Commerçant
Background image
Commerçant
Commerçant
Commerçant

Traitement des données à caractère personnel

 

Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel est une information qui identifie ou qui permet d'identifier un individu, une personne physique. Le nom et l'adresse (même celle du lieu de travail) sont considérés comme des données à caractère personnel, tout comme l'adresse électronique.

Cette notion vise également toute une série d'informations qui permettent d'identifier un individu de manière indirecte (par recoupement), notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, psychique, économique, culturelle ou sociale. Il peut s'agir du numéro d'immatriculation d'un véhicule, de données contenues dans un répertoire d'adresses, professionnel ou non, de photos, de données invisibles transmises lors de sessions internet (adresses IP), etc.

La législation relative à la protection de la vie privée à l'égard du traitement de données à caractère personnel appréhende, par exemple, la situation suivante : une personne physique communique des informations la concernant (au sens large, comme son nom, son adresse, sa date de naissance…) en s'inscrivant sur un site appartenant à une société, qui va traiter ces données, éventuellement les enregistrer dans un fichier et, le cas échéant, les utiliser par la suite pour diverses opérations internes (comme la mise à jour du fichier, sa déduplication par exemple) ou externes (comme l'envoi de mailings publicitaires, la communication de ces données à d'autres sociétés…). Les informations communiquées par la personne sont protégées par la loi et ne pourront être utilisées que dans certaines conditions.

Qu'est-ce que le traitement des données à caractère personnel ?

Pour que s'applique la législation de protection des données à caractère personnel, il faut être en présence d'un traitement de telles données. Cette notion vise toute opération ou ensemble d'opérations appliquées à des données personnelles. Les opérations dont il s'agit sont particulièrement variées et comprennent la collecte de données, leur conservation, leur utilisation, leur modification, leur transmission, etc. Par exemple, chaque fois que vous invitez un internaute à remplir un formulaire en ligne pour collecter les informations, cela correspond à un traitement de données.

La loi s'applique dès que les opérations sont effectuées sur des données à caractère personnel en tout ou en partie à l'aide de procédés automatisés (cela englobe toutes les technologies de l'information: informatique, télématique, réseaux de communication). Cela concerne, par exemple, une base de données informatiques où sont enregistrés les clients d'une société, la liste électronique des opérations effectuées sur un compte en banque, le fichier informatisé du personnel d'une entreprise, etc.

La loi s'applique également si ces opérations se font sans le moindre recours à des procédés automatisés, dès lors que les données sur lesquelles portent la ou les opérations sont contenues ou appelées à figurer dans des fichiers (c'est-à-dire un ensemble structuré dans lequel les données sont accessibles selon des critères spécifiques, comme l'ordre alphabétique).

Il est très important que vous sachiez à quelles conditions, aux yeux de la loi, vous serez considéré comme le « responsable du traitement ». C'est en effet sur cette personne que repose la charge de presque toutes les obligations imposées par la loi pour assurer la protection des données traitées. Le responsable du traitement sera donc mis en cause si un problème survient. A ce titre, il est l'interlocuteur principal des personnes concernées et des autorités de contrôle.

La loi désigne comme responsable du traitement la personne qui, seule ou conjointement avec d'autres, détermine les finalités (par exemple, la collecte de données à des fins de constitution de profils marketing) et les moyens du traitement de données à caractère personnel (formulaires en ligne, cookies, etc.). Il s'agit donc de la personne investie du pouvoir de décision sur le traitement de données. Donc, dès que vous collectez des données personnelles sur votre site, vous êtes un « responsable de traitement ». Tel est notamment le cas, si vous proposez un formulaire d'inscription à une newsletter ou un formulaire de commande en ligne de biens ou de services.

A quelles conditions puis-je traiter des données à caractère personnel ?

Le 25 mai 2018, le règlement européen général de protection des données est entré en application. Si une bonne partie des principes et exigences applicables dans le cadre de l’ancienne législation est maintenue, ce règlement prévoit néanmoins tant de nouveautés qu’il est difficile de toutes les énumérer sur ce site web. Nous vous invitons à consulter le site web de l'Autorité de protection des données.

