Constituer une base de données clients/prospects n'est pas sans risques juridiques

L'internaute est un potentiel client, son profilage permet de proposer une offre en adéquation avec ses attentes.

Toutefois, toutes les méthodes de collectes de données personnelles, telles les adresses mail, doivent être utilisées dans le respect d'un cadre légal.
Ces données sont celles permettant d'identifier directement ou indirectement une personne physique : les noms, prénoms, adresses, date et lieu de naissance sont par exemple des données permettant d'identifier clairement une personne. Quant au numéro de téléphone voire même l'adresse IP d'un ordinateur, elles permettent d'identifier indirectement une personne.

L'usage de ces données à caractère personnel est encadré par la Loi informatique et liberté (1978).

Cette loi impose un certain nombre de contraintes impératives qu'il convient de respecter sous peine de sanctions pénales lourdes.
A cet égard la personne qui collecte et traite informatiquement des données à caractère personnel doit notamment :

Prévoir une personne responsable du traitement informatique des données personnelles ;
Avertir l'internaute de la collecte des données le concernant mais surtout obtenir son consentement préalable à une telle collecte (« opt-in ») ;
Indiquer quel sera le destinataire de ces informations et quelle sera la finalité d'une telle collecte ; attention, les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées ;
Les données personnelles ont une date de péremption; le responsable du fichier devra fixer une durée de conservation raisonnable en fonction de l'objectif du fichier ;
Le responsable du traitement devra adopter des mesures de sécurité (sécurité des locaux et des systèmes d'information) adaptées à la nature des données et aux risques présentés par le traitement ;
Indiquer à l'internaute qu'il a le droit de s'opposer au traitement de ses données, le droit d'accéder à ces informations et d'en exiger la rectification ; ainsi, vous devez préciser le caractère facultatif ou non des informations à renseigner.
En outre, elles ne doivent pas être collectées par des moyens frauduleux, déloyaux ou illicites. De tels agissements sont punis de 5 ans d'emprisonnement et de 300.000 € d'amende.

La personne qui collecte et traite lesdites données sera également tenue de le déclarer auprès de la CNIL.
Sauf dérogation, il n'est pas possible de collecter des données sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la vie sexuelle ou à la santé). En l'espèce, l'autorisation de la CNIL sera alors nécessaire.

Après une telle déclaration, la CNIL attribue un n° de déclaration.

 

(27/08/2009)