Données personnelles

Formulaires en ligne : se mettre en conformité avec le RGDP | 19 décembre 2019

La création d’un compte en ligne sur le site d’un éditeur de presse en ligne ne doit pas seulement être accompagnée des informations relatives aux droits d’opposition, d’accès et de rectification mais également de l’intégralité des mentions d’information obligatoires prévues par le I de l’article 32 de la loi du 6 janvier 1978.

Exemple de l’affaire Challenges

Comme illustré par l’affaire Challenges dont l’éditeur a été condamné à 25 000 euros par la  CNIL, aux termes du I de l’article 32 de la loi du 6 janvier 1978, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant : 1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; 3° Du caractère obligatoire ou facultatif des réponses ; 4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ; 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne. Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Information complète sur les Cookies

L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 constitue un traitement de données qui doit respecter les prescriptions de l’article 6. Lorsque des « cookies » sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de « cookies » mis en place pour son compte. Les autres tiers qui déposent des « cookies » à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement.

Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des « cookies » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Par ailleurs, l’éditeur doit mettre en place un mécanisme complet d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion (« cookies ») sur le terminal des utilisateurs. Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 

– de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 

– des moyens dont il dispose pour s’y opposer. 

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 

– soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 

– soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Ces dispositions instituent une obligation d’information claire et complète des utilisateurs d’internet sur les témoins de connexion (« cookies ») qui sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu’ils visitent un site, ces témoins de connexion et les informations qu’ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l’aide du même terminal. Elles imposent, d’une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d’internet, sur la finalité de ces « cookies » et les moyens dont ils disposent pour s’y opposer. Elles imposent, d’autre part, le recueil de leur consentement avant tout dépôt de « cookies » sur le terminal grâce auquel ils accèdent à ces services.

Ne sont pas concernés par ces obligations les « cookies » qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Le fait que certains « cookies » ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne.

Manquement à l’obligation d’information 

En l’occurrence, les éléments portés à la connaissance des utilisateurs du site« www.challenges.fr » ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c’est à bon droit que la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de « cookies » et en a déduit qu’il n’avait pas été remédié au manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion.

Fixer une durée de conservation aux Cookies

Conformément à la Délibération CNIL n° 2019-093 du 4 juillet 2019, l’éditeur doit également respecter une durée de conservation des données qui ne soit pas supérieure à treize mois pour les « cookies » déposés à l’occasion de la visite du site qu’il édite.

Exemple de politique de gestion des cookies

A toutes fins utiles, le modèle de gestion des cookies ci-dessous peut être utilisé :

Informations de 1er niveau :

A propos des cookies 

Nous utilisons différents cookies sur le site pour améliorer l’interactivité du site et  nos services.

Qu’est-ce qu’un « cookie » ?

Un « cookie » est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y re-connecterez. Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d’un site marchand, le contenu courant de votre panier d’achat, un identifiant permettant de tracer votre navigation pour des finalités statistiques ou publicitaires, etc.  

2 types de cookies sont déposés sur le site de L’Editeur

Cookies internes nécessaires au site pour fonctionner

Ces cookies permettent au site de fonctionner de manière optimale. Vous pouvez vous y opposer et les supprimer en utilisant les paramètres de votre navigateur, cependant votre expérience utilisateur risque d’être dégradée.

Nom du Cookie :

Finalité :

Durée de conservation :

Exemples de finalités :

Permet de sélectionner des normes en vue d’une déclaration simplifiée

Sauvegarde vos choix en matière de  consentement des cookies

Permet de déterminer si votre navigateur accepte javascript ou non

Permet de retenir vos préférences (particulier ou professionnel)

Permet d’ignorer la mesure d’audience

Permet de stocker votre identifiant unique de visite (si la mesure d’audience est active)

Permet le stockage temporaire de vos données de visite (si la mesure d’audience est active)

Cookies tiers destinés à améliorer l’interactivité du site.

