Sites internet : respecter la confidentialité des données collectées sur ses clients

La Cnil (commission nationale informatique & libertés) a en charge de faire respecter les règles liées à la confidentialité des données clients collectées par les entreprises par voie numérique (sites marchands, mailing, abonnement à des newsletters...) ou autre.

 

Un rôle de contrôle

Elle a, à ce titre, réalisé un contrôle en ligne du site d'une entreprise commerciale, site qui a pour objet de proposer aux clients d’adhérer à un programme de fidélité et de commander des objets promotionnels.

 

Elle a relevé que les mesures garantissant la confidentialité des données des clients de l'entreprise étaient insuffisantes. Les contrôleurs de la CNIL ont pu accéder à plusieurs milliers de données contenues dans les répertoires du site : nom, prénom, date de naissance, adresses postale et électronique, numéro de téléphone et de carte bancaire des clients. Informée par la CNIL de cette faille de sécurité, l'entreprise lui a indiqué avoir bloqué l’accès aux données, par l’intermédiaire de son hébergeur.

 

Le second contrôle a révélé que les données étaient toujours accessibles. La Présidente de la Cnil a donc décidé d’engager une procédure de sanction à l’issue de laquelle un avertissement public a été prononcé à l’encontre de l'entreprise.

 

Dans sa décision, la CNIL a précisé que :
 

  • l’existence d’une relation de sous-traitance, aux termes de laquelle la société avait délégué l’hébergement de son site web et la gestion de son contenu à des prestataires, ne l’exonérait pas de ses obligations légales 
     
  • l’absence de préjudice avéré pour les personnes concernées ne suffisait pas à faire disparaître le manquement. 
     
  • la formation restreinte a décidé de rendre sa sanction publique afin de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées, y compris lorsqu’ils font appel à un sous-traitant.
     

L'entreprise a, depuis, corrigé cette faille de sécurité. Les données ne sont plus accessibles sur Internet. (CNIL délibération 2016-108 du 21 avril 2016)

Consulter la  délibération


Les règles à respecter

Si votre entreprise collecte par voie numérique des données individuelles sur ses clients, elle se doit de respecter un certain nombre de règles et en particulier la confidentialité de ces données qui doivent être protégées.


Retrouvez sur le site de la Cnil toutes les informations
qui vous permettront de comprendre vos obligations, de faire vos démarches auprès de la Cnil et les outils mis à votre disposition.

 

Parmi les nouveautés à venir

Le règlement européen sur la protection des données personnelles a été publié au Journal Officiel le 27 avril 2016. Cette réforme globale doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique. Il sera applicable en 2018 dans tous les pays de l’Union Européenne.


Pour les entreprises, cela signifie d'ici 2018 une simplification des démarches avec la mise en place d'u
n guichet unique, de nouveaux outils, une obligation de garantir la protection des données en continu.
 


Revenir