Les règles à respecter lors de la collecte de données à caractère personnel sur internet

      Les règles à respecter lors de la collecte de données à caractère personnel sur internet

      Les règles à respecter lors de la collecte de données à caractère personnel sur internet

1.png
2.png
3.png
4.png
5.png
6.png

Le règlement général sur la protection des données (ci-après « RGPD ») encadre le traitement des données à caractère personnel.

 

Une donnée publiquement accessible sur internet, notamment sur les réseaux sociaux, n’en fait pas exception et le traitement de ces données, lesquelles restent des données à caractère personnel, doit répondre à des principes fixés par la réglementation sur les données et notamment en France par la Commission nationale de l’informatique et des libertés (ci-après « Cnil »).

 

Qu’est-ce qu’une donnée publique ?

 

La notion de donnée publique vient du mouvement « Open Data ». Il s’agit d’un mouvement d’ouverture et de mise à disposition des données produites et collectées par les services publics (administrations, collectivités locales…). 

 

En France, c’est la loi sur la Commission d’accès aux documents administratifs (CADA) de 1978, qui encadre l’accès à ces données dites publiques.

 

Pour en savoir plus, je vous recommande de consulter le guide pratique de la publication en ligne et de la réutilisation des données publiques (« open data ») élaboré par la CADA et la Cnil en association avec ETALAB, accessible ici : https://www.cnil.fr/fr/open-data-la-cnil-et-la-cada-publient-un-guide-pratique-de-la-publication-en-ligne-et-de-la

 

Ces données dites publiques ne sont pas des données personnelles et correspondent à des documents administratifs :

 

« Pour pouvoir être rendu public, le contenu du document administratif doit être communicable à toute personne. S'il contient des données personnelles, ce document ne peut être diffusé que sous certaines conditions » (Cnil – communiqué du 17 octobre 2019 - Quel peut être le contenu des documents publiés ? ».

 

Les données publiques sont recensées sur la plateforme data.gouv.fr. Il peut s’agir des données de santé publique par exemple le suivi des indicateurs Covid en France ou de la publication des listes des candidats aux élections municipales.

 

A titre d’exemple, voici les données en Open Data de la Cnil : https://www.cnil.fr/fr/opendata

 

Ainsi une donnée publique n’est pas une donnée qui est accessible au public, sur internet et les réseaux sociaux par exemple, mais un document conforme à la définition légale.

 

Ainsi, les données accessibles et consultables par tous sur internet et notamment sur les réseaux sociaux ne sont pas des données publiques mais bien des données personnelles.

 

Qu’est ce qu’une donnée personnelle ?

 

La notion de donnée personnelle est défini à l’article 4 du RGPD et correspond à toute information qui permet d’identifier une personne directement ou indirectement.

 

Il peut s’agir du prénom et nom d’une personne ou de son numéro de téléphone, son image ou son adresse mail, dès lors que le nom et prénom sont identifiables (exemple : dupond.durand@gmail.com), par exemple.

 

Une adresse mail est en effet une donnée personnelle, même lorsque cette adresse mail est utilisée à des fins professionnelles, dès lors qu’elle contient le prénom et/ou le nom de la personne concernée.

 

Cette adresse mail ne sera plus une donnée personnelle uniquement si elle ne contient pas de caractère identifiant de la personne, tel que « contact@[nom de la société] » ou « info@[nom de la société]».

 

Ainsi, le nom, prénom, adresse mail et numéro de téléphone, par exemple, qu’une personne indique de manière publique sur sa page Facebook, Linkedin, YouTube, Instagram, Twitter, etc. est une donnée à caractère personnelle.

 

Son traitement doit ainsi respecter les dispositions de la réglementation sur les données personnelles, comme pour n’importe quelle donnée personnelle traitée.

 

Le traitement des données personnelles

 

La notion de traitement des données personnelles est défini également à l’article 4 du RGPD et fait référence à toutes les opérations qui vise à collecter, enregistrer, extraire, communiquer, organiser, conserver, adapter, modifier ou utiliser ces données.

 

Le traitement de données personnelles doit répondre à un objectif et à plusieurs règles.