Le site de l’Editeur s’appuie sur certains services proposés par des sites tiers. Il s’agit notamment :

  • Des boutons de partage (twitter et facebook)
  • Des listes de tweets (Twitter)
  • Des vidéos diffusées sur le site (youtube, dailymotion)
  • De présentations animées

Ces fonctionnalités utilisent des cookies tiers directement déposés par ces services. Lors de votre première visite sur le site, un bandeau vous informe de la présence de ces cookies et vous invite à indiquer votre choix. Ils ne sont déposés que si vous les acceptez ou que vous poursuivez votre navigation sur le site en visitant une seconde page. Vous pouvez à tout moment vous informer et paramétrer vos cookies pour les accepter ou les refuser en vous rendant sur la page gestion des cookies présente en haut de chaque page du site. Vous pourrez indiquer votre préférence soit globalement pour le site, soit service par service.

Gestion de vos préférences sur les cookies :

Les fonctionnalités de ce site listées ci-dessous s’appuient sur des services proposés par des tiers (flux Twitter, vidéo). Si vous donnez votre accord (consentement), ces tiers déposeront des cookies qui vous permettront de visualiser directement le contenu hébergé par ces tiers ou de partager nos contenus. Via ces cookies, ces tiers collecteront et utiliseront vos données de navigation pour des finalités qui leur sont propres, conformément à leur politique de confidentialité (lien ci-dessous). Cette page vous permet de donner ou de retirer votre consentement, soit globalement soit finalité par finalité.

Préférences pour tous les services :

Autoriser Interdire

Mesure d’audience

Les services de mesure d’audience permettent de générer des statistiques de fréquentation utiles à l’amélioration du site.

Piwik

> Lien vers la politique de confidentialité

Autoriser Interdire

Réseaux sociaux

Les cookies qui sont déposés via les boutons réseaux sociaux ont pour finalité de permettre aux utilisateurs du site de faciliter le partage de contenu et d’améliorer la convivialité.

Facebook

> Lien vers la politique de confidentialité

Autoriser Interdire

Twitter

> Lien vers la politique de confidentialité

Autoriser Interdire

Twitter (cards)

> Lien vers la politique de confidentialité

Autoriser Interdire

Twitter (timelines)

> Lien vers la politique de confidentialité

Autoriser Interdire

Vidéos

Les cookies déposés via les services de partage de vidéo ont pour finalité de permettre à l’utilisateur de visionner directement sur le site le contenu multimédia.

Informations de 2ème niveau  

Données personnelles

L’Editeur s’engage à ce que les traitements de données personnelles effectués sur le site soient conformes au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.

Politique de protection des données

Chaque service en ligne limite la collecte des données personnelles au strict nécessaire (minimisation des données) et s’accompagne d’une information sur :

  • le responsable du traitement et les objectifs du recueil de ces données (finalités) ;
  • la base juridique du traitement de données ;
  • le caractère obligatoire ou facultatif du recueil des données pour la gestion de votre demande et le rappel des catégories de données traitées ;
  • la source des données (lorsque d’autres données que celles fournies via le service en ligne sont utilisées pour le traitement de votre demande) ;
  • les catégories de personnes concernées ;
  • les destinataires des données (uniquement L’Editeur en principe, sauf précision lorsqu’une transmission à un tiers est nécessaire) ;
  • la durée de conservation des données ;
  • les mesures de sécurité (description générale) ;
  • l’existence éventuelle de transferts de données hors de l’Union européenne ou de prises de décision automatisées ;
  • vos droits Informatique et Libertés et la façon de les exercer auprès de L’Editeur.

Les données personnelles recueillies dans le cadre des services proposés sur le site sont traitées selon des protocoles sécurisés et permettent à L’Editeur de gérer les demandes reçues dans ses applications informatiques.

