Site internet et traitement des données personnelles
Comme tout éditeur, le responsable d'un site internet est soumis à des règles sur le contenu de l'information qu'il diffuse. Mais la particularité de ce média - interactif par nature - l'oblige également à respecter des obligations concernant le traitement éventuel de données personnelles relatives aux personnes qui consultent le site.
Informer l'utilisateur
Il
arrive fréquemment qu’un site collecte des données relatives aux
utilisateurs qui le consultent. C’est notamment le cas des sites qui :
- proposent des forums de discussion (news group) ;
- envoient automatiquement des informations par un logiciel de messagerie électronique (newsletter, liste de diffusion…) ;
- collectent des informations sur les utilisateurs, grâce à des
programmes présents sur le site et qui s’exécutent dans l’ordinateur de
l’internaute (cookies, applets Java, Active X…).
Dans ce cas, le responsable du site doit respecter plusieurs règles
afin de le mettre en conformité avec la loi du 6 janvier 1978, plus
connue sous le nom de loi Informatique et Libertés. Ces règles visent
surtout à avertir l’utilisateur et à l’informer du traitement envisagé
pour les données personnelles. Pour toute information demandée, le
responsable doit faire figurer la possibilité d’un droit d’accès, de
modification, de rectification et de suppression des données
personnelles. Dans le cas des cookies, le responsable du site doit
mentionner leur objet et leur durée de conservation dans l’ordinateur.
Il doit également signaler la possibilité de s’opposer à leur
enregistrement sur l’ordinateur de l’internaute.
Comment déclarer son site ?
Pour
les e-mail, l’éditeur doit laisser la possibilité aux internautes de
demander la radiation de leur adresse de messagerie. De plus, en cas de
transmission des adresses collectées à un organisme tiers,
l’utilisateur doit en être averti et doit avoir la possibilité de
refuser.
Par ailleurs, la page des forums de discussion doit clairement faire
figurer les mentions d’information et d’avertissement propres à ce type
de rubrique (présence d’un modérateur, exercice du droit d’accès et de
rectification, conditions de suppression des contributions
nominatives…).
En pratique, si la déclaration d’un site utilisant des données
personnelles auprès du procureur de la République est supprimée (loi du
1er août 2000), celle-ci reste obligatoire auprès de la Cnil afin de
mettre le site en conformité avec la loi. Un formulaire de déclaration
des traitements de données personnelles est disponible sur le site de
la Cnil. Le déclarant a la possibilité de le télécharger ou de le
remplir directement en ligne. En plus de ce document, la Cnil propose
également sur son site des exemples de présentation des mentions
obligatoires à faire figurer sur un site proposant un formulaire de
recueil de données, un forum de discussion ou utilisant des cookies.
Repères :
La loi fait obligation aux éditeurs de sites de mentionner leur dénomination ou leur raison sociale, ainsi que leur siège social. Le nom du directeur de la publication et, le cas échéant, celui du responsable de la rédaction doivent également apparaître. Il en va de même pour les coordonnées de l’hébergeur du site. Cette disposition n’est toutefois pas nécessaire aux particuliers. Au-delà de ces mentions légales, il faut savoir que seul l’éditeur est responsable de la sécurité et de la confidentialité des données personnelles traitées dans son site.
PCA pour Localtis, mars 2002