La paperasse administrative n’épargne rien ni personne, pas même les sites internet. Vous possédez un site web et vous ne savez pas si vous devez déclarer quelque chose auprès de la CNIL ? FGP Solutions vous aide dans cette démarche liée à la protection des données à caractère personnel.Qu’est-ce que la CNIL ?
La Commission Nationale de l'Informatique et des Libertés (CNIL) est une autorité administrative indépendance ayant pour but la protection des données personnelles en France. Créée en par la loi 1978 par la loi Informatique et Libertés, la CNIL a pour mission d’aider les particuliers à protéger leurs données personnelles mais aussi d’assister les professionnels dans leurs démarches pour se conformer à la loi Informatique et Libertés.
Quelles formalités sont imposés aux professionnels ?
La loi Informatique et Libertés impose aux professionnels de déclarer ce qu’ils font des données personnelles récoltées. En effet, avec la démocratisation d’internet, il est devenu de plus en plus facile d’accéder aux données personnelles (nom, prénom, adresse, email…). Par soucis de sécurité, de respect de la vie privée et de lutte contre le démarchage intempestif, des mesures ont été mises en place par cette loi.
Pour s’assurer que ces données récoltées ne soient pas utilisées à mauvais escient, il est obligatoire pour les professionnels de déclarer le traitement des données. Vous ne déclarez pas un site internet mais bien le traitement de fichiers : vous ne faites donc pas de déclarations pour chaque site internet (sauf dans certains cas précis comme la présence de filiales, ou des sites ayant des finalités de traitements différents).
Si vous êtes dans l’obligation de déclarer le traitement des données récoltées, vous devez ensuite choisir la bonne déclaration. Dans un premier temps, vérifier si votre cas ne bénéficie pas d’une procédure allégée ou d'une dispense de déclaration.
Le cas le plus fréquent pour les site web est la déclaration simplifiée NS 48 – Gestion des fichiers Clients-Prospects et vente en ligne. Elle prend en charge « les traitements de données personnelles ayant pour finalités la gestion des clients, la prospection, les opérations de fidélisation, l’élaboration de statistiques commerciales, la cession, la location ou l’échange de fichiers de clients et de prospects, l’organisation de jeux concours, de loteries ou de toute opération promotionnelle, la gestion des demandes de droit d’accès, de rectification et d’opposition, la gestion des impayés et du contentieux, et la gestion des avis des personnes sur des produits, services ou contenus. (Délibération n° 2016-264 du 21 juillet 2016 portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048)) ».
Bien qu’ayant un large champ d’application, elle ne s’applique pas à certains secteurs d’activités (établissements bancaires, les entreprises d’assurances, de santé, d’éducation…). Lisez bien les conditions de chaque déclaration pour être sûr de choisir celle adaptée à votre situation !
Dans le cas où aucune déclaration simplifiée ne correspond à votre traitement des données, il vous faudra réaliser une déclaration normale.
Si vous n’arrivez pas à trouver la bonne déclaration et que vous avez un doute, n’hésitez pas à contacter la CNIL par téléphone ou via un formulaire de contact.
Une fois que vous savez quelle déclaration correspond à votre situation, il vous suffit de vous rendre sur le site de la CNIL pour effectuer les démarches nécessaires. Vous remplissez le formulaire proposé (munissez-vous des informations de bases de votre entreprise : code SIREN, code NAF, coordonnées de l’entreprises et du responsable) et votre déclaration vous sera envoyée par mail dans la journée.
Environ 24h après la réception votre déclaration, vous recevrez un récépissé de la part de CNIL. Ce récépissé doit être conservé pour être présenté en cas de contrôle.
Pour s’assurer que ces données récoltées ne soient pas utilisées à mauvais escient, il est obligatoire pour les professionnels de déclarer le traitement des données. Vous ne déclarez pas un site internet mais bien le traitement de fichiers : vous ne faites donc pas de déclarations pour chaque site internet (sauf dans certains cas précis comme la présence de filiales, ou des sites ayant des finalités de traitements différents).
Certains traitements ne nécessitent pas de déclarations (ex : gestion des membres et donateurs pour les associations), d’autres bénéficient de déclarations simplifiées (ex : gestion de fichiers clients-prospects) mais dans de nombreux cas, il est nécessaire de déclarer à la CNIL l’utilisation que vous faites des données récoltées non seulement sur votre site internet mais aussi par tout autre moyen (ex : un formulaire papier).
Comment déclarer à la CNIL ?
Dans un premier temps, il faut définir si vous entrez dans le champ visé par la loi Informatique et Libertés. Cette loi s’applique si toutes les conditions présentes sont remplies :
- Présence de données à caractère personnel
- Mise place d’un traitement des données
- Données récoltées dans un cadre d’activités professionnelles (non personnelles)
- Responsable ou les moyens de traitement localisés en France
Si vous êtes dans l’obligation de déclarer le traitement des données récoltées, vous devez ensuite choisir la bonne déclaration. Dans un premier temps, vérifier si votre cas ne bénéficie pas d’une procédure allégée ou d'une dispense de déclaration.
