L’appellation RGPD désigne le règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La loi n°78-17 dite « Informatique et Libertés » a ainsi été progressivement modifiée et est, depuis un décret du 30 mai 2019, en vigueur sous une nouvelle rédaction.
Le RGPD s’applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité, dès lors qu’ils traitent des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement. Le RGPD s’applique également aux entreprises ayant leur siège en dehors de l’UE qui traitent les données de citoyens européens.
NOTION DE « TRAITEMENT DES DONNEES A CARACTERE PERSONNEL »
L’article 4 du RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable […] par référence à […] nom, numéro d’identification, […] ou à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, économique, culturel ou social ».
Il définit ensuite la notion de traitement comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Ces opérations désignent celles allant de la collecte à la destruction de ces données en passant notamment par leur utilisation ou leur transmission.
Ainsi, dès lors qu’une entreprise collecte une donnée personnelle, elle est responsable du traitement qu’elle en fait et est concerné par la réglementation dédiée à la protection des données personnelles.
OBLIGATIONS RELATIVES A LA PROTECTION DES DONNEES
Il convient de se référer à la circulaire n°08-2018 de la FVD pour comprendre concrètement ce qu’une entreprise de vente directe doit mettre en place pour se mettre en conformité. Cette circulaire donne également des exemples de clauses-types à insérer dans les CGV ou encore dans les contrats conclus entre la société de Vente Directe et ses forces de vente.
- Respect de critères pour les données personnelles traitées
Les données personnelles doivent être traitées de manière licite, transparente, légitime et avec le consentement des personnes concernées (article 4 de la Loi Informatique et Liberté).
Toutefois, certaines données ont interdiction d’être traitées (article 6 de la Loi Informatique et Liberté). Il s’agit des données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, aux données génétiques ou biométriques, et à la vie ou à l’orientation sexuelle. Toutefois, dix exceptions sont prévues à l’article 9 du RGPD pour lesquelles le traitement de telles données reste possible, par exemple lorsque les personnes concernées consentent expressément au traitement de telles données ou lorsque lesdites données sont manifestement rendues publiques par les personnes concernées.
- Analyses d’impact
Les responsables de traitement peuvent être obligés d’étudier les conséquences du traitement des données sur la protection de ces dernières en réalisant des analyses d’impact (article 62 de la Loi Informatique et Liberté et article 35 du RGPD). Ces dernières contiennent une description systématique des opérations de traitement envisagées, leur finalité et l’intérêt légitime poursuivi, une évaluation de la nécessité du traitement et une évaluation des risques pour les droits et libertés, et une description des mesures envisagées pour assurer la protection des données.
Pour plus de facilités, la CNIL a élaboré une liste des types de traitement pour lesquels les analyses d’impact ne sont pas requises, ainsi qu’une infographie permettant de comprendre plus simplement quand une analyse d’impact doit être réalisée.
Elle a également créé un logiciel permettant de faciliter la réalisation de ces analyses.
- Durée de conservation des données
Le RGPD prévoit que les données doivent être conservées pour une durée réduite au strict minimum. Cependant aucun délai légal n’est établi, ce qui signifie que les responsables de traitement doivent fixer eux-mêmes ce délai au regard de l’utilisation des données.
A ce sujet, la CNIL apporte des précisions concernant « le cycle de vie des données » afin de mieux appréhender ce que recouvre leur durée de conservation.
- Data Privacy Officer
Le RGPD a créé la fonction de Data Privacy Officer (DPO) dont la nomination au sein de chaque société n’est obligatoire que dans certains cas, listés par l’article 37 du règlement. Néanmoins, la CNIL recommande fortement à chaque entreprise de désigner un DPO dans le cadre de sa politique de traitement des données personnelles. Les fonctions et missions du DPO sont détaillées aux articles 38 et 39 du RGPD.
A minima, il conviendra de désigner un pilote au sein de chaque entreprise qui pourra organiser la mise en conformité de l’entreprise.