 Les données personnelles ne peuvent être recueillies qu'en vue d'objectifs particuliers bien définis (principe de finalité des traitements). Elles ne peuvent être utilisées que conformément à ces objectifs. Ces objectifs doivent en outre être légitimes.

On ne peut donc pas collecter des données personnelles et les utiliser sans but précis. C'est ce but, décidé au départ, qui va orienter toute la suite des opérations. C'est en fonction de l'objectif poursuivi que l'on saura quelles données on peut collecter, ce que l'on peut faire avec ces données, si on peut les communiquer et à qui, etc.

On ne peut faire que ce qui répond aux objectifs poursuivis et ce qui est compatible avec ceux-ci. On considère comme compatible notamment ce qui est prévu par la loi et ce que la personne concernée peut raisonnablement prévoir.

Celui qui ne respecte pas l'objectif annoncé au départ et qui se sert des données à d'autres fins, incompatibles avec cet objectif, commet un détournement de finalité et est passible d'une amende. Tel serait le cas, par exemple, de la grande surface qui, sans le consentement de ses clients, vendrait son fichier où sont enregistrés tous les achats de chaque client détenteur d'une carte destinée à accorder des points liés à la fidélité, à une société de marketing qui désirerait connaître pour chaque personne enregistrée ses préférences en matière d'alimentation, d'hygiène, les quantités achetées, les marques des biens choisis.

Pour être admis, l'objectif que l'on poursuit en traitant des données personnelles doit être légitime (principe de légitimité des traitements) c'est-à-dire qu'un équilibre doit exister entre l'intérêt du responsable du traitement et les intérêts des personnes sur qui portent les données traitées. Ne serait pas légitime un objectif qui causerait une atteinte excessive aux personnes concernées.

Outre le respect des principes qui viennent d'être énoncés, le traitement, pour être autorisé, doit s'inscrire dans l'une des hypothèses suivantes :

  1. si la personne concernée a indubitablement donné son consentement. Le consentement ne sera valable que s'il est libre (c'est-à-dire émis sans pression), spécifique (portant sur un traitement précis) et informé (la personne a reçu l'information utile sur le traitement envisagé) ;
  2. si le traitement des données est nécessaire à l'exécution d'un contrat ou à l'exécution de mesures précontractuelles sollicitées par la personne concernée. Tel est le cas de l'enregistrement de données pour permettre la facturation d'un service, l'octroi d'un crédit ou encore l'établissement d'un contrat d'assurance, etc. ;
  3. si le traitement est exigé par une loi, un décret ou une ordonnance. Entre, par exemple, dans cette hypothèse l'obligation imposée à l'employeur de communiquer certaines données concernant son personnel aux organismes de sécurité sociale ;
  4. si le traitement est nécessaire pour sauvegarder un intérêt vital de la personne concernée. Tel est le cas, par exemple, de l'accidenté inconscient à propos duquel on rassemble des données médicales afin de le soigner ;
  5. si le traitement de données est nécessaire pour exécuter une mission d'intérêt public ou une mission relevant de l'exercice de l'autorité publique. A ce titre, Bpost est autorisée à créer un fichier des changements d'adresses pour lui permettre de faire suivre le courrier en cas de déménagement ;
  6. ou, enfin, si le traitement de données est nécessaire à la réalisation d'un intérêt légitime du responsable ou d'un tiers, à condition que l'intérêt ou les droits de la personne concernée ne prévalent pas. Des traitements sont donc autorisés si l'intérêt du « collecteur de données » à traiter les données est supérieur à l'intérêt de la « personne fichée » à ce que ses données ne soient pas traitées.

Nous soulignons, à ce stade, qu'il s'agit ici du régime général relatif à tout traitement de données à caractère personnel. Cependant, il existe également des régimes spécifiques, posant des conditions plus strictes au traitement de données à caractère personnel dans certaines hypothèses (par exemple, l'envoi de publicités par e-mail).

A quelles conditions puis-je collecter des données à caractère personnel ?

