les données utilisées à des fins de prospection peuvent être conservées pendant une durée maximale de 3 ans à compter du dernier contact que l’utilisateur a eu avec l’éditeur,
- Des informations sur la nature des données collectées.
Pour rappel, sont interdites les collectes de données relatives aux « origines raciales », ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, ou celles relatives à la santé et à la sexualité, étant qualifiées de données sensibles, sauf cas d’exclusions prévus par le paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 (données rendues publique par la personne, caractère vital, etc.). Dans ce cas, une analyse d’impact sur la protection des données (PIA) devra être réalisée conformément aux exigences de la CNIL.
Sanction : l’absence d’une information obligatoire est punie de l’amende de 1 500 €. Tout traitement informatique non consenti est puni de 5 ans d’emprisonnement et de 300 000 € d’amende. La CNIL quant à elle peut prononcer des amendes administratives qui peuvent atteindre 2 % à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.
Et après ?
Effectuez une veille jurique régulière et assurez la mise en conformité de votre site web et veillez à la mise à jour de votre politique de confidentialité.
Par sécurité, et pour vous assurer le respect des exigences du cadre législatif et règlementaire, vous pouvez vous faire accompagner dans cette mise en conformité par un expert juridique spécialisé dans le domaine du web.
Pour plus d’information :
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux liberté sur Légifrance
- La protection des données personnelles (CNIL)
- La RGPD