 

Dans un communiqué du 8 novembre 2016, au sujet de l’utilisation des données issues de réseaux sociaux dans le contexte d’une communication politique, la Cnil nous rappelle que « la collecte massive de données issues des réseaux sociaux n’est pas légale en l’absence d’information des personnes concernées » :

 

« Le caractère « public » des données disponibles sur les réseaux sociaux ne leur fait pas perdre le statut de données personnelles : si leur simple consultation est toujours possible, le traitement de ces données (extraction, enregistrement, utilisation, enrichissement, etc.) est soumis à l’ensemble des conditions prévues par la loi « Informatique et Libertés ».

 

Ainsi, comme cela a été rappelé par la Cour de cassation et le Conseil d’État, la collecte des données présentes sur internet ou les réseaux sociaux doit être loyale et licite.

 

Quel que soit le mode de collecte (direct ou indirect) des données, cela suppose l’information des personnes concernées ainsi que la possibilité de s’opposer à la collecte des informations.

 

L’information générale donnée par les réseaux sociaux sur la possibilité d’une utilisation ultérieure des données à d’autres fins qui figure généralement dans les politiques de confidentialité, ne peut suffire à considérer les personnes comme informées. »

 

Ainsi et même avant l’entrée en application du RGPD en mai 2018, la Cnil avait déjà eu à se prononcer sur le traitement de données personnelles issues des réseaux sociaux.

 

L’ensemble des conditions relatives à la collecte et au traitement des données personnelles prévu par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après « Loi Informatique et libertés ») modifiée doivent alors être respectées.

 

Le respect de conditions préalables au traitement de données personnelles

 

Sur les réseaux sociaux un certain nombre de données sont accessibles au public. Ces données accessibles au public ne sont pas des données publiques, comme indiqué plus haut, mais bien des données personnelles.

 

Ainsi, même si ces données sont accessibles sur l’espace « public » qu’est internet, des conditions doivent être respectées dans le cadre de leur collecte et leur traitement :

 

  • Une collecte loyale et licite

 

Le principe de loyauté et de licéité, est prévu à l’article 5 (1.a) du RGPD, qui dispose que :

 

« Les données à caractère personnel doivent être :  a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ; [.] »

 

L’obligation de loyauté peut être rattachée à l’obligation de transparence prévue à l’article 12 du RGPD.

 

L’article 6 du RGPD fixe les 6 conditions dans lesquelles le traitement des données personnelles est considéré comme licite :

 

« a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

 

b)  le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

 

c)  le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

 

d)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;

 

e)  le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité́ publique dont est investi le responsable du traitement;

 

f)  le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

 

Ainsi pour traiter des données à caractère personnel, notamment celles collectées sur les pages publiques des réseaux sociaux des personnes concernées, la société doit pouvoir avancer l’un de ces motifs.

 

  • Le consentement des personnes concernées

 

A l’origine, la loi Informatique et libertés du 6 janvier 1978 n’exigeait pas le consentement de la personne concernée, une simple information préalable suffisait.

 

Depuis 2004, suite à la modification de la loi  Informatique et libertés  une simple information préalable ne suffit plus, le consentement de la personne concernée doit être recueilli dans le cas de :

 

- collecte de données sensibles ;

- l’utilisation des données à d’autres fins que celle initialement prévue ;

- l’utilisation de cookies (dans certains cas) ;

- l’utilisation des données en matière de prospection commerciale par voie électronique

 

  • L’information des personnes concernées

 

Dans tous les cas, dès lors que des données personnelles sont collectées et traitées par une société, cette dernière doit communiquée à la personne concernée un certain nombre d’informations, que l’on retrouve aux article 13 et 14 du RGPD, notamment l’identité du responsable du traitement, la durée pendant laquelle les données vont être conservées, la finalité du traitement, les moyens d’exercice de droits, etc.

 

Ces informations doivent être communiquée à la personne concernée au moment de la collecte de ses données, ou au plus lors de la première communication.

 

Cette obligation est valable en ce qui concerne la collecte et le traitement de données collectées sur internet, notamment sur les réseaux sociaux.

 

La collecte indirecte des données

 

La collecte directe des données désigne le cas où les données personnelles sont collectées directement auprès de la personne concernée. Cette notion est définie à l’article 13 du RGPD. 

