Академический Документы
Профессиональный Документы
Культура Документы
Depuis le 20 mars 1999, la CNIL diffuse sur son site la liste des
organismes qui se sont engagés à respecter les droits des internautes.
De fait, son élaboration a été guidée par le souci d’y faire figurer ceux
des sites auxquels les internautes, d’aujourd’hui ou de demain, ont le
plus de chance de se connecter.
1
Ainsi ont été exclus les sites publics qui font l’objet d’une procédure de demande d’avis, les sites mis
en œuvre par les établissements bancaires, les sites de recherche d’emploi ou de petites annonces, les
sites d’enchères, les sites mis en œuvre par les organismes de presse comportant le plus souvent une
activité commerciale et qui font l’objet de dispositions particulières et dérogatoires dans la directive
européenne du 24 octobre 1995.
2
Cette nomenclature est utilisée par le Benchmark Group pour ses études économiques. En 1999, les
chiffres d’affaire, en millions de Francs réalisés en ligne, étaient les suivants dans ces secteurs :
voyages (620), informatique (312), produits culturels (137), généralistes (92), alimentaire (33),
mobilier-électro ménager (25), fleurs-cadeaux (15), billetterie (7), habillement (5), jeux (2).
Etude d’évaluation de 100 sites Internet de commerce électronique
-grille d’évaluation informatique et libertés- CNIL- avril 2000
Enfin, cette liste devait comporter à la fois des “petits sites”, des “sites
autonomes” et des portails qui, par leur notoriété, constituent le passage
d’entrée le plus fréquemment utilisé pour surfer sur le Web. Bien
évidemment, d’autres secteurs d’activité pourraient ultérieurement faire
l’objet d’une telle évaluation.
L’étude ne distingue pas selon que les sites soumis à l’évaluation ont ou
n’ont pas été déclarés à la CNIL.
Sur ce point, pour les professionnels -comme d’ailleurs pour les consommateurs-, la confiance
passe d’abord par la sécurisation des paiements.
97% des sites (43 sites sur 45), qui indiquent céder les informations
collectées à des tiers partenaires commerciaux ou filiales, informent les
internautes de leur droit de s’y opposer ; dans un cas sur deux, ce droit peut
s’exercer en ligne grâce à une case à cocher.
Ce résultat est bien supérieur à la pratique actuelle dans le monde réel où l’information se
borne le plus souvent à signaler que les informations pourront être communiquées à des tiers
(partenaires commerciaux) sans préciser -parce qu’en l’état la loi du 6 janvier 1978 ne
l’impose pas explicitement- que chacun dispose du droit de s’opposer à une telle cession.
Dans un nombre très substantiel de cas ( plus de 30%), une rubrique spécifique “informatique
et libertés” est ouverte par le site, généralement accessible depuis la page d’accueil ou depuis
le formulaire de collecte ou le bon de commande. Cette pratique qui est de nature à susciter la
confiance mérite d’être encouragée.
Il est apparu intéressant d’étudier le vocabulaire qui était utilisé par les sites
dans les mentions d’informations. Dans 70% des cas (soit 48 sites sur 69)
c’est la « loi du 6 janvier 1978 » qui est évoquée.
Dans 22% des cas (15 sites sur 69) il est fait référence à la “loi informatique et liberté. La
notion de « vie privée » n’apparaît que marginalement (3% soit 2 sites sur 69), la notion de
« protection des données personnelle »” davantage encore (1,5% soit 1 site sur 69).
C’est donc la référence à la loi (92%) qui est première, ce dont il y a lieu de se féliciter. En
outre la forte notoriété de la loi du 6 janvier 1978 est ici confirmée. Enfin le concept de
protection des données personnelles est sans doute trop nouveau et trop abstrait pour évoquer
quoi que soit à quiconque.
… à de nettes insuffisances
81% des sites ne donnent aucune information sur l’usage qui peut être fait
des cookies. Cela est regrettable compte tenu des craintes que cette technologie peut
encore susciter et des usages le plus souvent légitimes que les sites concernés leur
assignent (ex : relier entre eux pendant une session plusieurs achats en vue de
l’établissement d’une facture récapitulative).
Ce résultat, qui peut paraître mauvais, doit être cependant rapporté aux dispositions de
la directive européenne du 24 octobre 1995 qui n’impose pas au responsable du
traitement d’indiquer de manière systématique le lieu d’exercice du droit d’accès, à la
différence de la loi française.
