- Télécharger cet article au format PDF
- Imprimer cette page
- Envoyer cette page par email
- Réduire la taille du texte
- Augmenter la taille du texte
- Flux RSS
- Alerte par email
Le respect des données à caractère personnel sur un site web
La loi Informatique, fichiers et libertés s'applique sur les sites web comme ailleurs. Tout "traitement" de données à caractère personnel suppose le respect de cette loi.
Position de la question
Les données à caractère personnel, naguère appelées données nominatives des personnes physiques sont protégées par la loi Informatique, fichiers et libertés du 6 janvier 1978, refondue par la loi du 6 août 2004 pour prendre en compte les directives communautaires sur le sujet.
Certaines obligations imposées naguère par la CNIL ont été allégées à l'été 2006.
Cette loi comporte deux séries de règles :
- Des dispositions propres à tout type de collecte et traitement de données ;
- Des obligations en cas de traitement automatisé de ces données.
Dès lors que des données nominatives sont mises en œuvre sur un site Internet, la loi s'applique à ces deux niveaux :
- Respect des règles d'information des personnes fournissant des données les concernant par le biais du site ;
Les cas de figure possibles
Les formulaires d'inscription ou d'abonnement à une lettre d'information
Tout formulaire en ligne proposant à un visiteur du site de donner ses coordonnées constitue une collecte d'informations nominatives. Il convient donc de respecter les mentions de l'article 32 :
Mentions de l'art. 32
Toute personne donnant des informations la concernant doit être informée de :
1. Identité du responsable du traitement
2. Finalité des traitements
3. Caractère facultatif ou obligatoire de la réponse (sauf si déduit des faits ou de la loi)
4. Conséquences du défaut de réponse (sauf si déduit des faits ou de la loi)
5. Droits détenus par la personne fichée (notamment accès et rectification, lieu et conditions d'exercice de ceux-ci).
Les mentions 3 et 4 peuvent être élidées si elles se déduisent logiquement des faits (il est évident que quelqu'un qui ne renseignera pas son adresse postale ne pourra recevoir un dossier d'inscription par courrier !).
Le caractère facultatif ou obligatoire peut jouer champ par champ. Il est fréquent de trouver une astérisque en regard des champs obligatoires renvoyant à la mention d'obligation.
La destination des informations doit être clairement précisée.
Si les données doivent être transmises à des tiers extérieurs, il faut le préciser à ce moment.
Si les données doivent faire l'objet d'un annuaire, le préciser à ce moment et mentionner quel type d'annuaire, sur quel support, pour quelle diffusion (cf. ci-dessous).
Respect de l'art. 8 — données sensibles
L'article 8 interdit formellement tout collecte d'informations qui « directement ou indirectement » feraient apparaître :
- les origines raciales ou
- les opinions politiques,
- philosophiques,
- religieuses,
- les appartenances syndicales,
- la « vie sexuelle » et la santé des personnes.
Ensemble connu sous le nom de données sensibles.
L'accord écrit et signé de l'intéressé permet de passer outre à cette interdiction, ainsi que le fait que la personne ait elle-même rendue publique l'une de ces informations sensibles.
Les annuaires
La mise en ligne d'un annuaire déjà existant sur le papier est considérée comme une nouvelle publication infiniment plus lourde de conséquences que la version papier. Les données peuvent se trouver directement accessibles en tout point du monde. Si l'annuaire est disponible en zone réservée en interne (intranet ou extranet), la situation est différente.
Les images des personnes
Les images des personnes, quel qu'en soit le support (photo, dessin, peinture...) constituent des données à caractère personnel en ce sens que la personne est identifiable.
Les prescriptions de la loi s'appliquent donc dès qu'un simple photo apparaît sur un site, notamment déclaration du site à la CNIL, alors même qu'aucune autre donnée identifiable ne serait présente.
En outre, le droit de l'image s'applique (cf. notre fiche sur le sujet).
La suppression de la déclaration du site à la CNIL
Le 10 juillet 2006, la CNIL a décidé de supprimer purement et simplement l'obligation de délcarer un site qui met en œuvre des données à caractère personnel. Elle avait déjà abrogé la norme simplifiée n° 15 concernant l'envoi d'informations, le 9 mai 2006.
Cf. sur ce sujet notre fiche sur la loi Informatique, fichiers et libertés.
|cc| Didier Frochot — décembre 2005 — novembre 2006
<< La question juridique des liens hypertextes | Sommaire | Développement de sites web : les bonnes pratiques juridiques et professionnelles >>