Objet du traitement de données

Finalités

Le traitement a pour objet la gestion du site web administré par L’Editeur

Il permet :

la préparation et la publication de contenus ;

la mise en ligne des formulaires de contact (webforms) ;

l’administration technique en lien avec les prestataires (tierce maintenance applicative, hébergement, registraire de noms de domaine, autorité de certification) ;

la gestion de la sécurité des sites (équipements et journaux de sécurité) ;

la production de statistiques d’audience et d’utilisation des services en ligne proposés par L’Editeur

Base légale

Article 6 (1) e du règlement européen 2016/679 (règlement général sur la protection des données – RGPD)

Données traitées

Catégories de données traitées

Identité, fonctions, coordonnées ;

Données relatives à la navigation sur les sites web  (horodatage, adresse IP des usagers, données techniques relatives à l’équipement et au navigateur utilisés par les usagers, cookies) et sur les plateformes numériques via des boutons de partage et des médias (cookies et autres traceurs) ;

Données relatives à la gestion des contacts usagers (horodatage et objet de la demande, suivi, suites apportées, statistiques) ;

Données relatives à la gestion des publications (objet, livrable, suivi, statistiques) ;

Données relatives à la gestion des prestations techniques (horodatage et objet des demandes, suivi, suites données, statistiques) ;

Statistiques d’audience des sites web et d’utilisation des services en ligne proposés par L’Editeur

Source des données

Personnels de L’Editeur en charge de la publication des contenus et de l’administration technique du site web ;

Contributeurs aux publications ;

Personnels des prestataires concernés.

Caractère obligatoire du recueil des données et conséquences en cas de non-fourniture des données

Les données collectées (notamment les cookies) à l’occasion de la navigation pour la mesure de l’audience des sites web et de l’utilisation des services en ligne présentent un caractère facultatif. Les données collectées pour la réalisation des autres finalités sont recueillies de façon obligatoire, sauf – dans le cas d’une collecte directe – mention contraire dans le formulaire concerné ou sur la plateforme numérique concernée.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

Personnes concernées

Le traitement de données concerne :

les personnels de L’Editeur en charge de la publication des contenus et de l’administration technique du site ;

les membres et personnels de L’Editeur, ainsi que les tiers, identifiés dans les publications ;

les usagers des sites web administrés par L’Editeur;

les personnels des prestataires concernés.

Destinataires des données

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

les personnels de L’Editeur en charge de la publication des contenus et de l’administration technique des sites web, et leur hiérarchie ;

les personnels de L’Editeur chargés du traitement des demandes reçues via les formulaires de contact ;

les personnels des prestataires concernés ;

les usagers des sites web administrés par L’Editeur;

les personnels responsables de la supervision de la sécurité des systèmes d’information de L’Editeur

Transferts des données hors UE

Les publications sont susceptibles d’être accessibles, du fait de leur présence sur Internet, hors de l’Union européenne.

Durée de conservation des données

Les données de préparation des publications (commande, suivi, contenu éditorial) sont conservées cinq ans à compter de la mise en ligne.

Les données relatives aux échanges avec les prestataires sont conservées cinq ans au terme du marché concerné.

Les données collectées via les webforms ou les consultations sont conservées sur une durée maximale de cinq ans à compter de leur réception.

Les données des journaux (logs) sont conservées six mois.

Les données nécessaires à la production de statistiques d’audience et d’utilisation des services en ligne (outil Piwik) sont conservées dans un format ne permettant pas l’identification des personnes par leur adresse IP, et comportent un identifiant (relatif au cookie) conservé pour une durée maximale de treize mois sauf opposition de la personne concernée.

Sécurité

Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) de L’Editeur à savoir : …..

Vos droits sur les données vous concernant

Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d’un droit à la limitation du traitement de vos données.

Exercer ses droits

Le délégué à la protection des données (DPO) de L’Editeur est votre interlocuteur pour toute demande d’exercice de vos droits sur ce traitement.

Contacter le DPO par voie électronique

> Contacter le délégué à la protection des données (DPO) de L’Editeur

Contacter le DPO par courrier postal

Le délégué à la protection des données [ …]

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation au DPO

Haut
error: Content is protected !!