Le cas le plus fréquent pour les site web est la déclaration simplifiée NS 48 – Gestion des fichiers Clients-Prospects et vente en ligne. Elle prend en charge « les traitements de données personnelles ayant pour finalités la gestion des clients, la prospection, les opérations de fidélisation, l’élaboration de statistiques commerciales, la cession, la location ou l’échange de fichiers de clients et de prospects, l’organisation de jeux concours, de loteries ou de toute opération promotionnelle, la gestion des demandes de droit d’accès, de rectification et d’opposition, la gestion des impayés et du contentieux, et la gestion des avis des personnes sur des produits, services ou contenus. (Délibération n° 2016-264 du 21 juillet 2016 portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048)) ».
Bien qu’ayant un large champ d’application, elle ne s’applique pas à certains secteurs d’activités (établissements bancaires, les entreprises d’assurances, de santé, d’éducation…). Lisez bien les conditions de chaque déclaration pour être sûr de choisir celle adaptée à votre situation !
Dans le cas où aucune déclaration simplifiée ne correspond à votre traitement des données, il vous faudra réaliser une déclaration normale.
Si vous n’arrivez pas à trouver la bonne déclaration et que vous avez un doute, n’hésitez pas à contacter la CNIL par téléphone ou via un formulaire de contact.
Une fois que vous savez quelle déclaration correspond à votre situation, il vous suffit de vous rendre sur le site de la CNIL pour effectuer les démarches nécessaires. Vous remplissez le formulaire proposé (munissez-vous des informations de bases de votre entreprise : code SIREN, code NAF, coordonnées de l’entreprises et du responsable) et votre déclaration vous sera envoyée par mail dans la journée.
Environ 24h après la réception votre déclaration, vous recevrez un récépissé de la part de CNIL. Ce récépissé doit être conservé pour être présenté en cas de contrôle.
Attention au transfert de données hors UE !
Suivant les modalités de votre hébergement, il est possible que les données personnelles récoltées par votre site se retrouvent envoyées et stockées dans un pays étranger. Le transfert de données à caractère personnel hors pays de l’UE est en théorie interdit. Il est cependant autorisé si le pays destinataire assure un niveau de protection jugée suffisant par la Commission européenne.
La CNIL a mis en place une carte pour permettre de connaître les pays considérés comme sûrs pour la protection des données.
A part quelques exceptions, il faut déclarer à la CNIL que vous transférer des données à caractère personnel vers un pays hors UE. Cela peut être très simple, comme pour la déclaration simplifiée NS 48 (où il suffit de cocher « OUI » à la question « Existe-t-il des transferts d'informations hors de l'Union européenne ? »). Mais dans certains cas, il faut remplir une demande d’autorisation ou d’avis auprès de la CNIL.
Attention au transfert vers les USA : depuis août 2016, le transfert des données vers les Etats-Unis n’est possible que vers les entreprises inscrites sur le registre du Privacy Shield (même s’il est toujours possible d’utiliser d’autres garanties comme la signature de clauses contractuelles ou le BCR).
Si vous êtes dans cette situation, nous conseillons de vous rendre sur le site de la CNIL pour prendre connaissance de toutes les formalités nécessaires ou de les contacter.
La CNIL a mis en place une carte pour permettre de connaître les pays considérés comme sûrs pour la protection des données.
A part quelques exceptions, il faut déclarer à la CNIL que vous transférer des données à caractère personnel vers un pays hors UE. Cela peut être très simple, comme pour la déclaration simplifiée NS 48 (où il suffit de cocher « OUI » à la question « Existe-t-il des transferts d'informations hors de l'Union européenne ? »). Mais dans certains cas, il faut remplir une demande d’autorisation ou d’avis auprès de la CNIL.
Attention au transfert vers les USA : depuis août 2016, le transfert des données vers les Etats-Unis n’est possible que vers les entreprises inscrites sur le registre du Privacy Shield (même s’il est toujours possible d’utiliser d’autres garanties comme la signature de clauses contractuelles ou le BCR).
Si vous êtes dans cette situation, nous conseillons de vous rendre sur le site de la CNIL pour prendre connaissance de toutes les formalités nécessaires ou de les contacter.
Compléter les mentions légales
N’oubliez pas de compléter vos mentions légales en ajoutant que vous avez réalisé une déclaration auprès de la CNIL (avec de préférence le n° de la déclaration).
Si vous transférez des données personnelles en dehors de l’UE, vous devez aussi le préciser dans vos mentions légales pour informer les utilisateurs du site.
Si vous transférez des données personnelles en dehors de l’UE, vous devez aussi le préciser dans vos mentions légales pour informer les utilisateurs du site.
Dernier conseil : tenez-vous informé des dernières modifications de la loi Informatique et Libertés ! Vous serez ainsi toujours en règle auprès de la CNIL.