 

C’est par exemple, la collecte des données par la société lors de l’ouverture d’un compte bancaire ou lors d’un achat en ligne d’un client.

 

A l’inverse, l’article 14 du RGPD aborde le cas de la collecte indirecte. Dans ce cas de figure, les données personnelles ne sont pas collectées directement auprès de la personne concernée. Ces données sont récupérées par le biais de sources accessible à tous comme c’est le cas d’internet et des réseaux sociaux.

 

Les règles à respecter en matière de prospection commerciale  

 

De nombreux sociétés récupèrent des données personnelles sur internet et notamment sur les réseaux sociaux (LinkedIn, Instagram, Facebook etc.) en vue d’effectuer de la prospection commerciale.

 

La prospection commerciale désigne le démarchage de clients potentiels, plus connu sous le nom de « prospects », par le biais de différents moyens tel que l’envoi de courrier, e-mail, appel téléphonique, etc.

 

Dans le cadre d’une prospection commerciale deux cas figure sont à distinguer :

 

- s’il s’agit d’un particulier (relation B to C), il faut recueillir le consentement de la personne concernée. Il faut que l’individu ait explicitement donné son accord à l’acte de prospection ;

 

- s’il s’agit d’un professionnel (relation B to B), une simple information préalable et une possibilité de s’opposer suffisent ;

 

Dans les deux cas, si une personne ne souhaite pas que ses données personnelles soient utilisées par un organisme, elle est en droit de s’y opposer et ce droit lui être explicitement proposée.

 

La Cnil, dans un communiqué du 30 avril 2020 sur « La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial », rappelle que :

 

« ces données, bien que publiquement accessibles, sont des données personnelles. Dès lors, elles ne sont pas librement réutilisables par tout responsable de traitement et ne peuvent être réexploitées à l’insu de la personne concernée. »

 

Les sociétés ont parfois recours à des logiciels d’extractions, ce qui leur permet de collecter automatiquement les données personnelles (notamment les coordonnées) des utilisateurs.

 

L’utilisation de ces logiciels n’est pas illégale mais un certain nombre de conditions doit être respecter.

 

Lors de l’utilisation de ces logiciels d’extractions, la société utilisant le logiciel doit :

- vérifier l’origine et la nature des données collectées. Parfois certaines conditions générales d’utilisation interdisent l’utilisation de ces logiciels, ainsi il est nécessaire de lire ces conditions ;

 

- respecter le principe de minimisation des données prévu à l’article 5 (1.c) du RGPD. Ce principe vise à limiter la collecte des données à ce qui est nécessaire au regard de la finalité des traitements ;

- informer les personnes concernées au moment de la collecte de leurs données, ou au plus tard au moment de la première communication, des informations retenues à l’article 13 ou 14 du RGPD ;

- les logiciels doivent permettre de ne pas collecter les données des personnes inscrites sur des listes anti-prospection auprès d’un opérateur téléphonique ou auprès du dispositif BLOCTEL ;

- ne pas démarcher les personnes s’étant déjà opposées à la réception par la société de sollicitations commerciales ; 

- établir une relation contractuelle avec le sous-traitant qui collecte les données pour son compte, le cas échéant ;

- si nécessaire réaliser une analyse d’impact sur la protection des données.

 

En tout état de cause, lorsque la personne concernée s’est préalablement opposée à recevoir de la prospection commerciale de la part d’une société, cette dernière ne doit en aucun cas lui en envoyer, que ce soit par automate ou manuellement, par l’envoie de mail grâce à des données récupérées sur Linkedin, par exemple.

Ainsi, il n’est pas autorisé de collecter des données sur internet, notamment sur les réseaux sociaux, sans en informer la personne concernée au regard des exigences du RGPD, et d’envoyer ensuite à cette personne des mails de prospection commerciale sans son accord.

 

Si une société veut collecter les données de personnes sur internet, il faut garder à l’esprit que de telles données ne sont pas des données publiques, et la société doit ainsi respecter les règles en matière de protection des données personnelles et celles en matière de prospection commerciale.

Par Debora Cohen - 15 décembre 2020

  • LinkedIn Social Icône
  • Facebook
  • Instagram