Pour faire suite à notre article sur la CNIL et les Cookies , je vous propose un rapide tour d’horizon des obligations légales des sites web.
Beaucoup à dire sur le sujet puisque contrairement à ce que l’on imagine généralement, ces obligations légales ne sont pas les seules règles de droit qu’il faut respecter lorsque l’on met en place un site internet. Nous pourrons revenir plus tard sur ce sujet plutôt vaste. Quelques exemple : les droits à la propriété intellectuelle, la conservation obligatoire des données de connexion pour les créateurs de contenu, le dénigrement, l’utilisation de contenus illicites, etc, sans parler non plus de l’avenir avec le projet européen sur la protection des traitement des données.
Concentrons nous pour commencer sur les mentions légales. Que dit la loi ?
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et en particulier son article 6.
Tout site interne a obligation de présenter des “mentions légales” accessibles. Ces “mentions légales” ou “conditions générales d’utilisation” doivent indiquer suivant les cas:
- personne physique > les nom et prénom, l’adresse de son domicile, son Numéro de téléphone, RCS ou immatriculation au répertoire des métiers si l’activité est rémunératrice. Toutefois si les informations sur l’hébergeur sont correctement remplies, il est possible de ne pas indiquer ces mentions personnelles.
- personne morale (société) : sa raison sociale, son capital social, sa forme juridique, l’adresse de son siège ou d’un établissement, montant du capital social, le RCS, SIREN, TVA intracommunautaire et les noms et prénoms du ou des directeurs de publication ou responsable de la rédaction.
- pour une profession réglementée : référence aux règles professionnelles applicables et au titre professionnel, coordonnées de l’autorité ayant délivré l’autorisation d’exercer la profession,
- Hébergement : coordonnées de l’hébergeur, dénomination ou raison sociale, numéro de téléphone,
- Pour un site e-commerce (marchand) : conditions générales de vente (CGV), prix (€ et TTC), frais et date de livraison, modalités de paiement, service après-vente, délais droit de rétractation, durée de l’offre, coût de la technique de communication à distance, conditions de remboursement,
- Conditions Générales d’utilisation (CGU) : Doits applicablee en cas de litige, utilisation spécifique des services tels que les navigateurs, les plugins, les popup…
- Traitement des fichiers tels que les newsletters par exemple : utilisation des données, cession ou non des données collectées à des tiers, procédure de désinscription, de modification des données.
- Numéro de déclaration Cnil, dans le cas de collecte de données sur les clients.
Déclaration à la CNIL
Tout le monde connait la Commission Nationale de l’Informatique et des Libertés, cet organisme est en charge de veiller à ce que l’informatique reste au service du citoyen sans lui porter atteinte.
Il n’est pas obligatoire de déclarer un site web à la CNIL mais par contre dès que ce site entraîne la création ou l’utilisation d’un fichier de données personnelles, il y a obligation de déclaration ou “formalités préalables” sauf évidemment si vous en êtes dispensé. Et oui, rien n’est simple, il existe par exemple 4 types de déclarations différentes + les dispenses :
- Déclaration normale
- Déclaration simplifiée
- Déclaration de modification
- Déclaration de suppression
- et donc les dispenses (11 à ce jour)
Heureusement la CNIL a fait évoluer son outil en ligne pour nous aider à nous y retrouver, mais malgré tout, mieux vaut s’armer de patience pour en venir à bout : tester ici
La CNIL ne se contente pas de récolter vos déclaration et éventuellement de sanctionner (ou pas) si ces obligations ne sont pas remplies, elle se préoccupe également de la sécurité des données collectées. Dans la pratique, l’organisme sanctionne ou plutôt Averti.
Le cas de la faille de sécurité chez Orange en avril 2014, faille ayant entraîné la fuite des coordonnées d’un million de clients, une paille. La CNIL a prononcé un “Avertissement public”. Ou encore l’exemple de DHL, idem.
L’effet n’est pas dissuasif j’en conviens. Par contre, qu’un client lésé porte plainte pour divulgation de ses données personnelles ou défaut de sécurité dans le stockage des données, peut conduire à des sanctions beaucoup plus importantes surtout si ces “infractions” sont constatées par la CNIL.
Conclusion :
Les méandres de la législation sont tellement complexes que beaucoup d’éditeurs ou de créateurs de sites web se contentent d’un respect minimum de ces règles. Il est vrai que les risques “directs” peuvent sembler faibles au regard des moyens à engager pour rester à niveau. Je vous invite à jeter un oeil sur la jurisprudence indiqué par le site Legalis , où l’on comprend que les risques ne sont pas forcément là où on les attend.