PROTECTION DES DONNÉES

PERSONNELLES ET DE LA VIE PRIVÉE

e-COMMERCE EN France

EVALUATION DE 100 SITES FRANCAIS DE COMMERCE ELECTRONIQUE

Passer du discours sur la protection des données personnelles à la mise

en œ uvre effective des droits des internautes sur le Web

La protection des données personnelles et de la vie privée est présentée comme un

enjeu majeur de la société de l’information, tant par les pouvoirs publics que par les
acteurs du commerce électronique.

La CNIL contribue depuis plusieurs années à mieux faire diffuser la “culture”

informatique et libertés sur le Web.

La CNIL a conçu un formulaire de déclaration simplifié spécialement adapté aux sites

web.

Depuis juillet 1998 ce formulaire est téléchargeable en ligne depuis

www.cnil.fr.

En janvier 1999, la procédure de déclaration a été complètement

dématérialisée : le formulaire de déclaration peut être adressé en ligne grâce
à un programme téléchargeable assurant la confidentialité de la
transmission.

Depuis le 20 mars 1999, la CNIL diffuse sur son site la liste des
organismes qui se sont engagés à respecter les droits des internautes.

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
En outre un guide pratique « Je monte un site internet » est à la disposition
de tous les professionnels, accompagné de modèles de mentions
d’information, sur le site de la CNIL.

A ce jour plus de 4.000 organismes publics ou privés ont déclaré un ou

plusieurs sites à la CNIL.

La seule obligation déclarative des sites Internet n’est cependant pas

suffisante pour assurer que le niveau de protection exigé par la loi du 6
janvier 1978 est systématiquement atteint.

Ce constat a conduit la Commission à procéder à une évaluation

“informatique et libertés” de 100 sites de commerce électronique afin
de disposer d’une photographie, à un moment donné, de l’état de la
protection des données en France sur le Web.

En réalisant cette étude et en diffusant ces résultats, la CNIL souhaite

favoriser une claire prise de conscience de la part des acteurs :

au-delà du débat actuellement en cours sur le meilleur mode de

régulation de l’Internet, il convient de passer du discours sur la
protection des données personnelles à la mise en œ uvre effective des
droits fondamentaux des internautes.

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
Méthodologie : évaluer des sites de commerce électronique

Le choix a été fait de ne retenir que des sites de commerce électronique au

sens strict, c’est-à-dire des sites qui peuvent amener à accomplir un acte
d’achat.

Une liste de sites de commerce électronique a ainsi été arrêtée1 en tenant

compte tout à la fois de l’importance du trafic généré par ces sites, tel qu’il
résulte de plusieurs études d’audience régulièrement diffusées sur Internet,
et de la notoriété de la marque ou de l’enseigne dans le monde réel ou sur
Internet.

De fait, son élaboration a été guidée par le souci d’y faire figurer ceux
des sites auxquels les internautes, d’aujourd’hui ou de demain, ont le
plus de chance de se connecter.

Cette liste recouvre les grands secteurs d’activité du commerce

électronique2 :

Les produits culturels (livres, CD audio, CD Rom, billetterie ...)

Informatique (matériels et logiciels)
Tourisme (vols, hébergement)
Vente de fleurs ,Vente de vins
Grande distribution
Automobile
Alimentation
Sites réservés aux adultes
Autres (vêtements, jouets ...)

1
Ainsi ont été exclus les sites publics qui font l’objet d’une procédure de demande d’avis, les sites mis
en œuvre par les établissements bancaires, les sites de recherche d’emploi ou de petites annonces, les
sites d’enchères, les sites mis en œuvre par les organismes de presse comportant le plus souvent une
activité commerciale et qui font l’objet de dispositions particulières et dérogatoires dans la directive
européenne du 24 octobre 1995.
2
Cette nomenclature est utilisée par le Benchmark Group pour ses études économiques. En 1999, les
chiffres d’affaire, en millions de Francs réalisés en ligne, étaient les suivants dans ces secteurs :
voyages (620), informatique (312), produits culturels (137), généralistes (92), alimentaire (33),
mobilier-électro ménager (25), fleurs-cadeaux (15), billetterie (7), habillement (5), jeux (2).
Etude d’évaluation de 100 sites Internet de commerce électronique
-grille d’évaluation informatique et libertés- CNIL- avril 2000
Enfin, cette liste devait comporter à la fois des “petits sites”, des “sites
autonomes” et des portails qui, par leur notoriété, constituent le passage
d’entrée le plus fréquemment utilisé pour surfer sur le Web. Bien
évidemment, d’autres secteurs d’activité pourraient ultérieurement faire
l’objet d’une telle évaluation.

