Fiche Pratique : Obligations lgales en matire de collecte de donnes client

Toutes les structures (entreprises, associations, organismes) qui ralisent, par des moyens automatiques, des oprations portant sur des donnes caractre personnel est soumise la loi informatique et liberts .

Les droits du client :

1. Le droit linformation :
Toute personne a le droit de savoir si elle est fiche et dans quels fichiers elle est recense. Ce droit de regard sur ses propres donnes personnelles vise aussi bien la collecte des informations que leur utilisation. Pour toute constitution de fichier ou un traitement contenant des donnes personnelles vous devez donc informer les personnes fiches de : lidentit du responsable du traitement, lobjectif de la collecte dinformations, le caractre obligatoire ou facultatif des rponses, les consquences de labsence de rponse, les destinataires des informations, les droits reconnus la personne, les ventuels transferts de donnes vers un pays hors de lUE.

En pratique, les personnes sont informes au moment de la collecte de leurs donnes. 2. Le droit dopposition :
Toute personne a la possibilit de s'opposer, pour des motifs lgitimes, figurer dans un fichier. Elle peut refuser, sans avoir se justifier, que les donnes qui la concernent soient utilises des fins de prospection, en particulier commerciale.

En pratique, le droit dopposition sexerce au moment de la collecte dinformations ou plus tard en sadressant au responsable du fichier.
Le droit dopposition ne doit occasionner aucun frais la personne qui lexerce. Le professionnel doit donner la possibilit au prospect dexprimer son droit : par un refus de rpondre lors dune collecte non obligatoire de donnes, par le refus de donner laccord crit obligatoire pour le traitement de donnes sensibles telles que les opinions politiques ou les convictions religieuses, par la facult de demander la radiation des donnes contenues dans des fichiers commerciaux, par la possibilit d'exiger la non-cession ou la non-commercialisation dinformations (notamment par le biais dune case cocher dans les formulaires de collecte).

Exemple pour un formulaire Web

3. Le droit daccs :
Toute personne justifiant de son identit a le droit d'interroger le responsable dun fichier ou de traitement pour savoir sil dtient des informations sur elle. Toute personne peut prendre connaissance de lintgralit des donnes la concernant et en obtenir une copie dont le cot ne peut dpasser celui de la reproduction. En exerant son droit daccs, la personne peut sinformer des finalits du traitement, du type de donnes enregistres, de lorigine et des destinataires des donnes.

4. Le droit de rectification :
Toute personne peut faire rectifier, complter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque lon a dceles des erreurs, des inexactitudes ou la prsence de donnes dont la collecte, l'utilisation, la communication ou la conservation est interdite. Le droit de rectification constitue un complment essentiel du droit d'accs. Lorsque des modifications sont apportes aux donnes concernant une personne qui a exerc son droit de rectification, le responsable du traitement doit justifier, sans frais pour la personne qui en a fait la demande, des oprations qu'il a effectues. Pour exercer son droit de rectification, le client doit le faire par crit auprs de lorganisme qui dtient les informations. En retour, le responsable du traitement doit prouver quil a procd aux rectifications demandes et les notifier aux tiers qui auraient t transmises les donnes errones.

Vos obligations :
o Recueillir le consentement de la personne pour utiliser une information qui lidentifie.

Les donnes que vous traitez doivent tre exactes, compltes et mises jour. Sauf drogations, vous ne pouvez pas collecter des donnes sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, donnes relatives la vie sexuelle ou la sant). Sanctions : Le fait de collecter des donnes caractre personnel par un moyen frauduleux, dloyal ou illicite est puni de 5 ans d'emprisonnement et de 300.000 d'amende. (art. 226.18 du code pnal) o Collecter les donnes en toute transparence.

Le responsable dun fichier doit permettre aux personnes concernes par des informations quil dtient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer son identit, la finalit de son traitement, le caractre obligatoire ou facultatif des rponses, les destinataires des informations, lexistence de droits et les transmissions envisages. Sanctions : Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1.500 par infraction constate et 3.000 en cas de rcidive. (art. 131-13 du code pnal et dcret 81-1142 ) o Garder la confidentialit des donnes.

Ne divulguez pas vos donnes clients nimporte qui et surtout sans laccord de ces derniers. Seules les personnes autorises peuvent accder aux donnes personnelles contenues dans un fichier. Il sagit : des destinataires explicitement dsigns (lors de la collecte exemple Formulaire web). des tiers autoriss ayant qualit pour les recevoir de faon ponctuelle et motive (exemple : la police, le fisc). Sanctions : La communication dinformations des personnes non autorises est punie de 5 ans d'emprisonnement et de 300 000 d'amende. La divulgation dinformations commise par imprudence ou ngligence est punie de 3 ans d'emprisonnement et de 100.000 damende. (art. 226-22 du code pnal) o Respectez les objectifs de votre fichier.

Les informations exploites dans un fichier doivent tre cohrentes par rapport son objectif. Les informations ne peuvent pas tre rutilises de manire incompatible avec la finalit pour laquelle elles ont t collectes. Sanctions : Tout dtournement de finalit est passible de 5 ans d'emprisonnement et de 300.000 d'amende. (art. 226.21 du code pnal)

Ne pas conserver ternellement les informations.

Les donnes personnelles ont une date de premption. Le responsable dun fichier doit fixer une dure de conservation raisonnable en fonction de lobjectif du fichier. Sanctions : Le code pnal sanctionne la conservation des donnes pour une dure suprieure celle qui a t dclare de 5 ans d'emprisonnement et de 300.000 d'amende. (art. 226-20 du code pnal) o Protger les donnes collectes.

Tout responsable de traitement informatique de donnes personnelles doit adopter des mesures de scurit physiques (scurit des locaux) et logiques (scurit des systmes dinformation) adaptes la nature des donnes et aux risques prsents par le traitement. o Dclarer ces fichiers et traitements de donnes personnelles la CNIL1.

Dans la grande majorit des cas, les entreprises doivent simplement dclarer la CNIL leurs fichiers ou le traitement des donnes client . 2 possibilits : o Les dclarations de conformit (norme simplifie) Ce sont des formulaires allgs qui permettent de certifier quun fichier ou un traitement de donnes personnelles est conforme un modle dj dfini. o La dclaration normale Cest le formulaire utiliser dans tous les autres cas, y compris pour les demandes dautorisation applicables aux fichiers sensibles ou risques. (En cas dhsitation, cest le formulaire choisir

A ladresse suivante :

http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/

NB : Certains traitements ou fichiers sont toutefois exonrs de dclaration2, dautres3 ncessitent une demande d'autorisation avant leur mise en uvre.

1 2

Commission Nationale de lInformatiques et des Liberts. Voir la liste des exonrations de dclaration pour les entreprises prives (Lien sur le site de la CNIL) 3 Lorsque le traitement envisag concerne des donnes sensibles (origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenance syndicale, sant, vie sexuelle), des donnes gntiques, biomtriques, des infractions, condamnations ou mesures de sret, le numro de scurit sociale, etc.