La directive, dans son article 10, précise que le responsable du traitement doit fournir à la
personne auprès de laquelle il collecte des données, notamment, une information relative à
“l’existence de droit d’accès aux données la concernant et de rectification de ces données dans
la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont
collectées, cette information supplémentaire est nécessaire pour assurer à l’égard de la
personne concernée un traitement loyal de ses données”3.
Le fait qu’un site de commerce soit affilié à un site portail ou à une plate-forme de
commerce électronique ne paraît pas conduire à une meilleure qualité de
l’information des internautes, alors même que les formulaires électroniques
utilisés par les boutiques concernées sont le plus souvent normalisés.
3
Sur ce point la loi du 6 janvier 1978 dispose dans son article 27 que les personnes doivent être
informées de l’existence d’un droit d’accès et de rectification et non pas du lieu d’exercice de ce
droit. En revanche, l’article 19 de la loi de 1978 dispose que la demande d’avis ou la déclaration doit
préciser notamment le service auprès duquel s’exerce le droit d’accès, et pour le secteur public cette
information doit figurer dans l’acte réglementant le traitement (article 20)
Etude d’évaluation de 100 sites Internet de commerce électronique
-grille d’évaluation informatique et libertés- CNIL- avril 2000
CONCLUSIONS
• Les résultats de cette première étude n’ont pas valeur scientifique. Ils confirment
cependant nettement l’attachement des sites français de commerce électronique à la
protection des données personnelles. Vingt ans de culture « Informatique et
Libertés » en France irriguent incontestablement le réseau.
• L’Europe doit davantage encore affirmer ses valeurs communes. Les résultats de
cette étude ont été présentés à la conférence européenne des commissaires à la
protection des données réunie les 6 et 7 avril 2000 à Stockholm, afin que l’Union
européenne harmonise ses pratiques pour renforcer la confiance sur Internet. La
délégation française, présidée par M. Michel GENTOT, a suggéré que soit étudiée
la faisabilité d’un label européen de protection des données par le groupe de
l’ « Article 29 ».
Labellisation
Inciter les organismes de labellisation ou de certification à intégrer la protection des
données personnelles et de la vie privée dans leurs référentiels.
Sensibiliser entreprises et consommateurs sur la place majeure qui doit être celle
de la protection des données personnelles en matière de commerce électronique,
en tant que facteur de confiance et de sécurisation des internautes-
consommateurs.
1.3.2. accessibles depuis une icône en page d’accueil conduisant à une charte, des conditions
générales de vente, un texte “pavé d’informations légales”, une rubrique “privacy” ou
“protection des données personnelles ? oui / non
4.2.1. une indication dans les barres du logiciel de navigation (icône, logo, ouverture d’une
fenêtre, cf. les exemples joints) assure-t-elle que l’opération est sécurisée ?
oui / non
4.2.2. Une information complémentaire est-elle fournie indiquant le procédé technologique et/
ou le nom d’un organisme certificateur (EX : données cryptées par SSL, signature certifiée par
Cert Plus) ?
oui / non
5.1. le site ne comporte aucune information sur la vie privée et les données personnelles, ni aucune
mention de la loi informatique et liberté
5.2. le site comporte une information ou une mention sur la vie privée et les données personnelles
5.2.1. cette mention apparaît sur tous les formulaires de collecte ?
5.2.2. cette mention n’apparaît que sur quelques formulaires de collecte ?
5.2.3. cette mention figure dans une rubrique spécialement consacrée à “l’informatique et
aux libertés”, à la “protection de la vie privée ou des données personnelles”, ou à la “privacy”
?
5.2.4. cette mention figure dans une rubrique “mentions légales” ou “conditions générales de
vente” qui ne serait pas exclusivement consacrée à la protection des données ?
6.1. le caractère obligatoire ou facultatif des informations collectées est-il explicitement apparent sur
le formulaire de collecte ?4 oui / non
6.4. y a-t-il désignation d’un service, d’une personne, d’un mail ou d’une hot line dédiée à la
protection des données ? oui / non
6.5. est-il indiqué que les données collectées sont à usage purement interne (sans cession à des tiers) ?
oui / non
4
Indiqué en haut du formulaire ou par une indication spécifique à côté de la question posée.
5
Cette case devra être cochée dès lors que cette indication est portée sur au moins un des formulaires de collecte
d’information.
