En annexe :
- Exemple d'une note
d'information préalable adressée par le responsable d'un site aux personnes concernées
par la diffusion d'informations nominatives qu'il envisage de réaliser sur son site
- Exemple de formulaire de
collecte d'informations
Les articles cités font référence à la loi dite
"informatique et liberté" du 6 janvier 1978
1. SITE DIFFUSANT DES INFORMATIONS RELATIVES À DES PERSONNES
Il peut s'agir des personnes qui appartiennent ou sont en
relation avec votre entreprise, votre réseau commercial, votre université, votre
collectivité territoriale, votre administration, votre association, vos activités, vos
centres d'intérêt, etc.
En raison des caractéristiques du réseau Internet, vous devez,
préalablement à la diffusion d'informations personnelles sur votre site Internet, faire
part de votre projet aux personnes concernées et les informer qu'elles peuvent s'opposer,
partiellement ou totalement, à cette diffusion sur Internet (art. 26 et 27).
La CNIL recommande que l'accord des personnes soit recueilli
préalablement à toute diffusion sur Internet de données les concernant, mais vous
pouvez aussi, avant cette diffusion, les informer que leur accord sera réputé tacitement
acquis en l'absence de réponse de leur part au delà d'un certain délai (1 mois, par
exemple). Vous devez également informer les personnes concernées qu'elles pourront vous
demander ultérieurement, à tout moment, que cesse la diffusion sur votre site des
informations qui les concernent.
En outre, vous devez informer les personnes concernées de
l'existence et des modalités d'exercice du droit d'accès aux informations qui les
concernent et du droit de les faire modifier (changement de nom, d'adresse, de fonctions,
etc), rectifier (en cas d'erreur) ou supprimer (art. 34).
Vous trouverez (voir infra, annexe 1) un exemple de
l'information préalable que vous devez
porter à la connaissance de personnes concernées.
Il se peut que vous avanciez devant la CNIL que votre site ne
diffuse pas d'informations nominatives. En revanche, il est assez rare qu'un site Internet
ne collecte aucune information relative à ses utilisateurs. Le plus souvent, en effet,
les sites Internet sont destinés à être interactifs et permettent aux utilisateurs, par
exemple, d'écrire au responsable du site, de se faire connaître de lui, de discuter
entre eux autour de thèmes qu'il aura déterminés, etc.
Si votre site est appelé à collecter des informations auprès
des utilisateurs, il doit les informer du caractère facultatif ou obligatoire des
réponses qu'ils sont invités à fournir (art.27), ainsi que de l'existence et des
modalités d'exercice du droit dont ils disposent d'accéder aux informations qui les
concernent, de les faire modifier, rectifier ou supprimer (art.34). Les
utilisateurs doivent également savoir à qui sont destinées les informations qu'ils
fournissent.
2. SITE PROPOSANT AUX UTILISATEURS DE REMPLIR UN FORMULAIRE
Vous devez signaler aux utilisateurs, sur le formulaire de
collecte d'informations que je vous propose ci-après, le caractère facultatif ou
obligatoire des réponses qu'ils sont invités à fournir (art.27). Les
utilisateurs doivent également savoir à qui sont destinées les informations qu'ils
fournissent.
Lorsque vous envisagez de transmettre à des tiers les données
collectées auprès des utilisateurs de votre site, vous devez en informer les personnes
et les inviter à faire part de leur accord ou de leur refus d'une telle transmission, au
moyen, par exemple, d'une case à cocher figurant aux côtés de cette information.
Vous trouverez de même (voir infra, annexe 2) un exemple de
formulaire de collecte d'informations comprenant les mentions destinées à informer les
utilisateurs de leurs droits.
Les informations nominatives collectées auprès des
utilisateurs de votre site ne peuvent pas être conservées sur support informatique
pendant une durée indéterminée. La durée de conservation de ces informations doit
être justifiée par la finalité de la collecte.
3. UTILISATION DES COURRIERS ÉLECTRONIQUES DES UTILISATEURS
Les messages électroniques qui vous seront adressés par
les utilisateurs du site conduisent au traitement d'informations relatives, le plus
souvent, au contenu du message, à la date et à l'heure de réception du message, à
l'adresse électronique de l'auteur du message et parfois à ses noms et prénoms ainsi
qu'à d'autres informations expédiées automatiquement par son logiciel de messagerie
électronique.
Il convient d'indiquer aux personnes que le secret des
correspondances transmises sur le réseau Internet n'est pas actuellement garanti.
La durée de conservation des courriers électroniques sur
support informatique doit être proportionnée à la finalité de la collecte qui est, en
l'espèce, le traitement de ces courriers (la réponse, par exemple).
En raison des risques d'intrusions informatiques sur les
serveurs et des règles relatives au secret des correspondances, la CNIL recommande que
ces courriers électroniques ne soient conservés sur le serveur du site Internet que
pendant un court délai (15 jours).
