Protection des données et l’e-commerce

De nombreuses et diverses transactions sont effectuées quotidiennement au niveau du commerce électronique : et pour cela, plateformes et fournisseurs ont bien souvent besoin de données personnelles de la part de leurs clients. Mais de nombreux utilisateurs s’inquiètent cependant de l’utilisation et de la divulgation des données personnelles et à raison : bien trop souvent, des données sensibles sont utilisées de manière abusive et illégalement à des buts publicitaires et sont même parfois revendues à des tiers. Dans l’intérêt des clients et des consommateurs, et afin d’éviter des conséquences juridiques, les entrepreneurs doivent donc se préoccuper de la protection des données. Connaitre la légalisation est cruciale pour ne pas négliger ou violer la loi et ainsi éviter de fortes amendes.

Le but de la protection des données

En tant qu’entrepreneur, vous devez respecter plusieurs critères et règles qui se trouvent notamment dans la loi relative à l’informatique, aux fichiers et aux libertés. Cette dernière date de 1978 et a été modifiée en 2004 pour mieux se conformer au droit européen. Le respect des règles de protection des données est valable aussi bien pour les institutions publiques que non publiques. Le but de cette réglementation est de permettre aux personnes de garder la maitrise des informations les concernant et de garantir un nombre de droits.

Les données personnelles : définition et cadre

Les données personnelles correspondent donc selon l’article 2 de cette loi à toute « information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Ces données sont protégées par divers instruments juridiques. Ainsi l’on peut distinguer deux types de données :

Données directement identifiantes

Données indirectement identifiantes

·         Nom

·         Prénom

·         Adresse complète

·         Email nominatif

·         Photo

·         Identifiant de compte

·         Numéro de sécurité sociale

·         Numéro de plaque d‘immatriculation

·         Adresse IP

·         Données fiscales

Data protection in California

Les données personnelles constituent donc des informations qui peuvent être liées à une personne précise, le nom étant évidemment le critère d’identification décisif. Les données non personnelles directement (par exemple le sexe) sont en revanche collectées de manière anonyme et ne sont pas et ne doivent pas être utilisés pour identifier spécifiquement une personne. Cependant ces données que l’on peut considérer comme anonymes peuvent néanmoins constituer des données personnelles si par regroupement elles permettent indirectement d’identifier une personne. En tant qu’entrepreneur, ce type de données peut être utilisé pour réaliser des statistiques notamment.

Dans le domaine du commerce en ligne, on parle généralement moins de données personnelles mais plutôt de données d’utilisation qui sont collectés notamment sur le Web comme les boutiques en ligne, les emails publicitaires ou encore les moteurs de recherche sur Internet.

En France, c’est la Cnil (Commission nationale de l’informatique et des libertés) qui veille au respect des libertés individuelles ou publiques au niveau de l’informatique, ce qui englobe bien évidemment la question de la réglementation sur la protection des données personnelles et l’e-commerce. Il est en effet obligatoire pour toutes les entreprises de déclarer à la Cnil ses fichiers clients et prospects et parfois même de demander des autorisations afin de collecter des données. Cette démarche de déclaration de fichier peut être réalisée simplement en ligne. La législation sur la protection des données est bien sur liée au Web et à l’informatique, puisque ces domaines sont relativement récents, la réglementation a tendance à évoluer rapidement et cela aussi bien via des règles nationales que via des jugements européens ou internationaux.

L’adresse IP dynamique est-elle une donnée personnelle ?

Comme nous l’avons mentionné plus haut, en fonction de la nature des données et de la finalité de la collecte, il est important soit de déclarer vos fichiers ou bien de demander une autorisation à la Cnil. Ce principe est similaire lorsqu’on aborde le sujet de l’adresse IP. Mais tout dépend bien évidemment si l’on qualifie une adresse IP de donnée personnelle ou non.

En France, le débat fut assez long et parfois contradictoire. En effet la Cnil considère depuis longtemps l’adresse IP comme une donnée personnelle, mais la position des juges français a souvent été assez divergente. La CJUE (Cour de justice de l’Union européenne) a rendu deux jugements faisant date au niveau du droit européen. D’abord en novembre 2011, avec le cas Scarlet Extended ou le tribunal a acté que l’adresse IP statique était bien une donnée personnelle.