L’étude ne distingue pas selon que les sites soumis à l’évaluation ont ou
n’ont pas été déclarés à la CNIL.

La grille d’évaluation préparée par la CNIL est jointe en annexe.

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
Enseignements généraux : de bons résultats

96% des sites étudiés sécurisent la transmission des coordonnées

bancaires et 70% donnent aux internautes une information complémentaire
sur le procédé de sécurisation utilisé.
Les sites manifestent le souci de recourir à des procédés de paiement sécurisés et à donner sur
ce point des explications complémentaires aux internautes. Sur l’échantillon étudié, 90 sites sur
100 offraient la possibilité d’un paiement en ligne.

Sur ce point, pour les professionnels -comme d’ailleurs pour les consommateurs-, la confiance
passe d’abord par la sécurisation des paiements.

97% des sites (43 sites sur 45), qui indiquent céder les informations
collectées à des tiers partenaires commerciaux ou filiales, informent les
internautes de leur droit de s’y opposer ; dans un cas sur deux, ce droit peut
s’exercer en ligne grâce à une case à cocher.
Ce résultat est bien supérieur à la pratique actuelle dans le monde réel où l’information se
borne le plus souvent à signaler que les informations pourront être communiquées à des tiers
(partenaires commerciaux) sans préciser -parce qu’en l’état la loi du 6 janvier 1978 ne
l’impose pas explicitement- que chacun dispose du droit de s’opposer à une telle cession.

69% des sites comportent une information spécifique sur la loi

“informatique et libertés”.
On observe que cette information est le plus souvent faite (dans plus de 40% des cas) sur
chacun des formulaires de collecte, c’est à dire à toute occasion où un internaute peut être
amené à livrer des données personnelles. Dans 27% des cas cette information est faite sur
plusieurs formulaires de collecte mais pas sur tous, ce qui s’explique sans doute davantage par
une négligence des responsables de sites que par une volonté délibérée.

Dans un nombre très substantiel de cas ( plus de 30%), une rubrique spécifique “informatique
et libertés” est ouverte par le site, généralement accessible depuis la page d’accueil ou depuis
le formulaire de collecte ou le bon de commande. Cette pratique qui est de nature à susciter la
confiance mérite d’être encouragée.

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
Terminologie : la référence à la loi « Informatique et Libertés »

Il est apparu intéressant d’étudier le vocabulaire qui était utilisé par les sites
dans les mentions d’informations. Dans 70% des cas (soit 48 sites sur 69)
c’est la « loi du 6 janvier 1978 » qui est évoquée.
Dans 22% des cas (15 sites sur 69) il est fait référence à la “loi informatique et liberté. La
notion de « vie privée » n’apparaît que marginalement (3% soit 2 sites sur 69), la notion de
« protection des données personnelle »” davantage encore (1,5% soit 1 site sur 69).

C’est donc la référence à la loi (92%) qui est première, ce dont il y a lieu de se féliciter. En
outre la forte notoriété de la loi du 6 janvier 1978 est ici confirmée. Enfin le concept de
protection des données personnelles est sans doute trop nouveau et trop abstrait pour évoquer
quoi que soit à quiconque.

… à de nettes insuffisances

40% des sites étudiés n’indiquent pas clairement l’adresse physique du

responsable du site, pourtant, cette référence serait de nature à renforcer la
confiance.

