Structurer un site internet nécessite de considérer de nombreux aspects, tant juridiques que fiscaux. Parmi eux, les données personnelles représentent une valeur clé du commerce actuel, encore plus pour les entreprises qui veulent opérer en ligne. Attention à ne pas improviser et à vérifier la conformité du site à la règlementation en matière de données personnelles, y compris locale.
Nous voici au dernier volet de la série consacrée au commerce électronique après les aspects juridiques et ceux fiscaux, dans lequel nous donnerons un aperçu des questions à garder à l'esprit pour bien structurer un site internet, d'un point de vue juridique, au sujet des données personnelles. Elles représentent en effet une valeur clé du commerce actuel, encore plus pour les entreprises qui veulent opérer en ligne. Il devient donc nécessaire de pouvoir collecter des données personnelles de manière “propre”, conformément à la règlementation applicable, afin qu'elles puissent être utilisées correctement et favoriser le développement numérique des entreprises.
Bien que la règlementation sur les données à caractère personnel trouve une base commune aux pays de l'UE dans le RGPD, il convient de prêter attention aux différences qui peuvent exister entre les règlementations nationales, complétant le règlement européen, ainsi qu'aux mesures adoptées par les autorités de contrôle de chaque pays.
Attention donc à ne pas improviser et à vérifier la conformité du site à la règlementation en matière de données personnelles, y compris locale.
Règle principale : informer l’utilisateur du site Internet
Dans un site web il est impératif de prévoir la politique de confidentialité (dont le lien doit être inséré en bas de page du site ainsi que dans le formulaire de collecte des données) : elle décrit comment le site traite les données personnelles des utilisateurs qui consultent le contenu et utilisent les services offerts par celui-ci.
L'utilisateur doit, tout d’abord, connaître l’identité du responsable du traitement (qui définit les finalités et les moyens du traitement), qui ne coïncide pas nécessairement avec le propriétaire du site.
La notice d’information doit également préciser :
- les catégories de données traitées (données d'identification, données de navigation et données relatives au dispositif, genre, localisation, panier, liste d'achats, niveau de satisfaction du client) ;
- les modalités et les finalités du traitement (exécution du contrat, activités de soft spam, activités de marketing, marketing de tiers, profilage) ;
- les modalités et délais de conservation (pour une période strictement nécessaire à la poursuite des finalités du traitement), de communication et de diffusion à des tiers.
La notice d’information peut également contenir des liens vers des fournisseurs tiers (tels que des services de suivi ou d’assistance) ou vers des applications / logiciels permettant de stocker les données des utilisateurs.
En outre, la notice doit faire référence aux droits de la personne concernée (accès, rectification, annulation, limitation du traitement, portabilité des données, opposition) et à la manière de les exercer.
Elle contiendra enfin des informations sur le serveur (localisation et méthodes de sécurité adoptées), sur la gestion des violations des données, sur les tiers parties qui traitent les données ainsi que les coordonnées du DPO.
En présence d’une newsletter, celle-ci devra insérer le lien vers la politique de confidentialité du fournisseur du service de courrier électronique et une description détaillée des données collectées à travers l’e-mail marketing.
Pour les pages de check-out, elles doivent préciser quelles données y sont collectées et comment elles sont conservées.
Attention : il n'est pas nécessaire de demander l'acceptation de la politique de confidentialité, mais simplement de faire déclarer que l’utilisateur l’a lue.
En revanche, il faudra demander un consentement exprès (sans cases déjà cochées) pour chaque finalité ne trouvant pas d’autre fondement juridique (comme marketing – hors soft spam – et profilage).
Les cookies : ce qu’il faut savoir
Les cookies sont des fichiers texte qui, placés sur le site, capturent nos données et restent sur le navigateur.
Il existe différents types de cookies :
- techniques (pour faciliter la navigation, comme le maintien des produits dans le panier pendant quelques jours, l'accès à un profil sans devoir se connecter à chaque fois ou des statistiques sur comment les utilisateurs interagissent avec les pages du site) ; ces cookies ne requièrent pas de consentement spécifique de l’utilisateur,
- de profilage (utilisés pour suivre les préférences d'un utilisateur et lui proposer des messages publicitaires en fonction de celles-ci) ;
- cookies de tiers (qui appartiennent à des fournisseurs externes, comme Google Analytics) ; ces cookies (comme ceux de profilage) doivent faire l’objet d’un consentement de l’utilisateur mais sont destinés à disparaitre après la décision de Google de ne plus les autoriser sur Chrome.
Le site internet doit prévoir une bannière qui apparaît lorsque nous accédons au site pour la première fois, contenant une brève information sur les cookies et un lien vers une notice d’information détaillée (normalement dans la politique de confidentialité), qui doit préciser les objectifs d'utilisation des données collectées, quels types de cookies sont actifs sur le site, comment les accepter et supprimer.
Autres aspects à ne pas oublier pour l’opérateur web
Rappelons rapidement l'importance de disposer d'un excellent système de sauvegarde des données, d'assurer la maintenance et la mise à jour du site par le webmaster ainsi que de formaliser les relations contractuelles avec les tiers qui réalisent des activités de marketing sur le site.
En collaboration avec Nicola Lattanzi, Avocat au Barreau de Milan, Pirola Pennuto Zei & Associati
Sur le même sujet
L'annuaire 
L'agenda 