Puis avec le célèbre cas Breyer du 19 octobre 2016 qui fait date dans ce débat et qui a finalement permis à la cour Européenne de se prononcer sur le cas de la collecte des adresses IP dynamiques. En Allemagne, Patrick Breyer, chef du parti Pirate avait lancé un débat sur l’utilisation abusive des données personnelles lors du stockage d’adresses IP dynamiques permettant un suivi sans le consentement explicite de l’utilisateur. En octobre 2016, la Cour de justice Européenne a décidé que les adresses IP dynamiques pouvaient être considérées comme des données à caractère personnel. Et cela même avec les adresses IP dynamiques, où la séquence de chiffres change à chaque nouvelle connexion Internet, car le fournisseur peut utiliser des informations supplémentaires pour identifier la personne concernée. Toutefois, les IP dynamiques ne sont considérées comme données personnelles que si des informations supplémentaires sont alors utilisées.

Cependant, le processus n’est pas complètement achevé, cette décision permet toujours aux exploitants de sites Web de stocker les adresses IP dynamiques pour leur propre protection. La justice française doit encore examiner si les exploitants de sites Web disposent des moyens légaux d’accéder aux informations complémentaires nécessaires à l’identification d’une personne.

Ainsi, l’adresse IP statique ou dynamique est tout de même bien considérée comme une donnée personnelle. Ainsi sa collecte nécessite une déclaration et dans certains cas une autorisation à la CNIL. Généralement c’est alors la norme 48 simplifiée « Gestion des Fichiers et Prospects » dans la version actualisée de 2016 qui correspond le mieux à une activité d’e-commerce.

Le principe de collecte des données personnelles

Les exploitants de boutiques en ligne ont bien évidemment besoin des données personnelles de leurs clients afin d’effectuer correctement un processus de commande. Mais au niveau du marketing en ligne, l’analyse des données est particulièrement appréciée, en effet la publicité et le placement de produits peuvent être précisément adaptés aux besoins des utilisateurs à l’aide des données correspondantes. Cependant, cette pratique est bien évidemment encadrée. Avant d’utiliser les données existantes et celles des utilisateurs ou clients, vous devez soigneusement vérifier si cela est autorisé par la loi et en conformité avec la Cnil. En tant qu’entrepreneur il est important de prêter attention aux points suivants :

La finalité

Avant toute collecte et utilisation de données personnelles, un responsable d’un site Web doit annoncer de manière précise aux clients ou aux utilisateurs concernés à quoi elles vont lui servir. Ces objectifs doivent respecter les droits et libertés des individus, l’article 6 de la loi « Informatique et Libertés » précise notamment que les données personnelles sont « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Ainsi un objectif doit être défini et vous ne pouvez ensuite utiliser votre fichier pour tout autre objectif que celui défini initialement. L’objectif doit être compréhensible et clair comme par exemple une enquête de satisfaction, une gestion de la clientèle, une gestion de recrutement etc…

La pertinence

Dès que la finalité est définie, il faut faire attention à la pertinence des données et des informations collectées. Il s’agit en effet de collecter uniquement ce dont vous avez besoin en fonction de la finalité définie. Par exemple demander le numéro de sécurité sociale dans la cadre de la gestion de la clientèle pour un magasin en ligne de décoration est tout à fait inapproprié et non pertinent.

Enfin il est important de noter qu’il existe en France des données dites « sensibles » comme les informations qui révèlent les origines ethniques, opinions religieuse ou politiques, la vie sexuelle et la santé d’une personne. La collecte de ces données est strictement interdite sauf pour de très rares cas et uniquement via une autorisation de la Cnil.

Les droits des personnes

Toutes les personnes concernées par la collecte de données personnelles ont des droits afin de garder la maitrise de leurs données. Il existe tout d’abord le droit à l’information, toute collecte doit s’accompagner d’une information précise et claire concernant l’identité du responsable du fichier ; la finalité de ce dernier ; les destinataires des données ; le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ; leurs droits (droit d’accès, de rectification, et d’opposition). L’information est bien évidemment préalable à la collecte des données tout comme le recueil du consentement (nécessaire pour l’utilisation de cookies, en cas de collecte de données sensibles, ou d’utilisation des informations à des fins de prospection commerciale). Il existe enfin le droit d’opposition, les droits d’accès et de rectification. En effet toute personne peut s’opposer pour des motifs légitimes au traitement de ses données. Enfin vous êtes également tenu d’informer si vous souhaitez stocker des données en dehors de l'UE.

Conseil

Il est recommandé de créer pour vos clients une déclaration et politique de confidentialité distincte. Veillez cependant à ce qu’elle fasse référence à toutes les informations d’utilisation des données clients.

La conservation et la sécurité

Dès que l’objectif de la collecte des données est atteint, il n’est alors pas nécessaire de conserver les données et il est donc recommandé de les supprimer. C’est pourquoi il est bon de définir au préalable une durée de conservation des données et des informations. Concernant l’e-commerce par exemples les coordonnées bancaires du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement. Ou bien encore les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.  