81% des sites ne donnent aucune information sur l’usage qui peut être fait
des cookies. Cela est regrettable compte tenu des craintes que cette technologie peut
encore susciter et des usages le plus souvent légitimes que les sites concernés leur
assignent (ex : relier entre eux pendant une session plusieurs achats en vue de
l’établissement d’une facture récapitulative).

55% des sites étudiés n’ont pas été déclarés à la CNIL.

Cette situation est d’autant plus préjudiciable pour les consommateurs qu’une très forte
corrélation est observée entre déclaration à la CNIL et qualité de l’information délivrée
aux internautes.

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
Droit d’accès : le grand absent
52% des sites ne précisent pas le lieu où s’exerce le droit d’accès reconnu par nos
législations. Ajoutons cependant que sur ces 52 sites qui ne le précisent pas, 3 d’entre
eux mettent à disposition des internautes une hot line dédiée à la protection des
données. Il demeure toutefois que la moitié des sites n’indiquent pas où s’exerce le
droit d’accès.

Ce résultat, qui peut paraître mauvais, doit être cependant rapporté aux dispositions de
la directive européenne du 24 octobre 1995 qui n’impose pas au responsable du
traitement d’indiquer de manière systématique le lieu d’exercice du droit d’accès, à la
différence de la loi française.

La directive, dans son article 10, précise que le responsable du traitement doit fournir à la
personne auprès de laquelle il collecte des données, notamment, une information relative à
“l’existence de droit d’accès aux données la concernant et de rectification de ces données dans
la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont
collectées, cette information supplémentaire est nécessaire pour assurer à l’égard de la
personne concernée un traitement loyal de ses données”3.

Les sites « Portails » : des progrès doivent être faits

L’évaluation des sites a porté notamment sur 8 sites affiliés à des portails ou des plate-formes.

Le fait qu’un site de commerce soit affilié à un site portail ou à une plate-forme de
commerce électronique ne paraît pas conduire à une meilleure qualité de
l’information des internautes, alors même que les formulaires électroniques
utilisés par les boutiques concernées sont le plus souvent normalisés.

3
Sur ce point la loi du 6 janvier 1978 dispose dans son article 27 que les personnes doivent être
informées de l’existence d’un droit d’accès et de rectification et non pas du lieu d’exercice de ce
droit. En revanche, l’article 19 de la loi de 1978 dispose que la demande d’avis ou la déclaration doit
préciser notamment le service auprès duquel s’exerce le droit d’accès, et pour le secteur public cette
information doit figurer dans l’acte réglementant le traitement (article 20)
Etude d’évaluation de 100 sites Internet de commerce électronique
-grille d’évaluation informatique et libertés- CNIL- avril 2000
CONCLUSIONS

• Les résultats de cette première étude n’ont pas valeur scientifique. Ils confirment
cependant nettement l’attachement des sites français de commerce électronique à la
protection des données personnelles. Vingt ans de culture « Informatique et
Libertés » en France irriguent incontestablement le réseau.

• La France peut mieux faire. La déclaration des sites à la CNIL – complètement

dématérialisée – en constitue encore l’occasion. Elle est une manière de
« labellisation publique », moment où la pédagogie et l’engagement déontologique
se nouent.

• L’Europe doit davantage encore affirmer ses valeurs communes. Les résultats de
cette étude ont été présentés à la conférence européenne des commissaires à la
protection des données réunie les 6 et 7 avril 2000 à Stockholm, afin que l’Union
européenne harmonise ses pratiques pour renforcer la confiance sur Internet. La
délégation française, présidée par M. Michel GENTOT, a suggéré que soit étudiée
la faisabilité d’un label européen de protection des données par le groupe de
l’ « Article 29 ».

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
Les initiatives de la CNIL pour renforcer la confiance sur Internet

Vers les sites

Rappeler les sites non déclarés à l’observation de la loi.

Vers les portails et organisations professionnelles

Inviter les organisations professionnelles, les plates-formes et les portails de commerce
électronique à jouer leur rôle de relais “informatique et libertés” auprès de l’ensemble
des organismes ou des sites qu’ils fédèrent.

