Utilisation de données personnelles : vos obligations d’information vis-à-vis de l’internaute

Données personnelles : de quoi parle-t-on ?

Une donnée personnelle est décrite par la CNIL comme toute information se rapportant à une personne physique identifiée ou identifiable. Il existe 2 types d’identifications :

• identification directe (nom, prénom etc.)
• identification indirecte (identifiant, numéro etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

• tenue d’un fichier de ses clients
• collecte de coordonnées de prospects via un questionnaire
• mise à jour d’un fichier de fournisseurs

La protection des données personnelles a été renforcée dans le cadre du règlement général de protection des données (RGPD).

Lire aussi : Règlement général de la protection des données (RGPD) : attention aux arnaques !

Utilisation de données personnelles : dans quelles situations informer l’internaute ?

D’après le RGPD, il existe 2 situations dans lesquelles l’information de l’internaute est obligatoire :

• En cas de collecte directe des données de l’internaute, que ce soit de façon active (via remplissage d’un formulaire lors d’un achat en ligne, de la souscription d’un contrat, de l’ouverture d’un compte bancaire…) ou au travers de l’observation de son activité (via des outils d’analyse de sa navigation, de géolocalisation, de mesure d’audience…)
• En cas de collecte indirecte des données de l’internaute : données récupérées auprès de partenaires commerciaux par exemple.

Lire aussi : Règlement Général sur la Protection des Données (RGPD) : des droits renforcés pour les consommateurs

Utilisation de données personnelles : à quels moments informer l’internaute ?

Le RGPD stipule 3 moments où vous devez informer l’internaute :

1. Vous devez informer l’internaute au moment de la collecte de ses données personnelles dans le cas d’une collecte directe ou dès que possible dans le cas d’une collecte indirecte de données (lors du 1^er contact par exemple).
2. Vous devez également informer l’internaute de l’utilisation de ses données en cas de modification de leur utilisation.
3. Enfin, dans un souci de transparence, vous devez informer régulièrement l’internaute de l’utilisation de ses données personnelles.

Lire aussi : Entreprises, quelles sont vos obligations en matière de courriel commercial ?

Utilisation de données personnelles : quelles informations donner à l’internaute ?

Le RGPD précise les informations que vous devez rendre disponibles. Ainsi, si un internaute vous en fait la demande, vous avez l’obligation de donner accès aux informations suivantes :

• Identité et coordonnées de l’organisme responsable du traitement de données
• Coordonnées du délégué à la protection des données (DPO), ou d’un point de contact sur les questions de protection des données personnelles
• Base juridique du traitement de données (consentement de l’internaute, respect d’une obligation prévue par un texte, exécution d’un contrat…)
• Finalités des données collectées (pour prise de décisions automatisée, pour prévenir la fraude, parce que les informations sont requises par la réglementation…)
• Caractère obligatoire ou facultatif du recueil des données et les conséquences pour la personne en cas de non-fourniture des données
• Destinataires ou catégories de destinataires des données
• Durée de conservation des données
• Transferts de données à caractère personnel envisagés à destination d’un État n’appartenant pas à l’Union européenne

Vous devez également informer l’internaute de ses droits : accès à ses données, possibilité de rectification ou d’effacement de ses données, de retrait de son consentement, possibilité de faire une réclamation auprès de la CNIL.

En cas de données collectées de manière indirecte, vous devez informer l’internaute de la source des données.

Plus d’information sur l’information à délivrer à l’internaute

Lire aussi : Mentions sur votre site Internet : les obligations à respecter

Utilisation de données personnelles : quand devez-vous obtenir le consentement de l’internaute ?

Il existe plusieurs situations dans lesquels l’information ne suffit pas. Il faut expressément demander l’accord de l’internaute dans le cadre de la prospection commerciale par courrier électronique et dans certains cas, lors de l’utilisation de cookies.

Consentement lors de l’utilisation de cookies ou de traceurs publicitaire

Il faut obtenir le consentement de l’internaute avant de déposer les cookies liés aux opérations relatives à la publicité, les cookies des réseaux sociaux générés par les boutons de partage et certains cookies de mesure d’audience.

Tout ce qu’il faut savoir sur les cookies et les solutions de la CNIL

Consentement dans le cadre de courriels commerciaux (newsletters)

Les destinataires de courriels commerciaux (newsletters) doivent avoir explicitement donné leur accord pour être démarchés, au moment de la collecte de leur adresse électronique. Ce consentement préalable de l’internaute doit être recueilli par une case à cocher. En cas de transmission de ses données personnelles à des partenaires, l’internaute doit également y avoir consenti au moment du recueil de ses données personnelles.

Tout ce qu’il faut savoir sur vos obligations en matière de courriel commercial

Quelles sont les sanctions en cas de non respect des obligations d’informations de l’internaute ?

• L’absence d’une information obligatoire est punie de l’amende de 1 500 €.
• Tout traitement informatique non consenti est puni de 5 ans d’emprisonnement et de 300 000 € d’amende.