Enfin tout responsable de fichier doit garantir la sécurité des données et doit prendre toutes les mesures nécessaires pour sécuriser les données collectées. Pour cela il est important d’évaluer le niveau de sécurité et de réaliser si nécessaire une étude des risques. C’est encore la loi « Informatique et libertés » dans l’article 34 qui dit justement que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Règles de protection des données pour la création de profil utilisateur

La création de profils utilisateurs est aujourd’hui une procédure populaire au niveau du marketing en ligne afin notamment de pouvoir utiliser les habitudes d’utilisation du client acquises grâce à l’analyse Web. Dans ce contexte les cas d’abus de données sont devenus, ces dernières années, de plus en plus connus. Ce qui pousse désormais à un renforcement de la loi.

Comme le terme l'indique déjà, ce type de profil est basé sur le traitement des données personnelles, que vous ne pouvez toutefois collecter qu'avec le consentement explicite de l'utilisateur. Ici aussi, vous devez respecter le principe de transparence: vous devez donc informer le client des données collectées et de la manière dont elles sont traitées avant que le client ne puisse les saisir. En outre, le consentement de l'utilisateur doit être donné séparément et activement, par exemple au moyen d'un transfert de données personnelles. En cochant la case correspondante dans un formulaire (principe du double opt-in). Bien entendu, il a également le droit de rappeler ou de révoquer à tout moment le contenu de son consentement.

Google Analytics et la protection des données

L’outil d’analyse de sites Web Google Analytics est très controversé en ce qui concerne la protection des données. L’outil gratuit de Google fournit des informations sur l’origine des visiteurs, le temps passé sur les sites Web et les pages fréquemment visitées. Les données personnelles comme l’adresse IP, le type de navigateur, la date et l’heure d‘accès au site Web sont à la fois collectées sans l’accord préalable de l’utilisateur mais aussi stockées par Google. Cela permet au géant américain de créer un profil utilisateur complet qui peut être attribué à une personne spécifique. La législation sur la protection des données aux Etats-Unis est moins stricte qu’en Europe. Le recours aux outils de mesures d’audience peut donc être problématique.

La Cnil propose donc deux solutions pour pouvoir rester en conformité :

  • Utiliser un outil dispensé de consentement. Pour cela les outils doivent respecter plusieurs conditions notamment concernant les cookies. Un cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autre sites et doit servir uniquement à la production de statistiques anonymes et ils doivent comme les adresses IP ne pas être conservés au-delà de 13 mois. Pour retrouver l’ensemble des conditions vous pouvez consulter sur ce sujet la page Web de la Cnil.
  • Recueillir le consentement de l’internaute lors de l’utilisation d’outil non conforme. De plus si vous utilisez Google Analytics ou Universal Analytics, il est nécessaire de mettre à jour votre page Web en y insérant un script pour bloquer les cookies tant que le consentement utilisateur n’a pas été obtenu.

Enfin sachez qu’il existe aussi des outils qui peuvent bénéficier de l’exemption et qui peuvent être utilisés en tout conformité comme Piwik ou Chartbeat ou encore AT Internet pour vos analyses Web. 

Sanctions pour non-respect de la réglementation sur la protection des données

Ici encore c’est la loi « Informatique et libertés » qui encadre les sanctions. Ces dernières ne peuvent excéder 150.000 euros pour un premier manquement. Pour une récidive le montant pouvait monter jusqu’à 300 000 euros ou bien 5 pourcent du chiffre d’affaires hors taxes. Cependant la récente loi sur le numérique d’octobre 2016 a renforcé le pouvoir de sanction de la Cnil et a augmenté le plafond des sanctions qui peuvent désormais atteindre 3 millions d’euros.

Enfin pour conclure notre article, il est important de préciser qu’un nouveau texte de référence européen en matière de protection des données personnelles a été adopté par le Parlement européen en avril 2016. Il s’agit du règlement 2016/679 ou RGPD (règlement général sur la protection des données). Ses dispositions seront normalement applicables en France qu’à compter de mai 2018. Ce texte prévoit la mise en place de sanctions très dissuasives (jusqu’à 20 millions d’euros). S’ajoute aussi aux sanctions administratives, des sanctions pénales avec des peines qui peuvent aller jusqu’à 5 ans d’emprisonnement.

Il est donc essentiel d’anticiper cette entrée en vigueur et de se conformer aux directives de la Cnil et de mettre en place les mesures préconisées par le RGPD.