Vers les mineurs

Formuler des propositions d’information spécifique pour les sites susceptibles d’attirer
les mineurs.

Labellisation
Inciter les organismes de labellisation ou de certification à intégrer la protection des
données personnelles et de la vie privée dans leurs référentiels.

Et bien sûr communiquer les résultats de cette étude pour :

Sensibiliser entreprises et consommateurs sur la place majeure qui doit être celle
de la protection des données personnelles en matière de commerce électronique,
en tant que facteur de confiance et de sécurisation des internautes-
consommateurs.

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
 Paris le 16 février 2000

GRILLE D’ÉVALUATION INFORMATIQUE ET LIBERTÉS

DE 100 SITES DE COMMERCE ÉLECTRONIQUE

Question 1 : identification du site

1.1. nom de domaine du site http://www. .....................................

code correspondant de la nomenclature .......................

1.2. site déclaré oui / non

numéro d’enregistrement CNIL ........................

1.3. le nom et l’adresse physiques de l’organisme responsable du site sont- ils clairement accessibles ?

1.3.1. affichés directement sur la page d’accueil ? oui / non

1.3.2. accessibles depuis une icône en page d’accueil conduisant à une charte, des conditions
générales de vente, un texte “pavé d’informations légales”, une rubrique “privacy” ou
“protection des données personnelles ? oui / non

Question 2 : présence de publicité sur le site

2.1. le site comporte-t-il de la publicité ? oui / non

Question 3 : collecte de données personnelles sur le site

3.1. le site collecte-t-il des données personnelles ? oui / non

Question 4 : possibilité d’effectuer des achats en ligne

4.1. le site permet-il d’effectuer un achat en ligne ? oui / non

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
4.2. uniquement en cas de prise de commande possible, avec paiement en ligne,

4.2.1. une indication dans les barres du logiciel de navigation (icône, logo, ouverture d’une
fenêtre, cf. les exemples joints) assure-t-elle que l’opération est sécurisée ?
oui / non

4.2.2. Une information complémentaire est-elle fournie indiquant le procédé technologique et/
ou le nom d’un organisme certificateur (EX : données cryptées par SSL, signature certifiée par
Cert Plus) ?
oui / non

Question 5 : existence d’une information sur la protection des données personnelles

5.1. le site ne comporte aucune information sur la vie privée et les données personnelles, ni aucune
mention de la loi informatique et liberté

5.2. le site comporte une information ou une mention sur la vie privée et les données personnelles
5.2.1. cette mention apparaît sur tous les formulaires de collecte ?
5.2.2. cette mention n’apparaît que sur quelques formulaires de collecte ?

5.2.3. cette mention figure dans une rubrique spécialement consacrée à “l’informatique et
aux libertés”, à la “protection de la vie privée ou des données personnelles”, ou à la “privacy”
?

dans ce cas, le renvoi à cette rubrique s’effectue,

5.2.3.1. depuis la page d’accueil ? oui / non

5.2.3.2. depuis un formulaire de collecte ? oui / non
5.2.3.3. depuis le bon de commande ? oui / non
5.2.3.4. depuis le forum de discussion ? oui / non

5.2.4. cette mention figure dans une rubrique “mentions légales” ou “conditions générales de
vente” qui ne serait pas exclusivement consacrée à la protection des données ?

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
5.3. dans la terminologie à laquelle elles recourent, ces mentions font- elles référence à

5.3.1. la loi du 6 janvier 1978 ?

5.3.2. la loi informatique et libertés ?
5.3.3. la protection des données personnelles ?
5.3.4. la protection de la vie privée ?
5.3.5. la privacy ?
5.3.6. autre ?

si oui quel terme est utilisé ...............................

