Dans une ère où plus de 85% des internautes français effectuent des achats en ligne (d’après le rapport annuel de la fédération du e-commerce et de la vente à distance), de nombreux consommateurs ne savent pas que lorsqu’ils effectuent leurs achats, des données personnelles sont collectées. Or, bien que cette collecte soit nécessaire, les professionnels doivent mettre certaines actions en place afin de se mettre en conformité avec le règlement général sur la protection des données (ci-après « RGPD »). 

 

Mais qu’est-ce qu’une donnée personnelle ? 

 

Les données personnelles sont toutes les informations qui permettent d’identifier un individu. 

 

Concrètement il peut s’agir du nom, prénom d’une personne, on dit alors que la personne est identifiée. 

 

Mais il peut aussi s’agir d’un numéro de téléphone, une adresse, un numéro de sécurité sociale, ici la personne est identifiable. 

 

L’identification de la personne peut également avoir lieu grâce au croisement de plusieurs données. Dans un communiqué, la Cnil nous donne l’exemple d’« une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association ». 

 

Lors d’un achat en ligne, une société est amenée à collecter un certain nombre de données.  

 

A titre d’exemple, une célèbre enseigne spécialisée dans la fabrication d’articles de sport, indique dans sa déclaration de confidentialité collecter toutes les informations qui peuvent être utilisées pour contacter leurs clients et prospects. 

 

Classiquement, on trouve les coordonnés (nom, prénom, téléphone, adresse postale, adresse mail, etc.) mais également les identifiants Messenger, le pseudo sur les réseaux sociaux ou les mensurations, etc. 

 

Pour pouvoir collecter toutes ces données et être en conformité avec le RGPD, certaines actions doivent être mises en place. 

 

Quelles actions mettre en place afin de se mettre en conformité avec le RGPD ? 

 

• Les mentions légales 

 

Les mentions légales sont des mentions obligatoires à porter à la connaissance de l’internaute (prévues par la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, ci-après « LCEN »). Ces mentions permettent d’identifier le responsable et l’hébergeur du site internet. Cette exigence concerne aussi bien les sites professionnels que les sites non professionnels (par exemple un blog). 

 

Selon le type d’activité, les mentions obligatoires exigées varient. Par exemple pour une société qui exerce une activité commerciale, l’article 6 de la LCEN indique que doit apparaitre :

 

- la dénomination ou raison sociale de la société ;

- le numéro d’inscription au registre du commerce et des sociétés et le numéro individuel d’identification fiscale ;

- l’adresse du siège social ;

- le numéro de téléphone ;

- l’adresse de courrier électronique de la société ;

- sa forme sociale ;

- le montant du capital social ;

- le nom du directeur de la publication (et s’il existe celui du responsable de rédaction) ;

- la dénomination, l’adresse et le numéro de téléphone de l’hébergeur du site internet.

 

Pour un site non professionnel, tel qu’un blog, il arrive parfois que le particulier ne souhaite pas divulguer son identité, dans ce cas de figure les seules mentions obligatoires qu’on doit retrouver sur le site sont : le nom, la dénomination ou raison sociale ainsi que l’adresse et le numéro de téléphone de l’hébergeur du site internet. 

 

Le site officiel de l’administration française énumère toutes les mentions obligatoires qui doivent figurer en fonction du type d’activité sur le site internet. 

 

• La politique de confidentialité 

 

La politique de confidentialité a pour but d’informer une personne sur la collecte et le traitement de ses données personnelles, afin de répondre aux exigences de l’article 13 du RGPD. 

 

Dans cette politique figure notamment la nature des données collectées, la finalité du traitement des données, les fondements juridiques du traitement, les destinataires des données personnelles, la durée de conservation des données, les droits qui sont reconnus à la personne concernée, l’existence d’un transfert en dehors de l’Union européenne, etc. 

 

• Les conditions générales de vente (ci-après « CGV ») et les conditions générales d’utilisation (ci-après « CGU »)

 

Plus connu sous le terme de CGV et CGU, il s’agit de deux documents obligatoires qui ont respectivement pour but de régir la relation commerciale entre un professionnel et un client et de renseigner sur les modalités d’utilisation du site internet. 

 

Les conditions générales de vente sont destinées au client du site internet. Ces conditions sont considérées comme acceptées par le client particulier par un simple clic (il peut s’agir d’une case à cocher). S’il s’agit d’un client professionnel, il n’est pas nécessaire qu’il ait accepté. Ces CGV doivent cependant être communiquées aux clients sur un support durable tel qu’un mail ou un PDF. 

 

En pratique, pour pouvoir se prévaloir des CGV lors d’une vente en ligne, une mention claire et lisible à cocher obligatoirement pour valider la commande figure, généralement, juste avant le bouton de confirmation du paiement. Lorsque la case prévue à cet effet n’est pas cochée, la commande ne doit pas pouvoir être validée. 

 

Les conditions générales d’utilisation sont destinées à toutes personnes qui peut se rendre sur le site internet. Ces conditions peuvent être acceptées par l’utilisateur lors de sa première visite sur le site. 

 

Ces CGU ont pour but de présenter et de fixer les conditions d’utilisation du site internet. On y retrouve, notamment, les conditions d’utilisation de la plateforme, les règles de responsabilité et de propriété intellectuelle des contenus. 

 

• Les cookies 

 

Lorsque, nous nous rendons sur un site internet, il est presque systématique de voir apparaitre un bandeau cookies qui nous informe des cookies qui seront déposés sur notre terminal en poursuivant notre navigation sur le site. 

 

Le dépôt et l’utilisation de cookies doit respecter un certain nombre de règles que vous pouvez retrouver dans cet article : https://www.dcavocat.com/cookies. 

