Site internet et loi informatique et libertés

Les problématiques liées aux droits des personnes, qu'il s'agisse de visiteurs, de clients ou de prospects, restent plus que jamais d'actualité. Des problématiques essentielles, qui ne doivent pas être méconnues puisque, à défaut, les données recueillies ne peuvent pas être utilisées et des sanctions pénales (amendes dont les montants sont particulièrement lourds, pouvant aller jusqu'à des peines d'emprisonnement) peuvent s'appliquer.

Dès lors, connaître l'environnement juridique de la problématique des données sur Internet s'avère essentiel pour tout acteur du commerce électronique qui, après avoir mené son analyse déclarative, se doit d'examiner sa politique d'information des internautes mais aussi sa politique sécuritaire.

Informer les personnes fIchées

Définir la politique en matière de données personnelles collectées via le Web s'avère d'autant plus déterminant que celle-ci va permettre de respecter les droits des personnes fichées. Ces droits constituent l'un des principes essentiels de la loi informatique, fichiers et libertés du 6 janvier 1978, dont le droit à l'information a été sensiblement renforcé par la loi du 6 août 2004.

Des informations en ce sens devront donc exister sur les sites d'e-commerce et être adaptées en fonction des modalités selon lesquelles les données seront traitées. S'il reste toujours obligatoire d'informer les personnes du caractère facultatif ou non des réponses, des conséquences éventuelles à leur égard d'un défaut de réponse, des destinataires ou catégories de destinataires des données, de l'existence de droits tels que le droit d'accès, de rectification ou d'opposition..., d'autres informations doivent être désormais précisées.

Il s'agit principalement de l'identité du responsable du traitement, de la finalité du traitement, (par exemple, la gestion commerciale), du droit d'opposition en cas de prospection ou bien encore, si les données sont traitées ou transférées à destination d'un Etat non membre de la communauté européenne et ne disposant pas d'une protection adéquate, d'une information sur ces flux. A noter, le principe du droit d'information préalable est encore plus précis pour les entreprises qui utilisent les réseaux de communication électronique. En effet, les méthodes utilisées par Internet doivent être explicitées.

Ce droit d'information est, par ailleurs, complété par des règles spécifiques issues de la loi sur la confiance dans l'économie numérique du 21 juin 2004, puisqu'il convient, dans bon nombre de cas, de disposer d'un accord exprès de l'internaute afin d'utiliser les adresses e-mails collectées pour des campagnes publicitaires. Tenir compte des droits des personnes fichées s'avère dès lors un élément-clé de la poli- tique de données personnelles collectées via le Web, puisque, en fonction des droits existant entre la personne fichée et le propriétaire de la base, le plan de communication, ainsi que les différents traitements envisagés à partir de la base mise en place grâce au Web, pourront être définis. Informer les internautes est donc essentiel pour tous les acteurs du commerce électronique, puisqu'en fonction de cette mention d'information, ils pourront, ou non, continuer à dialoguer avec leurs clients ou futurs clients.

Lors de la mise en place d'un plan fichiers grâce au Web, un des autres éléments-clés repose sur l'obligation d'assurer la confidentialité et la sécurité des données personnelles recueillies et, bien évidemment, de tous traitements afférents. Cette obligation reste à la charge du responsable du traitement et ce, même s'il confie à un tiers les données, y compris en cas d'externalisation des traitements ou du site web.

Défnir sa politique de sécurité et de confIdentialité

Il n'en reste pas moins vrai qu'il est tenu de prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement pour veiller à préserver la sécurité. Et, notamment, empêcher que ces données ne soient déformées, endommagées ou bien encore que des tiers non autorisés y aient accès.

Désormais, ce principe impose aux acteurs du commerce électronique des contraintes spécifiques, et ce, dès le choix du prestataire, puisque ce dernier devra présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de confidentialité et de sécurité. Ce principe est renforcé par l'obligation, désormais légale, de conclure des accords spécifiques, qui respectent un formalisme imposé par la loi et encadrant les différentes instructions du responsable du traitement, avec tous ses sous-traitants.

Brigitte Misse, avocat auprès de la Cour d'appel de Paris