La CNIL explique la procédure à suivre pour désigner un DPO, et plus précisément les conditions de compétences et de moyens que doit respecter un potentiel DPO.
- Notification d’une violation à la CNIL
Lorsque des données sont violées, le responsable du traitement desdites données doit en informer la CNIL conformément à l’article 58 de la Loi Informatique et Liberté, et à l’article 33 du RGPD, si possible dans les 72 heures, après en avoir pris connaissance s’il y a un risque pour les droits et libertés des personnes physiques.
DROITS DES PERSONNES CONCERNEES
- Information et accès aux données
Les personnes dont les données sont traitées doivent être informées notamment sur l’identité et les coordonnées du responsable de traitement et du DPO, sur les finalités du traitement, sur les intérêts légitimes du traitement et sur les destinataires des données (article 48 de la Loi Informatique et Libertés et articles 12 à 14 du RGPD).
Elles ont également le droit d’accéder à leurs données traitées en demandant au responsable de traitement une copie de ces données. Le responsable de traitement doit alors les leur fournir en les informant sur la finalité du traitement, les catégories de données utilisées, les destinataires des données, la durée de conservation des données, les droits des personnes, et un éventuel profilage (article 15 RGPD).
Le responsable du traitement est tenu de s’exécuter dans les trois mois qui suivent la demande.
- Rectification et effacement
Les personnes ont également le droit de faire rectifier leurs données (article 50 de la Loi Informatique et Liberté et article 16 du RGPD), c’est-à-dire qu’elles peuvent demander à corriger les informations qui seraient inexactes ou incomplètes les concernant, et ce gratuitement. Le temps que cette demande soit traitée par le responsable du traitement, elles peuvent bénéficier du droit à la limitation du traitement en demandant que leurs données ne soient plus utilisées (article 18 RGPD).
Elles peuvent même demander que leurs données soient supprimées. Dans certaines situations, par exemple lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou lorsqu’elles retirent leur consentement (article 17 RGPD), le professionnel a l’obligation d’accéder à leur demande.
Dans les deux cas, le responsable du traitement doit s’exécuter « dans les meilleurs délais », c’est-à-dire au maximum trois mois.
- Opposition
Enfin, les personnes peuvent s’opposer au traitement de leurs données (article 56 de la Loi Informatique et Liberté et article 21 du RGPD). Pour cela, elles doivent en faire la demande auprès du responsable du traitement et en expliquer les motifs particuliers.
Si vous souhaitez avoir des informations complémentaires concernant la mise en en conformité de votre société par rapport au RGPD, le site de la CNIL détaille 4 étapes primordiales qui doivent être respectées :
- Constituer un registre de traitements de données pour faire le point sur les activités principales de l’entreprise
- Faire le tri dans les données pour être sûr qu’elles répondent aux critères du RGPD
- Respecter le droit des personnes
- Sécurisez les données
Chacune des étapes est détaillée par la CNIL sur sa page internet dédiée : https://www.cnil.fr/fr/rgpd-par-ou-commencer.
LES SANCTIONS
La violation des règles relatives au traitement des données personnelles entraîne des sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal, notamment cinq ans d’emprisonnement et 300 000 euros d’amende.
Des amendes administratives sont également encourues et dépendent du type de manquement, mais le maximum est de 20 millions d’euros ou de 4% du chiffre annuel mondial d’une entreprise (article 83 du RGPD).
Le système français est basé sur le système de l’opt-out : tant que les consommateurs ne s’inscrivent pas sur la liste d’opposition au démarchage téléphonique, conformément à l’article L. 223-1 du Code de la consommation, ils sont considérés comme consentants à être démarchés par téléphone.
Depuis la loi n°2020-901 du 24 juillet 2020 dite « Naegelen », les modalités du démarchage téléphonique ont été précisées.