4. HYPOTHESES DES ESPACES DE DISCUSSION –
FORUM
Il est de votre intérêt de maîtriser les sujets de
discussion et les contributions figurant sur votre site, afin d'éviter toute mise en
cause de votre responsabilité fondée sur les propos tenus par certains utilisateurs ou
les sujets de discussion qu'ils abordent (ex : pédophilie, incitation à la violence, à
la haine raciale, négationnisme, etc).
Ce contrôle peut se comparer au choix qu'un rédacteur en chef
de journal est fondé à faire, au titre de sa responsabilité éditoriale, dans certaines
de ses rubriques ouvertes aux lecteurs (voir comme JURISCOM).
Ainsi, vous pouvez mettre en place un modérateur qui
supprimera, avant sa diffusion sur Internet, toute contribution susceptible d'engager
votre responsabilité civile ou pénale ou portant atteinte à la considération ou à
l'intimité de la vie privée d'un tiers.
Vous devez informer les utilisateurs de ces espaces de
discussion de leur finalité, qui peut exclure l'utilisation commerciale des mails des
utilisateurs, de leurs règles de fonctionnement et, lorsque tel est le cas, de
l'existence d'un modérateur intervenant préalablement à la diffusion des contributions
sur le site.
La durée de conservation des contributions diffusées sur le
réseau Internet ne doit pas dépasser celle de l'inscription du sujet de discussion
concerné dans l'espace de discussion. En outre, les personnes concernées peuvent
demander à tout moment la suppression des contributions nominativement diffusées dans le
cadre des espaces de discussion du site.
5. UTILISATION DES DONNEES REALTIVES AUX LES VISITES EFFECTUÉES PAR LES
UTILISATEURS
Les données relatives aux consultations effectuées par les
utilisateurs de votre site vous permettent de connaître la date, le moment de la
consultation et l'adresse Internet de l'ordinateur de chaque utilisateur de votre site,
grâce à ce qu'on appelle couramment les "logs".
La conservation de ces données (fichier des logs) peut vous
servir à établir des statistiques de consultation, qui vous permettront d'optimiser la
présentation de votre site ou l'intérêt que les différentes rubriques de votre site
peuvent susciter.
La durée de conservation des données de consultation doit
être proportionnée à la finalité du traitement de ces données qui est, en l'espèce,
l'établissement de statistiques.
Ces statistiques sont souvent établies quotidiennement ou de
façon hebdomadaire. En tout état de cause, la finalité de la conservation de ces
données ne justifie pas qu'elles soient conservées pendant une longue période.
La CNIL est hostile au recours, à l'insu des personnes, à des
procédés techniques, tels que les "cookies", qui sont des informations que les
sites enregistrent sur le disque dur de l'ordinateur d’un utilisateur. Cette
empreinte permet au site, lors de la prochaine connexion d’un utilisateur, de
repérer les précédentes consultations ainsi que le parcours de l’utilisateur sur
ce site (pages consultées).
Il convient, en tout état de cause, que les personnes soient
clairement et préalablement informées de l’existence de "cookies" et de
la durée de conservation de ces "empreintes" afin qu’elles soient en
mesures d’en refuser l’implantation dans leur ordinateur.
6. SI UN SOUS-TRAITANT RÉALISERA, HÉBERGERA OU GÉRERA VOTRE SITE
Si vous ne disposez pas du personnel, des compétences
techniques, du matériel ou du temps nécessaires à la réalisation de votre site, vous
allez recourir aux services d'une société spécialisée dans la technologie d'Internet.
Il vous faut veiller que le contrat que vous signez avec cette
société couvre entièrement et exclusivement les missions que vous lui assignez.
Vous pouvez simplement charger votre sous-traitant d'héberger
votre site sur ses matériels. Vous pouvez également lui demander de concevoir votre site
pour votre compte. Vous pouvez, enfin, le charger de gérer "le quotidien" de
votre site et notamment les relations du site avec les utilisateurs ou les problèmes de
sécurité dont votre site pourrait faire l'objet (intrusions, piratages, violation de
droits d'auteur, etc).
Votre sous-traitant, en tant que professionnel averti, a un
devoir d'information et de conseil à votre égard.
Même si les aspects techniques de la réalisation de votre site
vous échappent, il vous appartient de veiller à ce que le contrat conclu avec votre
sous-traitant l'engage à prendre toutes les mesures à sa disposition pour assurer la
sécurité informatique des données traitées sur le site, selon le vieil adage "en
l'état de l'art".
