Rebondir !

- Législation du web -

Déclarer son site à la CNIL - Acte 2

Les sites institutionnels et sites vitrines

Rappel des épisodes précédents :
Sont concernés par cet article,
Les sites d’informations institutionnelles, les sites vitrines à vocation non commerciale, en résumé tout site qui met en place un traitement de collecte ou de diffusion de données personnelles à des fins d’information et de communication externe.


Ils sont généralement* dispensés de déclaration.
* sous certaines conditions : vous devez vérifier que vous répondez aux exigences de la Dispense n°7.

Qu’entend-on par "Sites internet institutionnels" ?

Dans la définition qu’en fait la CNIL dans ses textes, il s’agit de sites internet mettant en œuvre "des traitements constitués à des fins d’information ou de communication externe " [1].

Sont donc exclus les procédés de diffusion et de collecte d’informations personnelles effectués à des fins commerciales, ainsi que les sites d’organismes à but non lucratifs qui font l’objet d’une autre dispense. Sont exclus également les traitements permettant un téléservice administratif qui doivent faire l’objet d’une Demande d’avis auprès de la CNIL.

Quelles sont les données qu’un site institutionnel peut collecter dans ce cadre ?

Les données personnelles de vos visiteurs collectées et diffusées avec leur accord (voir plus loin) sont par exemple :

  • leurs nom, prénoms, adresse postale et numéros de téléphone, de télécopie, adresse email ;
  • les informations concernant leur vie professionnelle : adresse professionnelle, qualité ou fonction… ;
  • leurs goûts et centres d’intérêts ("à l’exclusion de ceux qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatifs à la santé ou à la vie sexuelle des personnes (article 8 de la loi du 6 janvier 1978 modifiée (source CNIL)") ;
  • de leurs données de connexion "à des seules fins statistiques d’estimation de la fréquentation du site (source CNIL)".

La seule finalité admise pour ces données collectées est (sic) " la constitution et l’exploitation d’un fichier d’adresses à des fins d’information ou de communication externe se rapportant au but ou à l’activité poursuivie par la personne physique ou morale qui met en œuvre le traitement, à l’exclusion de toute sollicitation commerciale. Dans le cas où est utilisé un service de communication au public en ligne (site internet), un traitement des données de connexion à des fins purement statistiques peut être effectué.(source CNIL) "

Quelles sont les données exclues de ce cadre ?

Toutes les données dites "sensibles" (mais c’est un point commun à tous les sites internet), entre autres :

  • origines raciales ou ethniques,
  • opinions politiques, y compris leur appartenance syndicale, religieuses, philosophiques,
  • informations sur leur santé, condamnations, orientations sexuelles,
  • informations sociales et bancaires.

Quelles sont vos obligations ?

Cette Dispense n°7 ne vous dédouane pas des obligations élémentaires qui sont, au moment de la collecte de ces données, d’informer l’utilisateur :
- de l’identité du responsable du traitement,
- des finalités poursuivies par le traitement (exemple : gestion d’un fichier-client, prospection commerciale, publication dans un annuaire, une liste de membres…),
- du caractère obligatoire ou facultatif des réponses à apporter (et des conséquences éventuelles, à leur égard, d’un défaut de réponse),
- des destinataires des données,
- de la durée de leur conservation,
- du droit des personnes fichées d’opposition, d’accès et de rectification ainsi que des modalités d’exercice de ces droits,
- des transmissions éventuellement envisagées à des tiers.

En pratique, il est demandé d’indiquer ces éléments près du formulaire de collecte des données, ou avant l’accès à ce formulaire (article 32 de la loi informatique et libertés).
Plus ergonomiquement parlant, on peut faire une mention brève et un lien vers une page de Mentions légales sur laquelle seront rassemblées toutes ces informations de façon plus exhaustive.

Enfin, le stockage de ces données personnelles vous impose de mettre en place tout système assurant leur sécurisation (accès à la base de données par login/mot de passe ; sécurisation du serveur contre les intrusions, etc…).

<< Déclarer son site à la CNIL - Acte 1

A retenir :

- Si vous êtes propriétaire d’un site d’information ou de communication externe, et que vous n’effectuez pas de traitement de données personnelles à des fins commerciales, politiques ou associatives, ni ne proposez de téléservice administratif, vous êtes dispensés de déclaration tant que vous respectez les conditions de la Dispense n°7.
- Dans les autres cas, vous devez déclarer votre traitement à la CNIL, le plus souvent en effectuant une déclaration simplifiée. Simple, n’est-ce pas ?

Article mis à jour le jeudi 27 février 2014

Où suis-je ?

Perdu/e ?