Quelles sont les règles à respecter en cas de collecte et traitement de données personnelles de clients?
DISCLAIMER 2018 : cet article n’est désormais plus à jour. Il convient de se référer à l’article suivant, suite à l’entrée en vigueur du RGPD : https://www.pacaud-avocat.fr/reglement-donnees-personnelles-impact/
Votre plateforme a vocation à mettre en relation des clients avec des professionnels ? Vous fournissez un service en ligne à des consommateurs ? Il vous est vraisemblablement nécessaire d’obtenir des données personnelles de la part de vos clients, quelles qu’elles soient.
La loi Informatique et Libertés, n°78-17 du 6 janvier 1978 organise la collecte et le traitement des données personnelles.
Outre les sujets abordés dans un article précédent, dans un premier temps, il conviendra, sauf dispense, de procéder à une déclaration auprès de la CNIL. Les données devront ensuite être sécurisées, en particulier si le traitement est effectué par une entreprise étrangère. Enfin, des processus doivent permettre au client de contrôler l’usage qui sera fait de ses données, à la fois par l’entreprise qui les collecte mais également par ses sous-traitants.
La déclaration de la collecte de données personnelles auprès de la CNIL
La collecte de données personnelles doit être déclarée auprès de la CNIL, afin de protéger la vie privée des clients. Il est conseillé de procéder à cette déclaration avant même de débuter la collecte, mais il sera toujours possible de régulariser la situation a posteriori si cela n’a pas été fait.
La CNIL a prévu plusieurs normes, applicables à diverses situations. Celles-ci sont soumises à des régimes différents, à la fois dans leur déclaration mais également leur gestion quotidienne.
Il existe deux, voire trois types de déclaration :
- La déclaration simplifiée, très rapide, qui ne nécessite pas de fournir des éléments techniques ;
- La déclaration normale, qui nécessite de préciser des points par exemple liés à la sécurité des données, aux interconnexions, aux droits d’accès ;
- La dispense de déclaration pour les données les moins sensibles.
Pour les données les plus sensibles, il peut être nécessaire de demander une autorisation à la CNIL. C’est le cas par exemple de la collecte et du traitement de données médicales, dont il sera nécessaire de justifier préalablement la finalité et les modalités (en particulier en matière de sécurité) à la CNIL.
Avant toute déclaration, il conviendra donc de rechercher la norme applicable sur le site de la CNIL, afin d’effectuer la déclaration adéquate.
Cette déclaration est gratuite.
La garantie de sécurité informatique des données personnelles collectées
L’entreprise responsable du traitement est également, en toute logique, responsable de la sécurité et de la confidentialité des données personnelles dont elle dispose.
Elle devra prendre toutes les précautions nécessaires afin que l’accès à celles-ci soit sécurisé selon les règles de l’art en vigueur (copies de sauvegarde, sécurité liée aux mots de passe, antivirus, pare-feu…). Elle devra également s’assurer que l’accès soit limité aux seules personnes dont les fonctions nécessitent d’y accéder.
Les sous-traitants devront également s’engager contractuellement à respecter les mêmes règles. Le responsable de traitement reste toutefois garant du respect des normes vis à vis de la CNIL et de la personne dont les données sont manipulées.
Par ailleurs, les données ne doivent en principe pas quitter le territoire de l’Union Européenne. Il est toutefois possible de faire appel à un sous-traitant non-européen, uniquement si celui-ci est soumis à des règles équivalentes aux règles communautaires (principe dit du safe harbour) ou s’engage à les respecter (principe des binding corporate rules – BCR). Le client doit toutefois en être informé dans les documents contractuels, en application du principe de transparence.
Il conviendra par ailleurs de prêter une attention toute particulière à la sécurité des données sensibles, préalablement soumises à autorisation de la CNIL. Cette dernière peut effectuer une enquête lors de la procédure d’autorisation, sur la base des déclarations du client, quant aux mesures de sécurité qui seront appliquées.
Transparence, pertinence et information du client en matière de collecte de données personnelles
La loi Informatique et Libertés prévoit, dans une logique de transparence, que la personne qui fournit ses données doit être informée de la finalité du traitement, et ne peut donner son accord que de manière limitative.
En conséquence, sont uniquement autorisés les usages pour lesquels le client a explicitement donné son accord. Il est ainsi, par exemple, impossible de communiquer les données à un tiers (y compris les sous-traitants) sans autorisation du client.
Les données collectées doivent également être pertinentes quant à la finalité attendue, et la durée du traitement doit être limitée dans le temps, conformément à la durée prévue par la CNIL pour chaque type de fichier.
Il convient donc de prêter une attention particulière aux objectifs de la collecte et du traitement, afin d’en informer le client de manière préalable. En l’absence d’information et d’autorisation donnée par le client, il est interdit d’utiliser les données personnelles.
La mise en place de procédures permettant le contrôle de ses données personnelles par le client
La Loi Informatique et Libertés garantit le respect des droits fondamentaux aux personnes concernées par les données collectées :
- Le droit d’information, selon lequel une personne peut demander à toute entreprise si celle-ci a collecté ses données personnelles, et, le cas échéant, l’étendue des données collectées.
- Le droit d’opposition, qui permet de s’opposer au fait de figurer dans un fichier et à l’utilisation commerciale des données collectées.
- Le droit d’accès, qui permet à toute personne d’obtenir une copie des données personnelles la concernant, qui sont détenues par l’entreprise. A titre d’exemple, c’est la raison pour laquelle les réseaux sociaux mettent une option à disposition des utilisateurs pour récupérer les données personnelles les concernant sur leur base de données.
- Le droit de rectification, qui permet à toute personne d’obtenir la rectification ou l’effacement des données personnelles qui ont été collectées.
Ces droits doivent donc être traduits dans les documents contractuels conclus entre l’entreprise qui collecte et traite les données, et ses clients.
L’intégralité de ces droits doit y figurer, et des processus adéquats être mis en place afin de permettre aux clients d’échanger avec l’entreprise à ce sujet.
En général, mettre une adresse mail spécifique à disposition du client et prévoir un engagement de réponse dans un délai court (vingt-quatre ou quarante huit heures ouvrées) est suffisant pour respecter les obligations légales.
Le respect de ces quelques bonnes pratiques simples sécurise la relation juridique avec le client, mais également avec la CNIL, et évite une exposition inutile aux sanctions financières et pénales conséquentes prévues par la Loi Informatique et Libertés.
La mise en conformité avec les obligations légales en matière de données personnelles est relativement aisée, et le cabinet peut vous y assister. Il est ainsi possible de les respecter sans véritable investissement financier, quel que soit le stade de développement de votre entreprise.
Il convient de noter que le nouveau règlement en matière de données personnelles va nécessiter d’y prêter une attention encore plus importante.