Il était temps. Plus de dix ans après la naissance du Web, la Commission nationale de l’informatique et des libertés (Cnil) vient de publier une nouvelle norme qui prend en compte les spécificités de ce média en ligne dans le cadre de
la gestion des fichiers clients. Au premier rang des intéressés, les cybermarchands dont les pratiques sont parfois pointées du doigt par la Cnil.Les normes sont des textes destinés à simplifier l’obligation de déclaration des traitements des données les plus courantes. Jusqu’ici, trois d’entre elles s’attachaient au problème des fichiers clients et à la prospection. Elles
avaient été revues en 1996 afin d’intégrer la collecte de données par Minitel.Un nouveau texte a vu le jour pour prendre en compte Internet : la norme simplifiée n?’48. Il regroupe les trois textes précédents tout en l’élargissant à la collecte de données sur le Web, ainsi qu’à la prospection par voie
électronique. Autrement dit, il concerne les contrats, les commandes, les livraisons, les factures, les programmes de fidélisation, la constitution, la gestion, la cession d’un fichier de prospects et l’envoi de sollicitations commerciales.
L’utilisation des cookies désormais encadrée
L’article 4 de la recommandation prévoit que les données de connexion, ‘ date, heure, adresse IP, navigation, pourront être exploitées à des fins statistiques d’estimation de la fréquentation du
site ‘. Mais, prévient la Cnil, ‘ Lorsque le responsable [du site, NDLR] utilise des procédés de collecte automatisée de données […] comme les cookies,
applets Java Active X, les utilisateurs doivent être informés de la finalité de l’utilisation de ces procédés et des moyens dont ils disposent pour s’y opposer ‘. Le texte reprend les grandes lignes de l’article 32
de la nouvelle loi informatique et libertés d’août 2004.‘ Un site Internet a l’obligation de prévenir les internautes du traitement des données qu’il récolte grâce aux cookies. S’il ne le fait pas, il risque une sanction pénale. Celle-ci n’a pas encore été définie par
la loi, mais elle devrait l’être dans les semaines à venir quand sera passé le décret d’application. Mais si quelqu’un collecte des données sans en avoir averti la Cnil, il risque jusqu’à 300 000 euros d’amende ‘,
prévient Christophe Pallez, secrétaire général de la Cnil.La commission réitère également ses recommandations quant à la durée de conservation des données (comme les numéros de carte bancaire). Si les contrats électroniques peuvent être archivés pendant une dizaine d’années, les données
personnelles exploitables en vue de prospection devraient être ‘ supprimées au maximum un an après le dernier contact ou lorsque [les clients] n’ont pas répondu à deux sollicitations
successives ‘.De même, la Cnil réaffirme les obligations prévues par la LCEN, (Loi pour la confiance dans l’économie numérique). ‘ L’envoi de prospection commerciale par voie électronique est subordonné au recueil du
consentement préalable des personnes concernées. […] Elles doivent être en mesure, au moment de la collecte de leurs données, de s’opposer de manière simple et dénuée d’ambiguïté à une utilisation de leurs données à des fins
commerciales. ‘Enfin, l’article 8 responsabilise l’administrateur des sites Internet. C’est à lui de prendre toutes les précautions pour préserver la sécurité et l’intégrité des données récoltées. ‘ Cette responsabilisation
est prévue dans l’article 34 de la loi informatique et libertés. En cas de vol de numéro de carte bancaire, par exemple, un site serait pénalement responsable. Il devrait démontrer à la justice quil a pris toutes les précautions nécessaires
pour éviter de se faire pirater ‘, rappelle Christophe Pallez. Une mesure qui devrait inciter les marchands à redoubler de prudence.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.