Les données personnelles sont au cœur de l’économie numérique.
Notre blog propose un « vade-mecum » pour aborder, étape par étape, les opérations de mise en conformité des sites de vente en ligne, rendues nécessaires par l’entrée en vigueur de la loi “Hamon”, le 14 juin prochain.
Le commandement que nous formulons aujourd’hui doit faire l’objet d’une attention toute particulière; il touche, en effet, aux données personnelles, moelle épinière de votre fonds d’e-commerce:
Les données personnelles, tu protègeras !
Constituer et enrichir une base de données clients permet à l’entreprise d’améliorer la connaissance de sa clientèle, de la fidéliser et d’optimiser ses choix en matière de stratégie marketing; c’est un outil essentiel pour assurer son Chiffre d’Affaires futur.
Seulement voilà, les informations contenues dans un fichier clients sont des données à caractère personnel. A ce titre, leur collecte, traitement et conservation sont soumis à une réglementation particulière.
L’enjeu de la protection des données personnelles doit donc être envisagé sous deux approches :
- celle de la protection des actifs de l’entreprise : “les données personnelles valent de l’or !”
- celle de la protection de la vie privée et des libertés individuelles des personnes fichées .
La CNIL (Commission nationale de l’informatique et des libertés) est une autorité administrative indépendante, en charge du contrôle du respect de la loi « Informatique et Libertés » du 6 janvier 1978 . Elle peut réaliser des contrôles dans toutes les entreprises et collectivités et peut prononcer des sanctions financières assorties de publication dans les médias.
La loi Hamon a entendu renforcer l’efficacité de la CNIL en lui permettant de mener ses investigations directement sur les sites des organisations et en instaurant un partenariat avec la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) .
D’une part , les membres de la CNIL vont pouvoir visiter votre site de e-commerce et vérifier si les mentions d’information sur les formulaires de collecte des données sont conformes à la loi ou encore que le consentement des internautes est recueilli dans de bonnes conditions.
Par conséquent, pour éviter une explosion de vos coûts d’acquisition clients, mieux vaut réviser vos formulaires de collecte des données et vous assurer de la présence des mentions d’information que la loi impose :
- identité du responsable de traitement informatique des données,
- finalité du traitement envisagé,
- caractère obligatoire ou facultatif des réponses,
- destinataires des informations,
- transmissions envisagées,
- lieu et condition d’exercice des droits d’accès, de rectification, d’opposition.
Pour aider les responsables du traitement informatique des données, la CNIL propose des modèles de mentions adaptées à de nombreux cas de collecte de données sur son site.
D’autre part, les membres de la CNIL vont pouvoir procéder à toute constatation utile; ils pourront notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations.
Ce dernier moyen de contrôle donné à la CNIL par la loi Hamon, s’il n’a pas ému les juristes, devrait attirer l’attention des cybermarchands car en langage informatique, cela s’appelle “ hacker ” ! La CNIL précise qu’il ne s’agit que d’un pouvoir de consultation des données diffusées librement ou rendues accessibles. En résumé, si vos données sont accessibles en ligne via une injection SQL, la CNIL pourra constater les failles de sécurité, vous adresser une injonction de cesser le traitement, vous mettre en demeure de sécuriser votre site voire sanctionner financièrement le défaut de protection des données personnelles !
La CNIL peut également dénoncer au Procureur de la République les infractions à la loi informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.
Les sanctions sont dissuasives ! Jugez plutôt :
- Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.
-
La communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende.
-
La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende.
- Tout détournement de finalité est passible de 5 ans d’emprisonnement et de 300 000 € d’amende.
Enfin, la loi Hamon renforce les pouvoirs de la CNIL en instaurant un partenariat avec la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes). Ainsi, les agents de la DGCCRF sont habilités à constater les infractions et manquements aux dispositions de la loi “informatique et libertés” relatifs aux droits des personnes et obligations des responsables du traitement des données. Ils peuvent les communiquer à la CNIL.
Pour information, la DGCCRF a effectué plus de 721 000 vérifications en 2013 dans plus de 137 000 établissements et a contrôlé près de 10 200 sites internet. Autant dire que son volume d’activité est très nettement supérieur à celui de la CNIL..
En résumé, les professionnels du e-commerce connaissent bien la valeur de leur base de données clients et la nécessité de la protéger :
- juridiquement, en respectant les formalités déclaratives et en vérifiant que les questionnaires de collecte sont conformes à la réglementation, afin de pouvoir continuer à l’exploiter et l’enrichir sans risque,
- physiquement et logiquement en testant régulièrement les vulnérabilités de leur système d’information pour éviter le piratage de leurs précieuses données personnelles.