Récolter et utiliser des données personnelles sur internet demande un encadrement très strict. Depuis 2018, la CNIL (Commission Nationale de l’Informatique et des Libertés) a mis en place un règlement sur la protection des données personnelles, que l’on appelle le RGPD, qui encadre l’utilisation des données d’un visiteur d’un site e-commerce.
C’est suite à de nombreuses plaintes concernant des fuites de données personnelles que la CNIL a décidé de renforcer ses contrôles.
Quelle est la définition du RGPD exactement ?
Il est tout d’abord important d’expliquer le sigle et la définition du RGPD. Ce dernier signifie Règlement Général sur la Protection des données, il va encadrer le traitement des données personnelles sur internet et pour toutes les nouvelles technologies. Ce règlement s’appliquera sur tout le territoire de l’Union européenne. En 1978, une loi appelée « Loi française Informatique et Libertés » a déjà été mise en place pour traiter les différentes données d’un citoyen français.
Avec le RGPD, le cadre juridique est unique pour les professionnels dans l’Union Européenne.
Les évolutions de la CNIL en matière de protection des données personnelles
Quand un utilisateur achète sur internet, il accepte de renseigner plusieurs informations personnelles. Cependant, les juristes ont planché sur la question et ont mis en place le consentement explicite du visiteur.
Le but d’un commerce en ligne est d’accompagner le client jusqu’à ce qu’il obtienne entière satisfaction tout en donnant de façon consentante ses données personnelles à distance. Ce qui peut s’avérer compliqué quand on ne voit pas physiquement la personne qui possède le commerce. C’est pour cela qu’en matière de profilage des utilisateurs, la CNIL a fixé une doctrine d’interprétation aux entreprises pour les cookies et les publicités ciblées. Avec cette doctrine datant d’octobre 2020, la CNIL a donné 6 mois aux entreprises pour prouver leur conformité.
Désormais, le consentement des utilisateurs ne doit pas s’exprimer de façon passive, mais doit être un acte « positif clair ». C’est par exemple le cas, avec l’affichage des bannières se trouvant généralement en bas de la page d’accueil d’un site. L’utilisateur doit alors cliquer sur un bouton « accepter » s’il est d’accord pour communiquer ses données personnelles. Il lui sera également possible de refuser ce transfert de données. La bannière de consentement doit être mise en place de façon à ce qu’il doit être aussi facile pour l’internaute d’accepter ou de refuser la communication de ses informations.
De plus, pour donner son consentement, l’utilisateur doit être informé de la raison pour laquelle ses données sont récoltées et quels sont les acteurs (responsables du traitement de données).
Cependant, il faut savoir que certains traceurs sont exclus de cette obligation comme :
- Les traceurs d’authentification auprès d’un service
- Les traceurs permettant de garder en mémoire un panier d’achat
- Les traceurs liés aux statistiques de fréquentation
- Les traceurs permettant de limiter l’accès gratuit à du contenu sur des sites payants.
En cas de manquement à ses recommandations et en cas d’atteinte particulièrement grave au droit au respect de la vie privée, la CNIL se réserve le droit de poursuivre les entreprises.
En mai 2021, la CNIL a déjà envoyé une mise en demeure à une vingtaine de sociétés, de l’économie numérique principalement
Des contrôles renforcés sur la sécurité des données personnelles
C’est en mars 2021 que la CNIL a décidé d’augmenter ses contrôles en termes de sécurité technique des données personnelles récoltées par les entreprises. Son objectif est de limiter le plus possible les risques de fuite. Les contrôles de la CNIL vont donc commencer en s’assurant que la sécurité des sites web est respectée grâce au protocole HTTPS.
La CNIL a indiqué que « l’attention sera portée plus particulièrement sur les formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe ».
Un contrôle plus spécifique sera effectué concernant les données de santé des utilisateurs pour éviter toutes fuites de données sensibles (dossier du patient, date de rendez-vous, prescription,…).