La collecte doit être loyale. Cela signifie que l'on doit agir de manière transparente: celui qui collecte des données personnelles doit indiquer les raisons pour lesquelles il souhaite les obtenir. Il ne peut faire croire qu'il poursuit un but alors qu'il a l'intention de faire autre chose avec les informations recueillies. On ne peut pas non plus agir à l'insu des personnes.

Il faut donc fournir des informations aux personnes auprès desquelles on recueille des données, à moins que ces personnes soient déjà informées.

La loi distingue deux types d'informations à fournir à la personne concernée :

1. L'information de base, qui doit obligatoirement être donnée, dans tous les cas.
    Il s'agit de :

  • l'identité et l'adresse du responsable de traitement et, le cas échéant, celle de son représentant en Belgique ;
  • les finalités du traitement des données recueillies par le responsable du traitement via un site. Par exemple, lorsque des données sont collectées tant pour l'exécution d'un contrat (abonnement internet, commande d'un bien, etc.) que pour des opérations de prospection, le responsable du traitement doit indiquer clairement ces deux finalités ;
  • l'existence, dans le chef de la personne concernée, du droit de s'opposer, sur demande et gratuitement, au traitement de ses données à caractère personnel à des fins de marketing direct (démarches publicitaires).

2. Les informations supplémentaires

La loi précise que ces informations ne doivent pas être fournies « si elles ne sont pas nécessaires pour assurer, à l'égard de la personne concernée, un traitement loyal des données ». Toutefois, sachant que la philosophie générale de la loi est d'imposer au responsable du traitement d'être le plus transparent possible vis-à-vis des personnes dont les données vont être utilisées, nous ne saurions que recommander de leur donner ces informations supplémentaires.

En outre, il ne faut pas perdre de vue que la charge de la preuve repose toujours sur le responsable du traitement. Il lui appartient donc de justifier pourquoi il a estimé que ces informations n'étaient pas nécessaires.

Les informations supplémentaires sont les suivantes :

  • les destinataires ou les catégories de destinataires des données (personnes auxquelles les données sont communiquées) : vous devez préciser si les données recueillies seront communiquées à des tiers (partenaires commerciaux, filiales, etc.) et à quelles fins. Dans ce cas, l'internaute doit effectivement avoir la possibilité, en cochant une case, de s'opposer en ligne à la transmission des données à des fins autres que la prestation du service demandé ;
  • le caractère obligatoire ou non de la réponse, ainsi que les conséquences éventuelles d'un défaut de réponse: vous devez informer les internautes du caractère facultatif ou obligatoire des réponses qu'ils sont invités à fournir, par exemple, sur un formulaire en ligne. Les informations obligatoires sont celles en l'absence desquelles le service commandé ne peut être réalisé. Le fait que la personne concernée ne fournisse pas les informations facultatives ne peut en aucun cas lui être préjudiciable ;
  • l'existence et les modalités d'exercice des droits d'accès, de rectification et de suppression des données.

Dans certains cas spécifiques, la loi peut exiger la fourniture d'informations supplémentaires. Par exemple, en matière d'envoi de publicités par e-mail.

Quelles autres informations puis-je faire figurer sur mon site ?

Enfin, certaines informations peuvent être ajoutées aux informations prévues par la loi. Ces informations additionnelles ne constituent pas, a priori, une charge excessive, et contribuent à mettre les internautes, vos clients potentiels, en confiance. Ainsi, vous pouvez, par exemple, mentionner le nom et les coordonnées du service ou de la personne chargée de répondre aux questions relatives à la protection des données à caractère personnel, les mesures de sécurité garantissant l'authenticité du site ainsi que l'intégrité et la confidentialité des informations transmises sur le réseau, etc.

