La déclaration des fichiers à la CNIL

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante chargée d’assurer le respect des dispositions de la loi informatique et libertés du 6 janvier 1978, modifiée le 6 août 2004. Dans ce cadre, la CNIL garantit les droits d’accès, de rectification et d’opposition des personnes dont les données personnelles font l’objet d’un traitement.

Toute entreprise, quelle que soit sa taille, doit faire une déclaration à la CNIL dès lors qu’elle met en œuvre un traitement (automatisé ou non) contenant des informations personnelles relatives à des personnes physiques : nom, prénom, numéro de téléphone, adresse électronique, adresse IP…

• Vous utilisez un logiciel de gestion client : êtes-vous concerné par l’obligation de déclaration ?

La réponse est oui et ce, même si votre outil de gestion de la relation client se limite à un tableur Excel. Tout traitement d’un fichier contenant les informations personnelles évoquées ci-dessus oblige l’entreprise à effectuer une déclaration à la CNIL. Il existe cependant des exceptions pour certains types de traitements que vous pouvez consulter sur cette page.

• Vous ne gérez pas directement les données personnelles : cette tâche est assurée par un sous-traitant…

Attention, cela ne vous exonère pas de vos responsabilités ! En tant que e-commerçant, vous restez toujours responsable des données personnelles, même si vous ne gérez pas personnellement leur traitement. A ce sujet, l’article 35 de la loi informatique et libertés précise que le contrat liant le sous-traitant au responsable du traitement doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données.

Selon la nature des données que vous traitez par le biais de votre site de e-commerce, les procédures déclaratives diffèrent.

• Catégories les plus courantes de traitement des données : la déclaration simplifiée

Il s’agit des données dont le traitement n’est pas susceptible de porter atteinte à la vie privée ou aux libertés. Par exemple, les fichiers de gestion de clients et prospects, de gestion du personnel, de contrôle d’accès aux locaux professionnels, la géolocalisation des véhicules, etc. Pour l’ensemble de ces données, le e-commerçant doit faire une déclaration simplifiée sur le site de la CNIL.

• Pour les autres données : la déclaration normale

Si les données traitées par votre site de e-commerce dépassent le cadre de la déclaration simple, vous devrez effectuer une déclaration dite « normale ». Cela concerne notamment les traitements relatifs à la gestion du personnel qui permettent un contrôle individuel de l’activité ou de la productivité des employés (emails, accès à internet, gestion des tâches…). Entrent également dans ce cadre les traitements des accidents du travail, le recrutement, les systèmes de vidéosurveillance de l’entreprise…

• Un cas particulier : les données sensibles

Si vous êtes amené à traiter des données de nature sensible (relatives à la santé par exemple), dont la finalité contient un risque (traitement entraînant l’exclusion d’une catégorie de personnes du bénéfice d’un droit), ou des données transférées vers un pays tiers à l’Union européenne, vous serez tenu de faire une demande préalable d’autorisation auprès de la CNIL.

• Les sanctions en cas de non-respect de l’obligation de déclaration à la CNIL

En cas d’oubli de déclaration d’un traitement de données à la CNIL, la sanction peut être lourde. L’article 226-16 du Code pénal punit d’un maximum de cinq ans d’emprisonnement et de 300 000 euros d’amende « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi ».

La désignation d’un correspondant informatique et libertés (CIL) permet au e-commerçant de s’exonérer de l’obligation de déclaration auprès de la CNIL. Cette exonération ne vaut cependant pas pour les traitements soumis à autorisation préalable, qui doivent toujours être déclarés à la CNIL (données sensibles).

Le CIL peut être un salarié de l’entreprise ou un professionnel indépendant si dans l’entreprise, moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont accès. Il représente une garantie de sécurité juridique en assurant la conformité de l’entreprise vis-à-vis de la CNIL. Par ailleurs, le e-commerçant qui désigne un correspondant informatique et liberté peut faire valoir sa politique « vie privée » en utilisant le logo officiel du CIL.

Sur le même sujet : La CNIL adapte sa norme de déclaration des fichiers clients aux exigences du e-commerce