Site internet/données personnelles: rappel de quelques règles

Malgré diverses recommandations et articles mis en ligne par la CNIL sur son site, de nombreux sites internet ne sont pas conformes au RGPD.

- Le bandeau cookies

  •           Le nécessaire consentement de l’internaute

Outre une information claire et facilement accessible pour les internautes, il faut s’assurer d’obtenir le consentement de ce dernier.

Par consentement, il faut comprendre un acte positif de l’internaute et non un accord implicite.

Quelques exemples de mentions qui ne sont pas conformes :

  • « en poursuivant votre navigation sur notre site, vous acceptez l’utilisation de nos cookies» : l’internaute n’a pas la possibilité de donner son accord, il n’y a donc pas consentement. En tout état de cause, cela doit être interprété selon la CNIL, comme un refus.
  • ou « continuer sans accepter» : là aussi, cela doit être interprété comme un refus mais l’information n’est pas claire pour un internaute.
  • « vous pouvez cliquer sur fermer pour enlever ce message » : s’il clique sur le bouton, cela doit être interprété comme un refus mais l’information n’est pas claire.

En réalité, la CNIL l’a bien indiqué dans ses deux recommandations du 17 septembre 2020 (n° 2020-091 et n°2020-092), il faut prévoir un bouton « refuser » ou « tout refuser », un bouton « accepter » ou « tout accepter » ainsi qu’un troisième bouton « paramétrer les cookies » ou encore « personnaliser mes choix ».

Ces boutons doivent être de même format, de même couleur et placés de telle manière que le bouton « accepter » ne soit pas mis en avant.

  •      Une information claire concernant les finalités

L’internaute doit prendre connaissance des finalités avant d’accepter ou refuser mais cette information doit être donnée dans des termes clairs et adaptés.

Toujours dans ses recommandations du 17 septembre 2020, la CNIL donne certains exemples tels que :

« le site XX et nos partenaires utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil »

Ou encore

« Notre site xx utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux »

- La console ou CMP (Consent management Platform)

Dans la console, l’internaute peut choisir les cookies pour lesquels il donne son consentement mais tout comme sur le bandeau, il faut laisser la possibilité à l’internaute de « tout refuser » ou de « tout accepter ».

- La possibilité de revenir sur ses choix n’importe quand

Comme pour tout traitement de données personnelles fondé sur le consentement de la personne, cette personne doit avoir la possibilité de le retirer à n’importe quel moment et d’une manière simple.

Pour les traceurs, la CNIL recommande de mettre en place un lien hypertexte en bas de page ou par une petite icône sur l’un des côtés du site internet qui apparait sur toutes les pages avec une mention « gérer mes cookies ».

- Les formulaires en ligne

Tous les formulaires en ligne, quel que soit l’objet, doit contenir des astérisques pour indiquer les champs obligatoires.

Cependant, il faut aussi informer les clients/prospects de la finalité du formulaire même si cela peut paraître inutile.

A titre d’exemple, pour l’envoi de mails à des clients concernant des produits similaires à ceux commandés sur d’un site d’e-commerce, il faut indiquer une mention en dessous du formulaire, pour les informer que l’adresse électronique sera utilisée pour leur adresser des publicités concernant des produits similaires à ceux commandés sur le site. Il faut aussi informer la personne de ce qu’elle peut refuser de recevoir ces mails (opt-out) et prévoir à cet effet une case à cocher «  je m’oppose à ce que la société X m’adresse des mails concernant des produits similaires à ceux que j’ai commandés ».

Il en est de même pour des formulaires de contact etc.

Attention, le fait de collecter l’adresse électronique d’un client/prospect pour lui adresser des mails contenant des publicités de la société concernée et de ses partenaires, nécessite un accord de la personne.

Là aussi, outre la mention de la finalité de la collecte de l’adresse électronique, il faut prévoir en dessous du formulaire une case à cocher pour les mails adressés par la société X et une case à cocher que pour la personne accepte que son adresse électronique soit transmise aux partenaires de la société pour recevoir de la publicité.

Si la personne remplit le formulaire mais ne coche pas la case, vous ne pouvez pas communiquer son adresse électronique à vos partenaires.

Bien entendu, vous devez compléter ces mentions par les informations prévues à l’article 13 du RGPD et qui sont habituellement insérées dans une politique de confidentialité ou politique de données personnelles.

- La politique de confidentialité

Celle-ci doit être rédigée dans des termes simples et clairs et être accessible tout le temps.

La politique de confidentialité n’est que la mise en application de l’article 13 du RGPD qui prévoit la liste des informations qui doivent être communiquées à la personne lorsque les données personnelles sont collectées directement auprès de cette dernière.

Ainsi, il faut indiquer :

  • L’identité et coordonnées du responsable de traitement donc l’éditeur du site dans la plupart des cas
  • Les données collectées et les finalités poursuivies. A titre d’exemple, l’adresse électronique pour adresser des publicités par mails ou des mails concernant des produits similaires. Les données d’identité, les coordonnées pour la gestion, le paiement et la livraison de la commande.
  • Les bases légales des traitements.

Pour qu’un traitement de données personnelles soit licite, il faut qu’il repose sur l’un des fondements prévus par l’article 6 du RGPD. Dans la plupart des cas, pour des sites et plateformes numériques, les fondements légaux sont le contrat, la loi, le consentement et l’intérêt légitime. A titre d’exemple, les données traitées pour la gestion de la commande reposent sur le contrat. Le traitement de l’adresse électronique pour l’envoi de mails promotionnels de partenaires repose sur le consentement. La tenue de la comptabilité repose sur une obligation légale.

  • Les destinataires des données. Il n’est pas nécessaire de communiquer l’identité de tous les destinataires des données mais uniquement des partenaires commerciaux.
  • La durée de conservation : il s’agit de la durée du traitement et de la durée postérieure (archivage intermédiaire) qui est la plupart du temps définie par la loi ou issue de recommandations de la CNIL.
  • Les droits des personnes et les modalités d’exercice.

Figurent aussi les mentions concernant les cookies.

Le cabinet aura le plaisir de travailler aux côtés de LA COLLAB regroupant des professionnelles des métiers du marketing, de la communication et du digital afin de mieux appréhender le droit des données personnelles.

28.07.2022