Internet et données personnelles

Publié le 08/09/2009 Vu 9 289 fois 2
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Quelles sont les règles applicables aux sites Internet qui contiennent des données à caractère personnel au sens de la Loi Informatique et Libertés ? Un début de réponse.

Quelles sont les règles applicables aux sites Internet qui contiennent des données à caractère personnel a

Internet et données personnelles

ck

I – Internet et la Loi Informatique et Libertés (1978)

La Loi Informatique et Libertés a vocation à protéger les données personnelles informatisées des citoyens. Son article premier dispose : « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

Par donnée à caractère personnel, on entend toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification ou de plusieurs éléments qui lui sont propres (par exemple, initiales du nom et du prénom avec recoupement d’informations de ce type : date de naissance, commune de résidence, éléments biométriques etc.) C’est l’article 2 de cette loi qui nous donne cette définition.

Or diffuser des informations sur Internet, c’est rendre accessible à tous des données souvent privées ; se pose alors la question de la protection des données personnelles.

Il convient de toujours s’assurer, lorsque l’on est responsable d’un site Internet collectant et/ou diffusant des données personnelles, que l’ensemble des déclarations à la CNIL (Commission Nationale Informatique et Libertés) soient faites lorsqu’elles sont nécessaires, sous crainte, après mise en demeure (article 46), d’une sanction pécuniaire (article 47) pouvant aller jusqu’à 150 000€ (mais rarement prononcée dans les faits) et d’une poursuite pénale (articles 50 à 52). Pour vérifier si des démarches sont à effectuer pour votre site, il faut se rendre sur celui de la CNIL : www.cnil.fr

II – Gérer un site Internet contenant des données personnelles

Une première solution, pour éviter la diffusion large de données personnelles, est de limiter l’accès au site. C’est la solution la plus simple, surtout lorsque le site est destiné à un public restreint et défini. C’est la solution conseillée par la CNIL (Commission Nationale Informatique et Libertés) lorsque cela est possible (Guide pratique, Je monte un site internet, CNIL janvier 2006).

Mais généralement, il est impossible de retenir une telle solution. Alors, si le site recueille des informations personnelles, il faudra respecter certaines conditions.

La CNIL recommande « que l’accord des personnes soit recueilli préalablement à toute diffusion sur Internet de données les concernant mais vous pouvez aussi, avant cette diffusion, les informer que leur accord sera réputé tacitement acquis en l’absence de réponse de leur part au delà d’un certain délai (un mois, par exemple). Vous devez également informer les personnes concernées qu’elles pourront vous demander ultérieurement, à tout moment, de cesser la diffusion sur votre site des informations qui les concernent » (Guide pratique, Je monte un site Internet, CNIL, 2006).

III – Droit et obligations

Il faut ici préciser, que pour publier des informations relatives à des mineurs, le consentement exprès des parents est à obtenir. De plus et selon l’article 8 de la Loi Informatique et Libertés, les données faisant apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques, religieuses ou celles qui sont relatives à la santé ou à la vie sexuelle n’ont pas vocation à être diffusées sur Internet (Sec. 2 art. 8, I-II).

Le Chapitre 5 de la loi précise dans sa Section 1, les obligations qui incombent aux responsables de traitements, notamment celle d’informer les personnes concernées de leur droit d’accès, de modification et de suppression. La section 2 résume les droits dont jouissent les personnes qui font l’objet d’un traitement.

IV – La collecte sans diffusion de données à caractère personnel

Lorsque le site ne diffuse pas d’informations relatives à des personnes mais se contente d’en collecter, il faudra informer les personnes du caractère facultatif ou obligatoire des informations qu’elles fournissent, ainsi que de l’existence et des modalités d’exercice du droit dont elles disposent d’accéder aux informations qui les concernent, de les faire modifier, rectifier ou supprimer. Les personnes doivent également être en mesure de savoir à qui sont destinées les informations fournies. De plus, une durée de conservation des données doit être définie, sous peine de sanction. Cette durée, raisonnable, doit être déterminée en fonction de l’utilisation qui sera faite des données. Pour pouvoir transmettre les informations collectées à des tiers, il faut impérativement en informer les personnes concernées et obtenir leur accord.

V – La situation du forum de discussion

Si le site comporte un forum de discussion, il est préférable de garder un contrôle dessus pour éviter que votre responsabilité soit engagée à cause de son contenu. Par exemple, par une modération avant publication des messages. Les visiteurs doivent être informés de la finalité du forum, de leur interdiction de collecter dessus des données à des fins commerciales. Une fois encore, les personnes doivent être informées de leur droit d’accès, modification, suppression des contributions nominativement diffusées sur le forum.

VI – La possibilité de remplir un formulaire

Lorsque les utilisateurs du site ont la possibilité de remplir un formulaire, alors il faudra leur signifier le caractère facultatif ou obligatoire des informations recueillies, ainsi que la destination des informations qu’ils fournissent. Si vous souhaitez transmettre les informations recueillies à des tiers, il faut préalablement recueillir le consentement des personnes concernées, par exemple en les invitant à cocher une case figurant aux côtés des informations en question. Une fois encore, les informations doivent être conservées pendant une durée déterminée justifiée par la finalité de leur traitement. Cette durée peut être la durée d’un contrat ou, selon les recommandations de la CNIL (Guide pratique, Je monte mon site Internet, CNIL, 2006), un an maximum ou l’absence de réponse à deux sollicitations successives. Ainsi, les internautes bénéficient d’un « Droit à l’oubli ».

VII – Les règles relatives à la gestion d’un blog

Pour un blog, la CNIL dans un communiqué du 12 juin 2009 a précisé que le blogueur est tenu de s’identifier ou d’indiquer le nom de son hébergeur. Il doit prendre toutes les mesures pour permettre l’exercice du droit de réponse, et est soumis aux règles sur le droit d’auteur, le droit à l’image et la diffamation. La diffusion d’une œuvre nécessite l’accord de son auteur. Quant à la diffamation, elle pourra être poursuivie pénalement, même si l’auteur est mineur puisque celui-ci peut être tenu pénalement responsable s’il est capable de discernement (précisons qu’on distingue en droit l’injure de la diffamation). De plus, un établissement scolaire peut prendre une mesure disciplinaire contre un élève responsable d’une diffamation envers un professeur ou un élève. Enfin, les parents pourront être tenus solidairement responsables. Quant à la diffusion de photographies, il faudra obtenir le consentement écrit de la personne concernée ou de ses parents si celle-ci est mineure, même si en pratique c’est rarement le cas (voir Facebook, par exemple).

 

Corentin Kerhuel

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

1 Publié par Visiteur
26/10/2014 16:12

Ce document est intéressant, il m'a éclairé sur une partie de mes questions.Si j'ai bien compris la charte interdit le webmaster d'un établissement d’enseignement et/ou grande école à publier, par exemple, un cv (détaillé + photo) d'un fonctionnaire (une personne physique)sans son consentement.

2 Publié par diti
14/02/2016 08:44

Cette loi s'applique au traitement des données à caractère personnel.
je cherche sur le net le droit des utilisateurs de site web. je ne trouve rien qui concerne la limitation des exigences des sites.
je viens de m'inscrire sur un site qui rend obligatoire la visibilité par les autres utilisateurs de mes noms et adresse personnelle.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.