02 Juin Data Expert pour la Box de Réussir en .fr de l’Afnic : 5 conseils pour respecter la règlementation sur la collecte des données personnelles
Découvrez les 5 conseils pratiques de Laure Landes-Gronowski, Avocate associée & Experte en droit de la protection des données à caractère personnel, et partenaire de Data Expert, cabinet de conseil qui accompagne ses clients pour faire face aux mutations du droit des données
1. Collecter les données de façon « loyale »
Cette notion implique la collecte des données de façon transparente à l’égard des personnes concernées. Si elle est réalisée directement, au moyen d’un formulaire par exemple, des mentions obligatoires (finalités du traitement, destinataires, durées de conservation…) doivent apparaître. De même, le consentement des personnes concernées peut être requis en fonction des finalités d’utilisation (si vous envisagez de faire de la prospection par courriel par exemple). Ce consentement peut-être obtenu par l’intermédiaire d’une case à cocher sur le formulaire. En cas de collecte indirecte de données, de type « location de fichiers », une attention particulière doit être portée au contrat régissant les relations entre les parties. Il doit notamment contenir des garanties renforcées au sujet de la loyauté de la collecte des données.
2. Appliquer le principe de limitation des finalités…
Un principe fondateur concernant le traitement de données à caractère personnel impose la « limitation des finalités » d’utilisation des données collectées. Autrement dit, celles-ci ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être ultérieurement traitées pour des finalités incompatibles avec celles annoncées au départ. Par exemple, des informations recueillies en vue de la conclusion d’un achat en ligne (identité, coordonnées et contenu du panier…) ne pourront pas être réutilisées plus tard à des fins de segmentation ou de prospection ciblée sans que cela ait été porté à l’attention des personnes concernées.
3. … et de minimisation des données
Cet autre principe impose que ne soient collectées que les données strictement adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées. Il faut identifier, en amont de la collecte, les données indispensables et celles qui ne le sont pas. Des informations non strictement nécessaires pourront être collectées mais à condition d’être cohérentes avec la finalité poursuivie et que leur communication soit facultative. Celles-ci pourront être différenciées des données obligatoires sur le formulaire de collecte au moyen d’un astérisque (*).
4. Déterminer une durée de conservation proportionnée
Les données à caractère personnel ne doivent pas être conservées pour une durée plus longue que ce qui est strictement nécessaire pour assurer la finalité du traitement. Aussi, une durée de conservation maximum doit être déterminée et une politique de purge des données mise en place. Les textes ne donnant pas de durées de conservation « types », il convient de se reporter aux recommandations de la Cnil. Par exemple, pour les données utilisées à des fins de prospection, la Cnil recommande ce qui suit :
– 3 ans à compter de la fin de la relation commerciale pour un client (par exemple, à compter d’un achat),
– 3 ans à compter de la collecte des données ou du dernier contact émanant d’un prospect (ce peut être un clic sur un lien hypertexte contenu dans un courriel ; attention, l’ouverture d’un courriel ne peut en revanche être considérée comme un contact émanant du prospect).
5. Respecter la « protection de la vie privée dès la conception »
Enfin, il convient d’appliquer le principe de privacy by design, c’est-à-dire l’obligation de s’assurer, dès l’origine même d’un projet, et tout au long de son cycle de vie, du respect des dispositions applicables en matière de protection des données. Parmi ces dispositions, outre les principes précités, l’obligation renforcée de sécurité et de confidentialité des données qui pèse sur tout organisme collectant et traitant des données à caractère personnel devra faire l’objet d’une attention particulière.