Ce que vous devez déclarer à la CNIL

14 septembre 2014
Les déclarations à faire à la CNIL

La CNIL, ou Commission nationale de l’informatique et des libertés, est en règle générale plutôt bien connue des entrepreneurs. On sait qu’elle existe et qu’elle est censée gérer les intérêts des internautes. Mais dans les faits, peu de patrons et responsables savent vraiment ce qu’il faut faire pour rester dans les clous. Voici un tour d’horizon rapide des principes de base à respecter, dont certains sont relativement nouveaux.

 

On croit souvent que la CNIL est née en même temps que l’Internet grand public, c’est-à-dire dans l’années 1990. Et bien c’est une erreur, puisque la création de la CNIL remonte précisément à l’année 1978. Son origine provient du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), qui visait à identifier et interconnecter chaque citoyen français de façon informatique. A l’époque, ce projet a rencontré de nombreux obstacles, l’opinion publique rapprochant SAFARI à un fichage pur et simple de tous les individus français. Face à l’inquiétude grandissante de la population, le gouvernement de l’époque décida de créer une autorité indépendante. La CNIL était née.

Mais la CNIL n’a vraiment pris d’ampleur qu’avec la démocratisation d’Internet. Avec ses sites web e-commerce, ses cookies, ses emails publicitaires, et ses réseaux sociaux, la toile est vite devenue un terrain facile d’accès pour les sociétés malintentionnées.

Mais alors, que fait la CNIL exactement pour protéger les internautes que nous sommes ? Elle fixe des règles, plus ou moins strictes, aux sociétés et aux personnes présentent sur le web. Celles-ci, listées sur son site, sont toutefois peu explicites pour les non-initiées.

 

Voici les règles principales à respecter pour ne pas s’attirer les foudres de la CNIL :

 

1. La déclaration du site web

Il s’agit de l’une des croyances les plus courantes. Non, il n’est plus nécessaire de déclarer votre site web à la CNIL, et ce, depuis 2006 ! Toutefois, si votre site web traite des données personnelles, alors il y a de fortes chances qu’il faille tout de même vous rapprocher de la CNIL. Sont exclus de cette obligation :

– Les sites de particuliers et les blogs (à vocation non-commerciale)

– Les sites institutionnels (à vocation non-commerciale)

– Les sites d’associations « loi 1901 »

Les autres sites web qui recueillent des données personnelles doivent donc être déclarés à la CNIL via cette page.

2. L’autorisation de la CNIL

Lorsque vous avez un fichier client, celui-ci contient forcément, selon la CNIL, « des risques particuliers d’atteinte aux droits et aux libertés ». Ils doivent donc être être soumis à l’autorisation de la CNIL. S’ils ne le sont pas, cela peut s’avérer dramatique dans certains cas, notamment si vous vendez votre fichier à d’autres entreprises. Celles-ci peuvent en effet faire jouer l’absence de déclaration CNIL en leur faveur pour vous demander une contrepartie financière ou vous trainer devant les tribunaux.

3. La sécurisation des fichiers de données

Cela va de soit, mais si vous avez un fichier client, celui-ci doit se trouver dans un environnement sécurisé. La CNIL exige que « le responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. »

Concrètement, cela veut dire que vous devez sauvegarder votre fichier sur un serveur sécurisé avec mot de passe. Si vous gérez des données sensibles, comme par exemple des dossiers médicaux, il faudra veiller à mettre un système de sécurisation plus poussé (double authentification par exemple).

4. La confidentialité des données

Votre fichier ne doit pas être accessible par tout le monde dans votre entreprise. Vous devez ainsi attribuer des droits spécifiques selon les employés amenés à utiliser le fichier.

5. L’information des personnes

Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d’exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des champs à remplir, les destinataires, l’existence de droits, ainsi que les transmissions envisagées. A noter qu’il faut, depuis peu, informer l’internaute si vous utilisez des cookies sur votre site web. Ceci doit se faire via un bandeau clairement visible par l’internaute. Un lien doit être incorporé dans ce bandeau, permettant à l’internaute d’en savoir plus sur les données récupérées par les cookies.

6. La durée de conservation et la finalité des traitement

Les données personnelles doivent absolument avoir une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier et en informe l’utilisateur final dans les conditions d’utilisation du service. Un fichier doit également  avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Par exemple, si vous vendez des ordinateurs, vous ne pouvez donc pas demander à vos clients et prospects leur taille ou leur poids.

 

Que se passe-t-il si je ne respecte pas ces règles ? Quels sont les risques encourus ?

Bien souvent, la CNIL vous demandera de corriger le ou les problèmes rencontrés. Si vous ne réagissez pas ou que les manquements constatés sont jugés sérieux, les sanctions peuvent aller de la simple amende jusqu’à la peine d’emprisonnement. Si cette dernière mesure est rarissime, elle reste toutefois prévue dans les textes de lois. Les amendes, quant à elles, sont généralement de l’ordre de quelques milliers d’euros, mais peuvent parfois monter bien plus haut. La CNIL publie d’ailleurs la liste des sanctions sur son site web. On y voit par exemple que Google a écopé d’une amende de 150 000 € en janvier 2014.
 

Est-ce que la CNIL surveille vraiment le web français ?

Oui, la CNIL surveille le web et reçoit quotidiennement plusieurs plaintes, qu’elle analyse individuellement. En 2012, la CNIL a notamment géré 6017 plaintes pour 458 contrôles. Elle a également envoyé 43 mises en demeure, 9 avertissements et a été à l’origine de 4 sanctions financières. Des chiffres qui peuvent sembler plutôt faibles mais qui vont certainement s’accroitre dans les prochaines années. La CNIL vient en effet de lancer une campagne visant à vérifier si les sites web utilisant des cookies affichent bel et bien le bandeau informatif.

 

La CNIL surveille-t-elle uniquement Internet ?

Non, la CNIL gère tout ce qui touche à l’informatique et aux libertés. La vidéosurveillance, par exemple, en fait partie. Si vous filmez vos employés ou vos clients, et que vous respectez pas les consignes de la CNIL, vous risquez une mise en demeure. C’est par exemple le cas d’Apple, qui filment dans certains magasins les postes de travail des employés.

 
 

Vous l’avez compris, si la CNIL cadre effectivement l’Internet français, elle ne se positionne pas non plus comme une gendarmerie particulièrement répressive. Les quelques règles citées ci-dessus devraient vous permettre de rester dans la légalité et de ne pas vous mettre dans le collimateur de la CNIL. Pour plus d’informations, consultez les contenus présents sur son site officiel.