Ce contrat doit également prévoir que les personnels de votre
sous-traitant seront soumis à une obligation de confidentialité à l'égard des données
qu'ils sont amenés à connaître dans l'exercice de leurs missions. En effet, l'absence
de garantie du secret des correspondance transmises sur le réseau Internet ne vous
dispense en aucun cas de veiller à la confidentialité des données traitées sur votre
site, notamment lorsqu'il est hébergé chez votre sous-traitant.
Ces précisions visent toutes les catégories de données
personnelles, a fortiori lorsqu'il s'agit de données bancaires.
Si votre sous-traitant est chargé d'assurer au quotidien les
relations entre votre site et les utilisateurs, vous pourrez convenir qu'il répondra aux
demandes d'accès des utilisateurs aux informations qui les concernent.
Le contrat doit prévoir le sort qui sera réservé aux données
nominatives traitées dans le cadre de votre site.
Il est de votre intérêt de déterminer qui sera autorisé à
tirer profit de la valeur marchande des informations relatives aux utilisateurs de votre
site. Ainsi, il vous appartient de prévoir dans le contrat de sous-traitance :
- si vous souhaitez être le seul utilisateur de ces informations;
ou
- si vous autorisez votre sous-traitant à transmettre, louer, céder ou utiliser
pour son propre compte les données nominatives auxquelles il peut avoir connaissance dans
le cadre de ses missions.
Dans ce cas, vous devez impérativement en informer les
personnes et les inviter à faire part de leur accord ou de leur refus d'une telle
transmission, au moyen, par exemple, d'une case à cocher figurant aux côtés de la
mention d'information (voir supra, point II).
ANNEXE 1
Exemple de note d'information préalable adressée par le responsable
d'un site aux
personnes concernées par la diffusion d'informations nominatives qu'il
envisage de
réaliser sur son site.
EXEMPLE S.A,
Avenue de la…..
75000 PARIS
Madame, Monsieur,
Nous envisageons de diffuser prochainement sur notre site
Internet (http://www.exemple.fr) des
informations vous concernant dans le cadre de (site internet d'une collectivité
locale, d'une association, d'un groupement professionnel, d'une entreprise, etc...).
Ces informations sont les suivantes :
.…………………………………..
Vous êtes informé(e) des caractéristiques du réseau Internet que sont la
libre captation des informations diffusées et la difficulté, voire l'impossibilité de
contrôler l'utilisation qui pourrait être faite par des tiers de vos données
lorsqu'elles seront diffusées sur Internet.
Nous vous informons également que vous pouvez vous opposer à ce que nous
diffusions des données vous concernant sur Internet (art. 26 de la loi "Informatique
et Libertés" n° 78-17 du 6 janvier 1978).
Pour que nous puissions prendre en compte votre refus d'une telle diffusion,
contactez-nous.
En l'absence de réponse de votre part dans un délai d'un mois
à compter de la réception de cette lettre d'information préalable, votre accord sera
réputé acquis pour la diffusion sur Internet des données vous concernant. Vous pourrez
toutefois nous faire part ultérieurement, à tout moment, de votre souhait que la
diffusion de vos données sur Internet cesse. Cependant, nous dégageons toute
responsabilité quant à l'éventuelle détention par quiconque des informations qui
auront été diffusées sur Internet jusqu'à votre demande de suppression.
Nous vous rappelons que vous disposez d'un droit d'accès, de
modification, de rectification et de suppression des données qui vous concernent (art. 34
de la loi "Informatique et Libertés" n° 78-17 du 6 janvier 1978). Pour
exercer ce droit, adressez-vous à EXEMPLE.SA, avenue…
"
Je soussigné M.......... souhaite que les informations
suivantes me concernant ne soient pas diffusées sur Internet.
:....................................................................................................................................................
Date: Signature:
EXEMPLE SA
Adresse, tel et Email
ANNEXE 2
Exemple de formulaire de collecte d'informations
EXEMPLE S.A,
Avenue de
MIEUX VOUS CONNAÎTRE
La fourniture de ces renseignements est facultative
NOM : Mr ¨ Mme ¨
Prénom : Né(e) le
e-mail : Télécopieur :
Téléphone : Adresse :
Diplômes : Fonction :
C.S.P : Loisirs :
Célibataire¨ Vie en couple¨
Marié(e) ¨ Nbre d'enfants¨
Les informations qui vous concernent sont destinées à EXEMPLE. Nous pouvons
être amenés à les transmettre à des tiers. Si vous ne le souhaitez pas, cliquez ici
¨
Vous disposez d'un droit d'accès, de modification, de rectification et de
suppression des données qui vous concernent (art. 34 de la loi "Informatique et
Libertés" n° 78-17 du 6 janvier 1978). Pour l'exercer, adressez vous à EXEMPLE
S.A, avenue de…..
ENVOYER
Vous êtes informé(e) que le secret des correspondances
transmises sur le réseau Internet n'est pas garanti
EXEMPLE SA
Adresse, tel et Email |
