Rebondir !

- Législation du web -

Déclarer son site à la CNIL - Acte 4

Les sites marchands

Rappel des épisodes précédents :
Sont concernés par cet article, Les sites qui vendent des produits et des services par internet ou/et qui mettent en place un traitement de fichiers clients-prospects.


Si vous êtes propriétaire d’un tel site, vous devez effectuer une déclaration auprès de la CNIL.
Une déclaration simplifiée (consultez pour cela la norme simplifiée n°48) suffit dans la majorité des cas.

Qu’entend-on par "Sites marchands" ?

C’est là que mon enquête a patiné quelque peu. En effet, on imagine qu’un site marchand est un site qui propose de la vente en ligne. Du e-commerce.
Mais dans les textes de la CNIL précédemment évoqués, on remarque que les dispenses n°6 ,7 et 8 excluent les traitements "à finalités commerciales", "à des fins de prospection commerciale".

La plupart de mes clients ont un site internet qui met en valeur leur activité professionnelle, qui présente leurs produits ou services sans qu’il y ait forcément de fonctionnalité d’achat et de paiement en ligne.

C’est là qu’il faut se recentrer sur la recommandation initiale de la CNIL, dans cette Fiche Pratique du 9 juillet 2006 :

Les responsables des traitements sont invités à ne plus se focaliser sur l’usage d’internet mais à identifier ce à quoi va servir leurs fichiers afin de déterminer la procédure de déclaration applicable. [1]

Autrement dit, ce n’est pas le site dans sa globalité qui est à prendre en compte mais les outils mis en place sur ce site pour collecter et diffuser des données personnelles, et surtout l’intentionnalité : cette notion de "finalité" est un terme très récurrent dans les textes de la CNIL.

Un exemple :
Vous établissez un fichier d’adresses que vous stockez dans une base de données, et ce à des fins statistiques, pour l’envoi d’une newsletter ou encore pour gérer les cotisations de vos adhérents.
Ces traitements rentrent (sous certaines réserves liées à la nature de ces données) dans le cadre d’une des 3 dispenses de la CNIL.
Si au contraire ce fichier va vous servir à effectuer auprès de ces personnes de la prospection commerciale, conserver leur historique d’achat, leur proposer des réductions, là oui, vous devrez déclarer ces traitements.

Quelles sont les données qui peuvent être collectées dans ce cadre ?

  • l’identité des personnes : leur civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses email, date de naissance, "code interne de traitement permettant l’identification du client (ce code interne de traitement ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d’un titre d’identité). Une copie d’un titre d’identité peut être conservée aux fins de preuve de l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une obligation légale" [1],
  • les données liées aux moyens de paiement,
  • les données liées à la transaction (date d’achat, n° de commande, détail des produits commandés ou du service souscrit),
  • la situation familiale, économique et financière : situation familiale nombre d’enfants, catégorie professionnelle, etc…,
  • les données liées au suivi client  : messages échangés, suivis de S.A.V, historique des commandes, etc…
  • les données liées aux règlements des factures : par exemple, sommes réglées, impayés, remises effectuées…
  • "les données relatives à la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion" [1]
  • les données liées à "l’organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts" [1]
  • "les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme." [1]

Cette déclaration exclut les traitements (sic) "mis en œuvre par les établissements bancaires ou assimilés, les entreprises d’assurances, de santé et d’éducation" [1].

Quelles sont les finalités admises pour ces données collectées ? :
Je cite là-encore la norme simplifiée n°48, très exhaustive :

Le traitement peut avoir tout ou partie des finalités suivantes :

  • effectuer les opérations relatives à la gestion des clients concernant : les contrats ; les commandes ; les livraisons ; les factures ; la comptabilité et en particulier la gestion des comptes clients ; un programme de fidélité au sein d’une entité ou plusieurs entités juridiques ; le suivi de la relation client tel que la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente ;
  • effectuer des opérations relatives à la prospection :
  • la gestion d’opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la dé-duplication) ;
  • la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;
  • la réalisation d’opérations de sollicitations ;
  • l’élaboration de statistiques commerciales ;
  • la cession, la location ou l’échange de ses fichiers de clients et de ses fichiers de prospects ;
  • l’organisation de jeux concours, de loteries ou de toute opération promotionnelle à l’exclusion des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de Régulation des Jeux en Ligne ;
  • la gestion des demandes de droit d’accès, de rectification et d’opposition ;
  • la gestion des impayés et du contentieux, à condition qu’elle ne porte pas sur des infractions et/ou qu’elle n’entraine pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat ;
  • la gestion des avis des personnes sur des produits, services ou contenus.

Quelles sont vos obligations ?

Vous êtes tenus aux obligations élémentaires recommandées par la CNIL (et le bon sens) qui sont, au moment de la collecte de ces données, d’informer l’utilisateur :

  • de l’identité du responsable du traitement,
  • des finalités poursuivies par le traitement (exemple : gestion d’un fichier-client, prospection commerciale, publication dans un annuaire, une liste de membres…),
  • du caractère obligatoire ou facultatif des réponses à apporter (et des conséquences éventuelles, à leur égard, d’un défaut de réponse),
  • des destinataires des données,
  • de la durée de leur conservation,
  • du droit des personnes fichées d’opposition, d’accès et de rectification ainsi que des modalités d’exercice de ces droits,
  • des transmissions éventuellement envisagées à des tiers.

En pratique, il est demandé d’indiquer ces éléments près du formulaire de collecte des données, ou avant l’accès à ce formulaire (article 32 de la loi informatique et libertés).
Plus ergonomiquement parlant, on peut faire une mention brève et un lien vers une page de Mentions légales sur laquelle seront rassemblées toutes ces informations de façon plus exhaustive.

Enfin, le stockage de ces données personnelles vous impose de mettre en place tout système assurant leur sécurisation (accès à la base de données par login/mot de passe ; sécurisation du serveur contre les intrusions, etc…).

<< Déclarer son site à la CNIL - Acte 3

A retenir :

- Si vous êtes une société qui vend des produits et des services, et que vous mettez en place des traitements de collecte et de diffusion de données personnelles à des fins commerciales (fichier-client, démarchage, vente en ligne, paiement en ligne, mailing publicitaire…), vous êtes tenus à déclarer vos fichiers à la CNIL.
- Vous devez alors effectuer une déclaration simplifiée ou une déclaration normale.
- Vous trouverez tous les renseignements et formulaires de déclaration à cette adresse : http://www.cnil.fr/vos-obligations/declarer-a-la-cnil/declarer-un-site-internet/


[1Extrait de : la norme simplifiée n°48

Article mis à jour le mercredi 4 février 2015

Où suis-je ?

Perdu/e ?