Mon compte Devenir membre Newsletters

Commerce électronique: les problématiques liées à la collecte de données personnelles

Publié le par

Connaître l'environnement juridique de la problématique des données sur Internet est l'un des axes essentiels que tout acteur du commerce électronique doit examiner avant même le lancement de son site internet.

Brigitte Misse, Avocat auprès de la cour d'appel de Paris

Les problématiques liées aux droits des personnes, qu'il s'agisse de visiteurs, de clients ou de prospects... sont bien souvent oubliées ou examinées sans tenir compte de l'architecture globale du système d'information de l'entreprise. Pourtant, elles sont essentielles pour disposer de renseignements sur ces dites personnes. Et elles ne peuvent être méconnues puisqu'à défaut, les données recueillies ne peuvent être traitées. Des sanctions pénales - allant d'amendes jusqu'à des peines d'emprisonnement -, peuvent alors être appliquées.

Définir sa politique de données personnelles

Dehmr clairement sa politique en matière de données personnelles est l'un des premiers prérequis de tout acteur. En effet, si la donnée estl'élémentclé de la politique commerciale d'une entreprise de commerce électronique, elle est également au coeur de la loi informatique, fichiers et libertés. Dès lors qu'elle permet d'identifier des personnes physiques, peu importe que cette donnée concerne le secteur du B to B ou celui du B to C.

C'est ainsi que la simple collecte de renseignements, telles que des adresses e-mails, des informations lors d'une vente ou de l'envoi d'une documentation..., ou bien encore ceux recueillis grâce à des questionnaires ou des cookies... vont être directement concernées par ce texte.

Première contrainte: les acteurs du commerce électronique doivent collecter les données de manière loyale et licite, sachant que ces renseignements et les traitements effectués devront être adéquats, pertinents et non excessifs eu égard aux finalités du fichier. A défaut, la politique de données personnelles collectées via le Web devra être redéfinie. D'ores et déjà, les juges ont considéré que la collecte d'adresses électroniques à l'insu des personnes devait être condamnée. Deuxième contrainte imposée aux acteurs du e-commerce: définir avec précision les informations qui pourraient être collectées via le Web ou qui pourraient exister suite à des traitements.

En effet, chacun sait que certaines données sont qualifiées de sensibles. Il en est ainsi du numéro de Sécurité sociale, d'informations sur des condamnations, les moeurs, la santé, les opinions politiques ou philosophiques..., sachant que ces derniers renseignements peuvent, même s'ils ne sont pas directement demandés à l'internaute, exister. S'il n'est pas interdit, en tant que tel, de détenir de telles informations, encore faut-il veiller à respecter le droit. Et, par exemple, demander des autorisations auprès des personnes fichées ainsi qu'auprès de la Cnil.

Le principe même de la loi informatique, fichiers et libertés, eu égard aux données et aux fichiers, impose, dès la définition de son plan médias via le Web, une véritable analyse juridique. Et ce, afin d'examiner la légalité des informations collectées ainsi que des traitements envisagés.

Analyser sa politique déclarative

Définir sa politique de données personnelles collectées via Internet s'avère d'autant plus déterminant que cette politique va présider au choix des formalités déclaratives à effectuer.

Si, actuellement, tout acteur du commerce électronique connaît les obligations de déclaration auprès de la Cnil, bon nombre ignorent que l'obligation de déclaration peut s'appliquer dans leur entreprise lors du lancement de nouveaux sites internet et ce, même si aujourd'hui il existe des dispenses de déclaration pour de tels traitements.

Or, plusieurs choix en termes de formalités déclaratives existent: autorisation, dispense de déclaration, autorisation après arrêté ou décret, déclaration simplifiée ou ordinaire... Et la formalité à accomplir différera en fonction des renseignements enregistrés ou issus des traitements, des choix technologiques ou bien encore des finalités...

Deuxième prérequis avant tout lancement de site: examiner les déclarations des autres traitements de données personnelles de l'entreprise d'e-commerce, afin de savoir si la mise en place du site internet modifie leurs caractéristiques. Des conséquences légales peuvent en résulter puisque, si tel est le cas, encore conviendrait-il de déclarer les modifications effectuées.

Ces formalités déclaratives devront être effectuées avant même la mise en oeuvre des traitements, puisque la Cnil doit avoir délivré auparavant son autorisation ou récépissé.

A défaut, des sanctions pénales ou civiles particulièrement lourdes peuvent être prononcées soit par les tribunaux, soit par la Cnil.

Par conséquent, l'approche déclarative doit être menée dès la définition du plan fichiers. Une approche essentielle, puisqu'elle seule permettra d'identifier les mesures d'information à faire figurer sur le site.

«Une véritable analyse juridique s'impose dès la définition de son plan médias via le Web.»