 

• Les mentions d’informations

 

Sous chaque formulaire de collecte de données sur le site, par exemple le formulaire contact ou encore le formulaire d’inscription au site ou à la newsletter, doit se trouver des mentions d’informations correspondant aux informations à communiquer à la personne concernée avant de pouvoir collecter ses données. 

 

Il s’agit des informations listées à l’article 13 du RGPD, dans un format court et compréhensible, qui renvoi ensuite vers la politique de confidentialité, dans laquelle ces informations sont détaillées. 

 

• La sécurité des données

 

Le responsable du traitement (généralement le titulaire du site) doit s’assurer que les données collectées à partir du site internet sont protégées, en mettant en place toutes les mesures de sécurité nécessaires, au regard de l’article 32 du RGPD.

 

Concrètement on risque quoi ? 

 

• L’exemple de la société Spartoo 

 

Dans une délibération SAN-2020-003 rendue le 28 juillet 2020 la Cnil a prononcé à l’égard de la société Spartoo une sanction de 250 000 euros et elle a enjoint la société de se mettre en conformité avec le RGPD sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard.

 

La Cnil a considéré que la société Spartoo manquait à plusieurs obligations prévues par le RGPD et énoncées ci-dessus, à savoir : 

 

• Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)

 

Le principe de minimisation vise à limiter la collecte et le traitement de données à ce qui est strictement nécessaire au regard de la finalité des traitements.

 

La Cnil a constaté que la société Spartoo a manqué à ce principe puisque tous les appels reçus par le service client étaient enregistrés, et non pas seulement les appels nécessaires à atteindre l’objectif dudit enregistrement (par exemple, la gestion d’un problème)

 

De plus, les données bancaires des clients lorsque les commandes étaient passées par téléphone était également conservées, alors même que la commande était terminée. 

 

Il a également été constaté qu’en Italie, la copie de la « carte de santé » des clients était demandée systématiquement (communiqué de la Cnil en date du 05 aout 2020). 

 

• Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

 

Le principe de conservation limitée des données à caractère personnel impose que les organismes fixent une durée de conservation des données, laquelle ne doit pas excéder la durée nécessaire pour atteindre la finalité pour laquelle les données sont collectées.

 

Dans un communiqué en date du 28 juillet 2020, la Cnil rappelle que « les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données. »

 

Lors du contrôle de la Cnil, il a été constaté que la société Spartoo ne prévoyait aucune durée de conservation des données personnelles de ses clients et prospects. Les données de 3 millions de clients étaient conservées alors qu’il ne s’était pas connecté depuis plus de 5 ans à leur compte. 

 

• Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

 

Un certain nombre d’informations doivent être communiquées à la personne concernée lors de la collecte de ses données personnelles. 

 

En pratique ces informations se trouvent succinctement en dessous de chaque formulaire de collecte de données à caractère personnelle, et de manière détaillée dans une politique de confidentialité accessible sur le site internet. 

 

La Cnil a reproché à la société Spartoo de ne pas avoir informé sa clientèle que leurs données personnelles étaient transférées vers Madagascar (qui est un pays tiers car en dehors de l’Union européenne) dans le cadre des appels téléphoniques qu’ils étaient amenés à passer. 

 

La société Spartoo disposait bien d’une politique de confidentialité, mais cette dernière était incomplète car, notamment, ne divulguant pas cette information. 

 

De plus, la société affirmait que les divers traitements qu’elle était amenée a effectuer étaient fondés sur le consentement des personnes concernées. 

 

Cependant, chaque traitement mis en œuvre correspond à une base légale (qui n’est pas nécessairement le consentement). Or ces différentes bases légales ne figuraient pas dans la politique de confidentialité. 

 

Par ailleurs, l’information des personnes ne concernent pas que les tiers à la société mais concerne également les salariés de la société, qui doivent avoir été informé en interne, dans leur contrat de travail (ou un avenant à ce contrat) de l’existence d’un traitement de leurs données personnelles ainsi que des finalités, et en tout état de cause, de toutes les informations indiquées à l’article 13 du RGPD.

 

Il a été reproché à la société Spartoo de ne pas avoir informé individuellement ses salariés de l’enregistrement de leurs appels téléphoniques. 

 

• Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

 

La Cnil a reproché à la société Spartoo ne pas avoir imposé à sa clientèle l’utilisation de mots de passe « robustes » (communiqué de la Cnil en date du 05 aout 2020). 

 

Les personnes qui souhaitaient créée un compte sur le site Spartoo « pouvaient créer un mot de passe composé de six caractères comportant une seule catégorie de caractères. »

 

Or, la Cnil estime que « des mots de passe, composés de six ou huit caractères, sans critère de complexité, ne sont pas suffisamment robustes et ne permettent pas d’assurer la sécurité des données traitées par la société. »

 

En pratique, on constate que pour qu’un mot de passe soit robuste, selon la Cnil, il doit être composé : 

 

- au minimum de douze caractères (lettre majuscule et minuscule, chiffre et un caractère spécial) ; 

 

- ou de huit caractères (contenant trois des quatre catégories de caractères cités précédemment) et être      accompagné de mesures complémentaires tel que le blocage temporaire du compte après plusieurs échecs.

 

Il convient de rappeler que tous les organismes petits ou grands doivent se conformer aux exigences fixées par le RGPD, en externe, sur son site internet, mais également en interne, par ses process et contrats. 

 

En effet,  la Cnil a un pouvoir de contrôle des sociétés et a déjà sanctionné des professionnels de santé pour non-conformité au RGPD, de même qu’une grande enseigne de supermarché ou encore mis en demeure des organismes pour non-conformité au RGPD.