Lecture : 5 minutes
Le règlement général de protection des données (RGPD) oblige les entreprises qui utilisent les données personnelles des internautes à leur fournir un certain nombre d'informations. Quelles sont-elles ? Dans quelles situations devez-vous les informer ? Le tour de la question.
Sommaire
Données personnelles : de quoi parle-t-on ?
Utilisation de données personnelles : dans quelles situations informer l’internaute ?
Utilisation de données personnelles : à quels moments informer l'internaute ?
Utilisation de données personnelles : quelles informations donner à l’internaute ?
Utilisation de données personnelles : quand devez-vous obtenir le consentement de l'internaute ?
Données personnelles : de quoi parle-t-on ?
Une donnée à caractère personnel (ou « donnée personnelle ») est décrite par la Commission nationale de l’informatique et des libertés (CNIL) comme toute information se rapportant à une personne physique identifiée ou identifiable. Il existe deux types d’identification :
- identification directe (nom, prénom, etc.)
- identification indirecte (identifiant, numéro, etc.).
Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL fournit quelques exemples :
- tenue d’un fichier de ses clients
- collecte de coordonnées de prospects via un questionnaire
- mise à jour d’un fichier de fournisseurs.
Le RGPD, qu’est-ce que c’est ?
La protection des données personnelles a été renforcée dans le cadre du règlement général de protection des données (RGPD), entré en application le 25 mai 2018.
Ce texte réglementaire encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne.
Le règlement général sur la protection des données (RGPD), mode d’emploi
Utilisation de données personnelles : dans quelles situations informer l’internaute ?
D'après le RGPD, il existe deux situations dans lesquelles l’information de l’internaute est obligatoire :
- en cas de collecte directe des données de l’internaute, que ce soit de façon active (via le remplissage d’un formulaire lors d’un achat en ligne, de la souscription d’un contrat, de l’ouverture d’un compte bancaire…) ou au travers de l’observation de son activité (via des outils d’analyse de sa navigation, de géolocalisation, de mesure d’audience…)
- en cas de collecte indirecte des données de l’internaute : données récupérées auprès de partenaires commerciaux par exemple.
Utilisation de données personnelles : à quels moments informer l'internaute ?
Le RGPD stipule trois moments où vous devez informer l'internaute :
- vous devez informer l’internaute au moment de la collecte de ses données personnelles dans le cas d’une collecte directe ou dès que possible dans le cas d’une collecte indirecte de données (lors du premier contact par exemple)
- vous devez également informer l’internaute de l’utilisation de ses données en cas de modification de leur utilisation
- enfin, dans un souci de transparence, vous devez informer régulièrement l’internaute de l’utilisation de ses données personnelles.
Utilisation de données personnelles : quelles informations donner à l’internaute ?
Le RGPD précise les informations que vous devez rendre disponibles. Ainsi, si un internaute vous en fait la demande, vous avez l’obligation de donner accès aux informations suivantes :
- identité et coordonnées de l’organisme responsable du traitement de données
- coordonnées du délégué à la protection des données (DPO) ou d’un point de contact sur les questions de protection des données personnelles
- base juridique du traitement de données (consentement de l’internaute, respect d’une obligation prévue par un texte, exécution d’un contrat…)
- finalités des données collectées (pour prise de décision automatisée, pour prévenir la fraude, parce que les informations sont requises par la réglementation…)
- caractère obligatoire ou facultatif du recueil des données et les conséquences pour la personne en cas de non-fourniture des données
- destinataires ou catégories de destinataires des données
- durée de conservation des données
- transferts de données à caractère personnel envisagés à destination d'un État n'appartenant pas à l'Union européenne.
Vous devez également informer l’internaute de ses droits : accès à ses données, possibilité de rectification ou d’effacement de ses données, de retrait de son consentement, possibilité de faire une réclamation auprès de la CNIL.
En cas de données collectées de manière indirecte, vous devez informer l’internaute de la source des données.
À savoir
- L’information doit être délivrée « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples », stipule le RGPD . Son format doit être lisible par l’internaute.
- Vous devez informer l’internaute de la finalité de l'utilisation de ses données. À cet effet, il est recommandé d’insérer une page « vie privée », accessible et compréhensible par tous.
- Vous devez également proposer à l’internaute une possibilité simple de contact.
Utilisation de données personnelles : quand devez-vous obtenir le consentement de l'internaute ?
Il existe des situations dans lesquelles l'information ne suffit pas. Il faut notamment demander expressément l'accord de l'internaute dans le cadre de la prospection commerciale par courrier électronique et, dans certains cas, lors de l’utilisation de cookies.
Consentement lors de l’utilisation de cookies ou de traceurs publicitaire
Il faut obtenir le consentement de l’internaute avant de déposer les cookies liés aux opérations relatives à la publicité, les cookies des réseaux sociaux générés par les boutons de partage et certains cookies de mesure d'audience.
Tout ce qu’il faut savoir sur les cookies et les solutions de la CNIL
Consentement dans le cadre de courriels commerciaux (newsletters)
Les destinataires de courriels commerciaux (newsletters) doivent avoir explicitement donné leur accord pour être démarchés, au moment de la collecte de leur adresse électronique. Ce consentement préalable de l’internaute doit être recueilli par une case à cocher (important : la case ne doit pas être pré-cochée). En cas de transmission de ses données personnelles à des partenaires, l’internaute doit également y avoir consenti au moment du recueil de ses données personnelles.
Tout ce qu’il faut savoir sur vos obligations en matière de courriel commercial
À savoir
En cas de non-respect des obligations d’information de l’internaute, vous vous exposez à des sanctions : par exemple, tout traitement de données à caractère personnel non consenti est puni de cinq ans d'emprisonnement et de 300 000 € d'amende (article 226-16 du code pénal).
Ces contenus peuvent aussi vous intéresser
En savoir plus sur l’utilisation des données personnelles
Sur le site de la CNIL :
- RGPD : exemples de mentions d'information
- Guide pratique RGPD – Sécurité des données personnelles
- Appliquer le RGPD dans une TPE ou PME : les questions/réponses de la CNIL
- Conformité RGPD : comment informer les personnes et assurer la transparence ?
Sur le site de France Num :
Thématiques :