La norme simplifié NS-48 de la CNIL pour les sites E-commerce et ses engagements.
Les sites web dispensés de formalité déclarative :
Certaines catégories de sites internet ont purement et simplement été dispensées de toute déclaration auprès de la Cnil :
- Les sites personnels ou blogs : une délibération de la Cnil n°2005-284 du 22 novembre 2005 a décidé de la « dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d'une activité exclusivement personnelle » (dispense n°6). Par une interprétation a contrario de cette délibération, il est possible de déduire que la diffusion et la collecte de données à caractère personnel opérée à partir d'un site web dans le cadre d'activités professionnelles, politiques, ou associatives demeurent soumises à l'accomplissement des formalités préalables prévues par la loi.
- Les sites vitrines : Par une délibération n°2006-138 du 9 mai 2006, la Cnil a décidé que seraient dispensés de déclaration les traitements constitués à des fins d'information ou de communication externe. Ainsi, bénéficient de cette dispense les sites des organismes publics ou privés collectant ou diffusant des données personnelles dans un but de communication ou d'information, dits les sites vitrines. Cette dispense est toutefois subordonnée à l'accomplissement d'un certain nombre de conditions.
- Les sites des associations : en vertu de la délibération n°2006-130 du 9 mai 2006, sont dispensés de déclaration les traitements relatifs à la gestion des membres et donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901. Ainsi, les fichiers de membres et donateurs d'associations sont dispensés de déclaration. Cette dispense est subordonnée au respect de plusieurs conditions. Toutefois, elle ne s'applique pas aux traitements mis en œuvre par une association ou tout autre organisme à but non lucratif, à caractère religieux, philosophique, politique ou syndical
Les sites soumis à une déclaration simplifiée :
Les sites commerciaux de vente de biens ou de services : La norme simplifiée n°48, résultant de la délibération n°2005-112 du 7 juin 2005 simplifiant la déclaration des fichiers de clients et de prospects, a été étendue à l'internet. Ainsi, les sites web collectant des données auprès de clients et prospects peuvent faire l'objet d'une simple déclaration simplifiée.
Explications de la norme simplifiée NS-48 :
La norme simplifiée 48 (qui remplace les normes 11, 17 et 25) concerne les traitements qui ont pour objet la gestion, au sein d'un organisme public ou privé, des fichiers de clients et/ou de prospects. Cette norme ne peut pas être utilisée par les professionnels des secteurs d’activité suivants : Santé, éducation, banque, et assurance.
Elle s’applique aux traitements permettant les opérations relatives à la gestion des clients (contrats, commandes, livraisons, factures, comptes clients et comptes fidélité), à la prospection (constitution et gestion d’un fichier de prospects), à la cession, la location ou l’échange du fichier clients et de prospects, à l’élaboration de statistiques commerciales et à l’envoi de sollicitations. Les données enregistrées sont relatives à l’identité du client, aux moyens de paiement utilisés, à sa situation familiale, économique et financière, à la relation commerciale et aux règlements des factures. La collecte du numéro de sécurité sociale (ou NIR) est exclue.
Les données peuvent, sous certaines conditions, être transférées hors de l’union européenne sous certaines conditions. Les données clients ne peuvent être conservées au delà de la relation commerciale (sauf en cas de nécessité d’établir la preuve d’un droit ou d’un contrat qui peuvent être archivées conformément aux dispositions du code du commerce, en l’occurrence 10 ans).
Les données prospects ne sont conservées que pour la durée nécessaire à la réalisation des opérations de prospection (durée préconisée : 1 an maximum après le dernier contact ou sans réponse après deux sollicitations successives). Les personnes concernées sont informées, lors de la collecte des informations, des droits d’accès, de rectification ou d’opposition qui leur sont reconnus par la loi du 6 janvier 1978 modifiée.
Les engagements pris par le signataire quand il signe la norme
Le responsable des traitements de tels sites s'engage à respecter les obligations contenues dans la norme pour bénéficier de la procédure de déclaration simplifiée. Et notamment le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
En cas d'utilisation d’un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre tout accès non autorisé au système de traitement automatisé de données.
Lorsqu’un moyen de paiement à distance est utilisé, le responsable de traitement doit prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l’état de l’art et à la réglementation applicable.
Pour toutes informations complémentaires, n’hésitez pas à aller sur le site de la CNIL : http://www.cnil.fr/.