De même, des informations plus complètes sur la politique de protection des données (y compris les modalités d'exercice du droit d'accès : personne ou service à contacter pour exercer ce droit, possibilité de l'exercer tant en ligne qu'à l'adresse physique du responsable du traitement) devraient être directement accessibles à partir de la page d'accueil du site (voire sur chaque page du site) ainsi que de tout endroit où des données à caractère personnel sont collectées en ligne. L'intitulé de la rubrique à cliquer doit être suffisamment mis en évidence, explicite et spécifique pour permettre à l'internaute de se faire une idée claire du contenu vers lequel il est renvoyé (par exemple, il pourrait être précisé « Nous collectons et traitons des données à caractère personnel vous concernant. Pour plus d'information, cliquez ici » ou « Protection des données à caractère personnel »).

En pratique, vous devez veiller à ce que les différentes informations apparaissent directement à l'écran avant la collecte afin de garantir le traitement loyal des données.

A quel moment faut-il informer la personne concernée ?

Il convient ici de distinguer deux hypothèses :

  • lorsque les données ont été obtenues directement auprès de la personne concernée, l'information doit avoir lieu au plus tard au moment où ces données sont obtenues ;
  • lorsque les données n'ont pas été obtenues auprès de la personne concernée, l'information doit avoir lieu dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard au moment de la première communication des données.

Puis-je me fournir en données auprès de tiers ?

Vous n'êtes pas toujours obligé de vous adresser aux personnes concernées pour obtenir des données les concernant. Vous pouvez vous fournir en données auprès d'un tiers, notamment en vous adressant à des organismes ou des sociétés disposant de bases de données qu'ils peuvent communiquer. Vous pouvez, par exemple, demander à une société de travail intérimaire une liste de curriculum vitae des personnes correspondant à un profil professionnel souhaité ou louer des fichiers d'adresses e-mail à des fins de marketing direct.

Dans ce cas, vous devez informer les personnes concernées à moins qu'elles ne le soient déjà. Les informations requises sont celles énumérées ci-dessus, mais vous devez en plus mentionner votre nom et adresse, en tant que nouveau responsable du traitement.

Vous êtes toutefois dispensé de cette obligation si la démarche d'information se révèle impossible ou extrêmement difficile. Mais si une prise de contact s'établit (plus tard) avec une ou plusieurs personnes concernées, il faudra à ce moment fournir les informations requises.

Si vous invoquez l'impossibilité ou les efforts disproportionnés qu'impliquerait pour vous le fait d'informer les personnes concernées, vous devez vous justifier auprès de l'Autorité de protection des données.  

Quelles données puis-je collecter ?

Vous ne pouvez collecter que les données qui sont pertinentes, nécessaires au vu de l'objectif annoncé.
Par exemple, un commerçant peut demander le nom et l'adresse de ses clients dans le but de leur envoyer les factures ou de les informer de ses activités commerciales. Mais il n'a pas de raison de demander la date de naissance de ses clients, ni leur profession.

Il est en principe interdit de récolter certaines données qui sont par nature sensibles. Ce sont les données relatives à la race, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, à la santé, à la vie sexuelle, à des suspicions, des poursuites ou des condamnations pénales ou administratives.

Quelles techniques puis-je utiliser pour collecter des données à caractère personnel en ligne ?

La collecte de données à caractère personnel peut se réaliser par l'intermédiaire de procédés de collecte automatique des données.

La technologie donne en effet les instruments nécessaires pour suivre implicitement le comportement de navigation de la personne qui visite un site, et ce, de manière presque invisible.

A l'égard de la protection de la vie privée, l'utilisation des cookies peut se révéler problématique. Le cookie est un fichier implanté dans l'ordinateur du visiteur du site qui contient dans certains cas un numéro unique accordé par le serveur du site web à l'ordinateur de l'internaute. Si certains cookies s'autodétruisent dès que le visiteur quitte le site, d'autres peuvent subsister à plus ou moins long terme dans l'ordinateur de l'internaute. Grâce à leur numéro unique, les cookies permettent alors au serveur du site web d'enregistrer une multitude d'informations comme notamment les pages visitées, la nature des recherches effectuées sur un moteur de recherche…

L'effet pervers de cette technique est donc qu'elle peut se révéler très indiscrète pour l'internaute. En principe, l'utilisation des données récoltées à l'aide de cookies, lorsqu'elles ne sont pas nominatives, n'est pas spécifiquement visée par la loi. Toutefois, lorsque ces données peuvent être couplées à d'autres données que vous auriez récoltées par d'autres moyens (formulaires, e-mails ou autres), l'internaute, s'il n'est pas toujours clairement identifié, devient à tout le moins identifiable. Or, en vertu de la loi, une donnée à caractère personnel est une information concernant une personne physique identifiée ou identifiable. Dans ce cas, vous devez respecter la loi et obtenir un consentement après avoir informé l’internaute.