6.6.2. cette indication figure-t-elle ailleurs que sur le formulaire de collecte ? oui / non
6.7.1. est-il précisé que l’on peut s’opposer à une telle cession ? oui / non
6.8. le droit d’opposition peut il s’exercer en ligne (case à cocher, clic, autres) ? oui / non
Question 7 : présence sur le site d’un espace public de discussion oui / non
7.1. y a-t-il dans ces espaces publics de discussion une mention d’information indiquant aux visiteurs
que les contributions et e-mails ne doivent pas être capturées à d’autres fins que celle qui est l’objet
de l’espace concerné ?
oui / non
7.2. y a-t-il une indication faisant état de l’existence d’un modérateur ? oui / non
7.3. y a-t-il une indication générale précisant des règles d’usage ou de responsabilité ?
oui / non
7.5. y a-t-il une indication précisant que l’on peut demander la suppression de ses propres
contributions? oui / non
7.6. y a-t-il une indication précisant la durée pendant laquelle les contributions sont diffusées ?
oui / non
8.1. un ou plusieurs cookies vous sont-ils présentés (fenêtre s’ouvrant sur votre écran) ?
oui / non
si oui,
8.2. s’agit-il d’un cookie de “session” (cf. Rubrique “propriétés” présentée sur la fenêtre du cookie) ?
oui / non
8.5. le refus d’un cookie qui ne serait pas un cookie de “mémoire” empêche-t-il l’accès au site ?
oui / non
8.6. l’internaute est-il informé par le site de l’usage des cookies dans une page particulière ?
oui / non
8.7. cette information est- elle accessible dès la page d’accueil ? oui / non
8.8.1. de connaître l’utilisation qui sera faite des informations (finalité des cookies) ?
oui / non
8.8.2. de connaître la durée de validité technique des cookies ? oui / non
9.1. ce site est- il présenté comme étant exclusivement destiné à des majeursoui
? / non
6
9.2. ce site est susceptible d’attirer des mineurs : propose-t- il une information spécifiqueà
l’attention :
9.3. y a-t- il sur ce site un espace dédié aux mineurs ? (site junior, questions junior, forums
juniors)
oui / non
9.3.1. dans l’affirmative, collecte-t-il des données personnelles autres que le prénom ?
9.4. une information particulière est-elle donnée au mineur l’incitant à informer au préalable
ses parents ? oui / non
6
Autre que le fait qu’il est exclusivement destiné à des majeurs.
Page 15
16
Cette étude avait pour objet de disposer d’une photographie, à un moment donné, de l’état de
la protection des données en France sur leweb afin, notamment, d’apprécier l’effectivité des
engagements de protection des données pris par les entreprises.
Cette étude fait apparaître que votre sitewww.... n’a pas, sauf erreur de notre part, été déclaré
à la CNIL. Or, il résulte de l’article 16 de la loi du 6 janvier 1978 que tout traitement
automatisé d’informations nominatives doit faire l’objet d’une déclaration à la CNIL. Cette
situation doit être régularisée au plus tôt.
Je souhaite également vous rappeler qu’au-delà de cette obligation déclarative, votre site doit,
en application de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés :
- indiquer sur l’ensemble des formulaires si les données collectées seront ou non
communiquées ou mises à la disposition de tiers non liés à la prestation, tels que des
partenaires commerciaux, filiales,etc, et, dans l’affirmative, préciser aux personnes leur droit
de s’y opposer. Je vous rappelle que la CNIL recommande que ce droit puisse s’exercer en
ligne, par l’apposition, par exemple, d’une case à cocher.
Enfin, dans le souci de renforcer la confiance surinternet, la CNIL recommande aux sites de
dédier une rubrique, accessible depuis la page d’accueil ou le formulaire de collecte, à la
protection des données personnelles et à la vie privée. L’existence et le lieu d’exercice du
droit d’accès peut utilement être précisé dans cette rubrique.
De manière plus générale la CNIL estime que tous les sites auraient avantage à informer les
internautes, compte tenu des craintes que lescookies peuvent encore susciter et des usages le
plus souvent légitimes que les sites concernés leur assignent, de leurs fonctionnalités et de
leur éventuelle utilité.
[Pour les plates-formes électroniques : Compte tenu du rôle qui est le vôtre, une
harmonisation des pratiques en matière de protection des données personnelles de l’ensemble
des sites que vous fédérez paraît indispensable à une bonne application de la loi et pourrait
contribuer à accroître la confiance.]