La CNIL a toujours eu un pouvoir de contrôle. Ainsi plus de 400 fois par an, la CNIL procède à des contrôles sur place au sein des organismes, à des auditions sur convocation à la CNIL ou encore à des contrôles sur pièces (par correspondance). Mais depuis le mois de mars 2014 la CNIL pourra procéder à des contrôles sans que l’organisme contrôlé n’en soit informé ! En effet, l’article 44 de la loi Informatique et Libertés ajoute aux autres moyens d’enquête déjà existants : le contrôle en ligne.
Le contrôle en ligne connaît donc une différence fondamentale avec les autres contrôles car la CNIL enquête en dehors de la présence de l’organisme contrôlé ! Le responsable du site internet contrôlé n’est informé qu’après coup.
- Quelle est la procédure des contrôles en ligne de la CNIL ?
Pour faire simple, la procédure est la suivante : une fois que la Présidente de la CNIL a autorisé le contrôle, les agents de la CNIL se connectent à internet et investiguent directement sur le site internet de l’organisme. Une fois le contrôle terminé, un récapitulatif des constats de la CNIL est adressé au responsable du site internet et ce dernier a la possibilité de faire part de ses observations.
Il est important de noter que dans le cadre d’un contrôle en ligne, la CNIL peut par exemple :
poursuivre ses investigations en se déplaçant dans les locaux du responsable du site internet
mettre en demeure le responsable du site de se conformer à la loi Informatique et libertés
en cas d’atteinte grave à la loi Informatique et libertés, la CNIL peut ouvrir des procédures de sanctions
- Comment les sites internet peuvent-ils de se protéger juridiquement de ces contrôles ?
Les contrôles en ligne de la CNIL portent principalement sur :
le contenu des formulaires d’inscriptions ;
la politique « cookies » et la charte « données personnelles » ou « privacy policy » ;
les mentions d’informations légales et notamment la mention en bas des formulaires de collecte ;
la sécurité du site.
Or, il a été observé que sur les sites, nombres de stratagèmes permettent de récolter des informations sur les internautes sans réellement respecter la loi Informatique et libertés (Ex : cartes de fidélité, jeux concours et Newsletters). Ce fut le constat, le 19 février 2014, de l’association de consommateurs CLCV (Consommation, logement et cadre de vie) qui a publié les résultats de son enquête sur la souscription aux cartes de fidélité :
L’information des consommateurs est illisible, parfois incomplète et souvent noyée dans des conditions générales (Ex : « Des souscriptions faites sans le moindre formulaire, ni aucune information sur l’utilisation des données récoltées et des droits du titulaire »)
Pour les souscriptions par internet, les pratiques répandues du lien cliquable en bas de page et des conditions d’utilisation à rallonge découragent beaucoup d’internautes de lire l’information jusqu’au bout et donc d’avoir une connaissance complète de ses droits » [1]
le droit d’opposition des consommateurs à l’utilisation de leurs données n’est pas respecté :
le principe est l’opt-in, c’est-à-dire que le consommateur doit cocher une case pour autoriser l’enseigne à communiquer ses données à des tiers ou pour faire de la prospection commerciale.
Pourtant, « ce mode de recueil du consentement n’est suivi que par 2 professionnels sur 11, les autres préférant des moyens beaucoup plus contestables comme une case à décocher pour s’opposer, voire une absence totale de recueil de consentement. » [2]
En conclusion, pour éviter les sanctions de la CNIL il est vivement recommandé aux sites internet, en priorité, de :
insérer un bandeau d’information des internautes sur les cookies
préparer une charte sur l’utilisation des cookies
vérifier que les formulaires de collecte de données sont licites (ex : bien préciser les mentions obligatoires et celles facultatives)
s’assurer qu’il y a une mention d’information conforme au bas de chaque formulaire de collecte
prévoir une charte sur l’utilisation des données personnelles des internautes
à ceci s’ajoute la politique de la CNIL qui souhaite accentuer la rigueur des règles juridiques, ce qui coïncide avec l’augmentation du nombre de ses contrôles, plus de 2 par jours, auprès des petites enseignes comme des grandes telles que Google, la FNAC ou encore Facebook.
Enfin, la mise en conformité de la gestion des données avec la loi Informatique et libertés permet de rassurer les consommateurs et les internautes, population volatile et exigeante qui revendique plus de transparence de la part des grandes enseignes.
Dans ce contexte, il est donc plus que jamais d’actualité de respecter la loi Informatique et libertés !
Nos recommandations : D’un point de vue économique, les données des internautes ont une valeur marchande considérable et sont au cœur des enjeux financiers et économiques du XXIème siècle. Cet écosystème numérique est complexe et a besoin pour prospérer de confiance. Il est donc recommandé de mettre les sites internet en conformité pour éviter les sanctions de la CNIL mais surtout pour valoriser financièrement le fichier client.