Le responsable du traitement se doit donc d'être le plus transparent possible et d'informer les visiteurs de son site de la mise en œuvre de ces techniques et ce préalablement à leur utilisation.

Plus particulièrement, il convient de :

  • veiller à informer l'internaute avant de stocker un cookie sur son disque dur ;
  • dévoiler son identité (pas seulement son URL ou son adresse e-mail, mais aussi ses coordonnées) ;
  • préciser dans quel but le cookie sera utilisé ;
  • signaler l'existence d'un droit d'accès et permettre l'exercice de celui-ci ;
  • récolter le consentement de l’internaute.

Quels sont les droits dont disposent les personnes concernées ?

Toute personne physique, quel que soit son âge, son domicile ou sa nationalité, se voit reconnaître des droits vis-à-vis des personnes qui traitent des données la concernant :

1. Le droit à l'information

De manière générale, la loi confère à la personne concernée " un droit de savoir ", c'est-à-dire le droit d'être informée du sort réservé aux données la concernant. Ainsi, des fichiers ne peuvent être constitués à l'insu des personnes.

A cet égard, tout responsable de traitement est tenu de fournir certaines informations aux personnes concernées par les données. Il doit également informer celles-ci de leurs droits (accès, rectification, opposition, etc.).

2. Le droit à la curiosité

La loi confère au particulier le droit d'interroger tout responsable de traitement pour savoir s'il détient des données le concernant.

3. Le droit d'accès

La loi confère au particulier le droit d'obtenir, sous forme intelligible, une copie des données faisant l'objet d'un traitement ainsi que toute information disponible sur l'origine des données.

Pour exercer son droit d'accès, le particulier doit adresser une demande au responsable du traitement en faisant la preuve de son identité. En pratique, toutes les informations requises ne sont pas toujours directement et facilement accessibles; elles peuvent provenir de services, voire d'unités différentes au sein d'une même entreprise ou administration. A ce titre, la loi laisse au responsable du traitement un délai de réponse de 45 jours à partir de la réception de la demande.

Bien entendu, il est vivement conseillé de donner suite dès que possible à une telle demande, et cela afin de satisfaire pleinement la personne concernée. Notez cependant qu'il n'est pas question pour cette dernière de vous interroger chaque mois pour contrôler les données que vous possédez à son sujet. En effet, la loi ne lui concède ce droit qu'après l'expiration d'un délai raisonnable, à compter de la date d'une demande antérieure de sa part. A toutes fins utiles, il peut donc se révéler opportun de conserver une liste des demandes déjà introduites.

4. Le droit de rectification

Les données qui sont collectées doivent être exactes. Le cas échéant, le responsable du traitement doit donc offrir aux personnes concernées des moyens raisonnables pour rectifier, effacer ou bloquer ces données.

5. Le droit d'opposition

Sauf lorsque le traitement est nécessaire à la conclusion ou à l'exécution d'un contrat ainsi qu'au respect d'une obligation légale, la personne concernée a le droit de s'opposer au traitement de ses données, mais pour cela, elle doit invoquer des raisons sérieuses et légitimes tenant à sa situation particulière. Cependant, la loi offre à la personne concernée la possibilité de s'opposer, sans justification et gratuitement, au traitement projeté lorsque des données à caractère personnel sont collectées à des fins de marketing direct.

