«Quel cadre juridique pour la collecte de données personnelles sur Internet?»
Il est aujourd'hui quasiment impossible de naviguer sur Internet sans laisser de traces. La collecte de données consiste à identifier les utilisateurs d'un site à des fins diverses: inscription à une newsletter, création de compte, marketing direct, fidélisation, publicité ciblée... Selon les moyens utilisés (formulaires de collecte, cookies, balises web, fichiers log...), la nature des informations collectées et les conditions de traitement (recoupement des informations, profilage à l'insu de l'internaute...), ce traçage peut être plus ou moins intrusif. Il est impératif de respecter la réglementation en la matière sous peine de sanction pénale et d'emprisonnement. Une donnée personnelle permet d'identifier directement un individu, ou une personne physique. Peu importe que ces données aient été fournies volontairement ou spontanément par l'internaute ou qu'elles l'aient été à son insu. Aussi, conformément à la loi du n° 78-17 du 6 janvier 1978 modifiée par la loi du 6 août 2004, l'internaute doit être clairement informé de l'identité de la société qui collecte les données, des finalités, du caractère facultatif ou obligatoire des données à fournir, des destinataires, de ses droits d'accès -de rectification et d'opposition en indiquant le service auprès duquel ils peuvent être exercés et, le cas échéant, les conditions de transfert des données vers un pays non protecteur. Cette information doit figurer sur le formulaire de collecte ou, à défaut, se matérialiser par une charte de protection des données personnelles sur le site. L'utilisation de cookies relatifs à la navigation ou de toute autre technique de collecte passive, ainsi que les moyens de s'y opposer devront également être portés à la connaissance de l'internaute. Les envois de communications commerciales, doivent être soumis au consentement préalable de l'internaute (opt-in), en lui faisant cocher une case prévue à cet effet, sans que celle-ci soit précochée. Ce consentement n'est pas requis si le message est adressé à un professionnel pour des produits liés à ses fonctions. Mais le message doit être clairement identifié comme commercial en indiquant le nom de l'entreprise émettrice et comporter un lien permettant de se désinscrire à tout moment, simplement et sans frais (opt-out). D'une part, le commerçant ne doit recueillir que des données adéquates et non excessives eu égard à la finalité recherchée. En principe, les données sensibles au sens de la loi ne doivent pas être collectées, sauf consentement exprès de l'intéressé et si la finalité du traitement le justifie. Attention, cette condition peut parfois être délicate à apprécier. Ainsi, obtenir des renseignements sur les préférences alimentaires d'une personne peut, indirectement, révéler sa religion. D'autre part, les données ne doivent pas être conservées au-delà de la durée de gestion de la relation commerciale ou tout au plus de la prescription du contrat (cinq ans pour les contrats commerciaux). Certaines données, telles que les références bancaires doivent, en principe, être effacées dès la fin de la transaction. Des conditions de sécurité techniques et organisationnelles doivent être mises en oeuvre pour protéger les données et éviter leur utilisation non autorisée ou leur altération. Le e-commerçant devra «avertir sans délai les utilisateurs affectés dans les cas où la violation de la sécurité peut entraîner des conséquences négatives pour la protection de la vie privée et des données à caractère personnel». Dans le cas de transferts vers un serveur hors de l'Union européenne, un contrat de transfert de données sur le modèle des clauses de la Commission européenne devra être conclu entre le site responsable de traitement et le propriétaire du serveur situé à l'étranger. Enfin, le commerçant doit déposer une déclaration à la Cnil.
DENISE LEBEAU- MARIANNA
Avocat, inscrite au barreau depuis 1995, elle occupe le poste de Local Parnet au sein du département ITC de Baker & McKenzie. Fondé en 1953, le cabinet Baker & McKenzie Paris regroupe aujourd'hui 27 associés et près de 150 avocats et juristes spécialisés dans toutes les disciplines du droit des affaires.
«Les données ne peuvent être utilisées sans respecter les étapes prévues par la loi.»