Ainsi, le deuxième alinéa de l’article L. 221-3 précité prévoit une exception à cette interdiction. En effet, le démarchage téléphonique reste possible si le consommateur est déjà lié au professionnel par un contrat en cours et que le démarchage est en rapport avec l’objet de ce contrat. L’autre dérogation possible est celle consistant à proposer au consommateur des produits ou des services afférents ou complémentaires à l’objet du contrat en cours ou de nature à améliorer ses performances ou sa qualité. L’article L. 223-5 de ce code prévoit une autre exception concernant la prospection en vue de la fourniture de journaux, périodiques ou magazines.
Attention, toute prospection commerciale de consommateurs par des professionnels, par voie téléphonique, ayant pour objet la vente d’équipements ou la réalisation de travaux pour des logements en vue de la réalisation d’économies d’énergie ou de la production d’énergies renouvelables est interdite, à l’exception des sollicitations intervenant dans le cadre de l’exécution d’un contrat en cours. Autrement dit, même si le consommateur n’a pas inscrit son numéro de téléphone sur la liste d’opposition, de tels professionnels ne peuvent pas le contacter sauf si l’appel intervient dans le cadre de l’exception susmentionnée.
Un décret viendra prochainement fixer les jours, heures et fréquences auxquels le démarchage électronique pourra être effectué, conformément à l’alinéa 5 de l’article L. 221-3 précité.
Des professionnels qui contacteraient des consommateurs malgré l’interdiction s’exposeraient, selon l’article L. 242-16 de ce code, à une amende administrative de maximum 75 000 euros pour une personne physique, et de maximum 375 000 euros pour une personne morale. En outre, un contrat conclu avec un tel consommateur est nul au regard de l’alinéa 8 de l’article L. 221-3.
Concrètement, les professionnels doivent soumettre leurs listes de numéros de téléphones au service de Bloctel. Un système de traitement des données automatisé va comparer la liste du professionnel avec la liste d’opposition et signaler quels sont les numéros qu’il n’est pas possible d’appeler. Le professionnel doit alors expurger de ses fichiers les numéros « interdits ».
La liste d’opposition étant en perpétuelle évolution du fait de nouvelles inscriptions ou de retraits de la liste, l’article L. 223-1 susvisé prévoit, en son quatrième alinéa, la fréquence à laquelle le professionnel doit faire analyser ses fichiers de prospection commerciale.
Il s’agit d’un service payant. La grille tarifaire est consultable en ligne sur le site du Ministère de l’Economie : https://www.economie.gouv.fr/entreprises/bloctel-professionnels-reglementation#
Dans le cas où le démarchage par téléphone est possible, il s’agit de se référer aux articles L. 221-16 et L. 221-17 du Code de la Consommation régissant cette pratique.
Le premier est relatif à l’obligation d’information à respecter et à l’obligation de confirmation de l’offre effectuée lors de l’appel. Il ressort de cet article que le consommateur ne peut être lié par un contrat par ce simple appel : le professionnel doit recueillir son consentement par écrit ou par voie électronique postérieurement à l’appel.
Le second est relatif à l’interdiction de l’utilisation de numéros masqués, et plus largement aux modalités d’utilisation des numéros de téléphone par le professionnel.
La Loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés » contient des dispositions spécifiques concernant le traitement des données dans le secteur des communications électroniques, résultant de la transposition de la directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy ». Concrètement, ces dispositions visent l’utilisation des cookies.
- Définition
Un « cookie » est, selon la définition de la CNIL, « un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web ».
Les cookies peuvent être déposés et/ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel et ce, quel que soit le type de terminal utilisé : ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet.
Grâce à eux, l’utilisateur peut par exemple demander à mémoriser ses identifiants ou se voir proposer des publicités personnalisées sur les sites internet qu’il fréquente, mais ils peuvent aussi être nécessaires au fonctionnement normal du site internet visité.
- Obligations
Les responsables de traitement doivent recueillir le consentement de l’utilisateur pour utiliser les cookies (article 82 de la Loi Informatique et Liberté).