6. Le droit à l'oubli

Les données permettant l'identification des personnes ne doivent pas être conservées au-delà du délai nécessaire à la réalisation de la finalité annoncée. Toute personne a également le droit d'obtenir sans frais la suppression ou l'interdiction d'utilisation de ses données qui, compte tenu du but du traitement, sont incomplètes ou non pertinentes ou dont l'enregistrement, la communication ou la conservation sont interdits ou encore qui ont été conservées au-delà de la période autorisée.

Que dois-je faire avec les données recueillies ?

Sécurité

Il est important de protéger les données contre une curiosité malsaine venant de l'intérieur ou de l'extérieur, ou contre des manipulations non autorisées. Les risques de fuites et d'atteintes à l'intégrité des données sont trop réels de nos jours.

La loi vous impose, en tant que responsable de traitement, de prendre une série de mesures de sécurité particulières. Parmi celles-ci, vous devez prendre toutes les mesures techniques, juridiques et organisationnelles requises pour protéger les données contre leur destruction accidentelle, ainsi que toute perte accidentelle, modification ou accès non autorisé.

A cette fin, il s'agit de tenir compte de l'état de la technique en la matière, des frais qu'entraîne l'application de ces mesures, de la nature des données à protéger et des risques potentiels pour déterminer exactement les mesures à prendre.

L’Autorité  de protection des données a publié de nombreuses informations consacrée à la sécurité. 

Qualité

Les données que vous traitez doivent être exactes et, si c'est nécessaire, mises à jour. Vous devez prendre toutes les mesures raisonnables pour corriger ou effacer les données qui sont inexactes ou incomplètes. Vous pouvez notamment prendre contact périodiquement avec vos clients pour leur demander de vérifier leurs données, ou lors d'une nouvelle commande en ligne.

Confidentialité

En tant que responsable du traitement, vous devez veiller à limiter l'accès aux données et les possibilités de traitement de celles-ci au personnel qui en a besoin pour l'exercice de ses fonctions. Il n'est pas question de permettre aux membres du personnel d'avoir accès à des données qui ne leur sont pas nécessaires.

Vous devez en outre informer votre personnel des dispositions relatives à la loi sur la protection de la vie privée et à son arrêté d'exécution.

Conservation

Les données personnelles ne doivent pas être conservées sous une forme qui permet d'identifier les personnes plus longtemps qu'il n'est nécessaire par rapport à l'objectif poursuivi. Il convient alors de les effacer ou de les rendre anonymes.

Puis-je transférer des données à caractère personnel vers un autre pays ?

Le caractère international du réseau a pour conséquence une circulation fréquente des données à caractère personnel des particuliers entre différents pays, parfois sans que la destination des données soit même identifiée par la personne concernée.

En principe, vous ne pouvez transférer les données personnelles en votre possession que vers des pays qui assurent une protection des données correspondante à celle assurée sur le territoire de l'Union européenne.

Tout responsable de traitement qui souhaite exporter des données personnelles hors de l'Union européenne doit dès lors se demander si le pays destinataire offre un niveau de protection adéquat. Il faut retrouver les mêmes garanties que celles établies sur le territoire européen. La Commission européenne établit la liste de ces pays.

Dans le cas contraire, le transfert ne pourra être effectué que moyennant le strict respect de certaines conditions. Tel sera le cas si le responsable du traitement obtient le consentement indubitable de la personne concernée au transfert ou encore si des garanties sont offertes par l'adoption de clauses contractuelles appropriées entre l'exportateur et l'importateur de données. La Commission européenne a établi des clauses contractuelles type à utiliser en cas de transferts de données vers des pays qui n'offrent pas un niveau de protection suffisant. Ces clauses se trouvent sur le site: http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

Lorsque les données sont collectées en Belgique à partir d'un pays tiers, les dispositions de la loi belge trouvent à s'appliquer dans des circonstances précises. Ce sera le cas notamment lorsque le responsable du traitement fait traiter les données à caractère personnel, par des moyens automatisés ou non, situés sur le territoire belge. Dans une telle hypothèse, la personne concernée résidant en Belgique peut bénéficier de la protection offerte par la loi belge vis-à-vis du responsable de traitement.