La CNIL vient de mettre en demeure un gestionnaire de site web de supprimer Google Analytics au regard des traitements de données personnelles réalisés. Attention car cette communication est en réalité controversée pour les raisons que nous allons expliciter ci-dessous (il ne s’agit pas d’une décision comme on peut le lire ici et là, mais d’une communication relative à une mise en demeure). Elle relève à notre sens essentiellement d’une prise de position politique qui a pour objectif de barrer la route à Google en France.

S’assurer de respecter toutes les obligations imposées par le RGPD lors de la collecte de données personnelles est essentiel pour deux raisons :

La loi informatique et libertés du 6 janvier 1978 régit juridiquement le traitement de données personnelles et impose une série d’obligations aux personnes opérant leur traitement (voici ici pour le texte intégral de la loi).

Note : pour plus de lisibilité nous avons évacué les articles qui n’ont pas d’impact opérationnel pour les responsables de traitement qui doivent s’assurer de mettre leur oganisation en conformité au RGPD (par exemple, les dispositions qui sont spécifiques relatives à la CNIL comme la nomination de son Président, etc.). Cela vous permettra d’aller à l’essentiel rapidement et voir le détail des obligations qui sont réellement imposées.

Il est très commun pour un responsable de traitement au sens du RGPD, de faire appel à des sous-traitants dans la collecte ou la gestion de données personnelles.

Le RGPD a proposé une nouvelle approche dans la protection des données personnelles en introduisant deux notions nouvelles qui sont particulièrement intéressantes : le “privacy by design” et le “privacy by default” ; en Français : la protection des données “dès la conception” et “par défaut”.

Le RGPD impose une série d’obligations précises au moment de la collecte de données personnelles. Nous verrons en particulier deux éléments essentiels à respecter qui sont l’affichage des mentions légales à l’utilisateur et la minimisation des données. Le non-respect de ces obligations à déjà donné lieu à de nombreuses sanctions et amendes. Elles sont vues comme essentielles par la CNIL.

L’article 6 du RGPD est une des dispositions essentielle car il fixe la nécessité de disposer d’une base légale. En effet, il ne peut être autorisé de collecter des données personnelles qu’à la condition d’être dans l’un des 6 cas qui sont énumérés par la loi. Voyons donc en détail l’article 6 avant d’expliciter la base légale, et surtout, comment choisir la bonne, sous peine de sanctions.

Les mentions légales pour un site Internet sont vraiment simple à mettre en place, mais je constate trop souvent de erreurs, c’est pourquoi je vous ai fabriqué un générateur automatique de mentions légales gratuit !