En plus de ses recommandations et de ses lignes directrices, la CNIL a publié une fiche « Cookies et traceurs que dit la loi ? » et une fiche « Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation » dans lesquelles elle revient en détail sur les modalités du consentement aux cookies.
L’obtention du consentement n’est pas obligatoire lorsque les cookies ont « pour finalité exclusive de permettre ou faciliter la communication par voie électronique », ou lorsqu’ils sont nécessaires « à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ». Par exemple, l’utilisation des cookies liés aux opérations relatives à la publicité personnalisée et des cookies des réseaux sociaux nécessitent de recueillir au préalable le consentement de l’utilisateur. Cependant, les cookies destinés à l’authentification auprès d’un service, à la sauvegarde du contenu d’un panier d’achat sur un site marchand ou à la personnalisation de l’interface comme le choix de la langue, ne nécessitent pas de recueillir le consentement de l’utilisateur.
- Pour être valable, le recueil du consentement doit répondre à plusieurs conditions :Il doit être préalable au dépôt et/ou à la lecture des cookies : il n’est pas possible d’utiliser les cookies tant que l’utilisateur n’y a pas consenti, et le consentement doit être recueilli à chaque fois qu’une nouvelle finalité s’ajoute à celles initialement prévues.
- Il doit être libre, spécifique, univoque et éclairée : avant de donner son consentement, il faut informer l’utilisateur de manière claire, synthétique et intelligible sur la finalité des cookies et sur l’identité du responsable du traitement, et l’utilisateur doit cliquer sur une mention du type « J’accepte ».
- Il doit consister en une action positive de l’utilisateur : il n’est pas possible de considérer que la simple poursuite de la navigation sur un site fonde le consentement de l’utilisateur ; c’est à l’utilisateur de refuser ou de consentir à tous les cookies ou à certains cookies.
Par ailleurs les « cookie-walls » (pratique consistant à subordonner l’utilisation d’un service d’un site web au consentement aux cookies) sont encadrés. Ils ne peuvent pas être interdits de manière générale d’après le Conseil d’État. Cependant, la CNIL procèdera à une appréciation au cas par cas pour estimer s’il y a une atteinte à la liberté du consentement, notamment en vérifiant que l’information fournie à l’utilisateur indique clairement les conséquences de l’absence de consentement, et en prenant en compte l’existence d’alternatives en cas de refus.
Également, consentir doit être aussi simple que de ne pas consentir ou que de retirer son consentement. Ainsi, des solutions permettant aux utilisateurs de retirer leur consentement doivent être mises à la disposition de l’utilisateur et elles doivent être accessibles à tout moment.
Attention, la charge de la preuve du recueil du consentement repose sur le responsable du traitement. Ainsi, la CNIL conseille par exemple d’effectuer une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe de façon horodatée pour chaque version du site ou de l’application.
Pour aider les responsables de traitement à se mettre en conformité, la CNIL a publié une fiche spécifique intitulée « Cookies et traceurs : comment mettre mon site web en conformité ? » où elle propose notamment un exemple de bandeau « gérer mes cookies » permettant d’assurer le recueil d’un consentement valide de l’utilisateur. Cet exemple s’appuie sur les lignes directrices et la recommandation de la CNIL et a pour seul objectif d’aider les professionnels concernés dans leur démarche de mise en conformité.
- Les sanctions
En cas de manquement à l’article 82 de la loi Informatique et Libertés, le responsable du traitement encourt une amende administrative selon les modalités prévues à l’article 83 du RGPD. Il ressort des points 4, 5 et 6 de cet article que le montant de l’amende dépend des manquements constatés, le maximum s’élevant à 20 millions d’euros ou à 4% du chiffre d’affaires annuel de la société.
Des sanctions pénales sont également encourues au fondement des articles 226-16 à 226-24 du Code pénal. Elles s’élèvent à maximum cinq ans d’emprisonnement et 300 000 euros d’amende.