Question 6 : contenu de l’information sur la protection des données personnelles

6.1. le caractère obligatoire ou facultatif des informations collectées est-il explicitement apparent sur
le formulaire de collecte ?4 oui / non

6.2. le lieu d’exercice du droit d’accès est- il indiqué ? oui / non

6.3. est-il possible d’exercer le droit d’accès en ligne ? oui / non

6.4. y a-t-il désignation d’un service, d’une personne, d’un mail ou d’une hot line dédiée à la
protection des données ? oui / non

6.5. est-il indiqué que les données collectées sont à usage purement interne (sans cession à des tiers) ?
oui / non

6.5.1 cette indication figure-t-elle sur le formulaire de collecte

6.5.2. cette indication figure-t-elle ailleurs que sur le formulaire de collecte ?5

oui / non

si oui sur quel document....................................

4
Indiqué en haut du formulaire ou par une indication spécifique à côté de la question posée.
5
Cette case devra être cochée dès lors que cette indication est portée sur au moins un des formulaires de collecte
d’information.

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
6.6. est-il précisé que les données collectées pourront être communiquées à d’autres destinataires que
le site (partenaires commerciaux, filiales d’un groupe, autres) ? oui / non

6.6.1. cette indication figure-t-elle sur le formulaire de collecte ? oui / non

6.6.2. cette indication figure-t-elle ailleurs que sur le formulaire de collecte ? oui / non

6.7. lorsqu’une communication de données à des tiers est indiquée :

6.7.1. est-il précisé que l’on peut s’opposer à une telle cession ? oui / non

6.7.2. cette indication figure-t-elle sur le formulaire de collecte ?

6.7.3. cette indication figure-t-elle ailleurs que sur le formulaire de collecte ?

6.8. le droit d’opposition peut il s’exercer en ligne (case à cocher, clic, autres) ? oui / non

6.8.1. directement sur le formulaire de collecte de données

6.8.2. ailleurs que sur le formulaire de collecte de données

si oui à partir de quel document ..........................................................................

Question 7 : présence sur le site d’un espace public de discussion oui / non

7.1. y a-t-il dans ces espaces publics de discussion une mention d’information indiquant aux visiteurs
que les contributions et e-mails ne doivent pas être capturées à d’autres fins que celle qui est l’objet
de l’espace concerné ?
oui / non
7.2. y a-t-il une indication faisant état de l’existence d’un modérateur ? oui / non

7.3. y a-t-il une indication générale précisant des règles d’usage ou de responsabilité ?
oui / non

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
7.4. y a-t-il une indication relative du droit d’accès, de rectification oui / non

7.5. y a-t-il une indication précisant que l’on peut demander la suppression de ses propres
contributions? oui / non

7.6. y a-t-il une indication précisant la durée pendant laquelle les contributions sont diffusées ?
oui / non

Question 8 : utilisation de la technique des cookies

8.1. un ou plusieurs cookies vous sont-ils présentés (fenêtre s’ouvrant sur votre écran) ?
oui / non

si oui,

8.2. s’agit-il d’un cookie de “session” (cf. Rubrique “propriétés” présentée sur la fenêtre du cookie) ?
oui / non

8.3. s’agit-il d’un cookie de “mémoire” ? oui / non

(À des fins de conservation d’un mot de passe ou de la commande d’un bien)

8.4. le ou les cookies sont émis par le site ou par un intermédiaire ?

8.5. le refus d’un cookie qui ne serait pas un cookie de “mémoire” empêche-t-il l’accès au site ?
oui / non

8.6. l’internaute est-il informé par le site de l’usage des cookies dans une page particulière ?
oui / non

8.7. cette information est- elle accessible dès la page d’accueil ? oui / non

8.8. l’information accessible permet- elle :

8.8.1. de connaître l’utilisation qui sera faite des informations (finalité des cookies) ?
oui / non
8.8.2. de connaître la durée de validité technique des cookies ? oui / non

Etude d’évaluation de 100 sites Internet de commerce électronique

-grille d’évaluation informatique et libertés- CNIL- avril 2000
 15

8.8.3. de savoir si les informations collectées par le biais des

cookies seront mises à la
dispositions de tiers ?oui / non
8.8.4. de savoir comment faire pour désactiver lescookies, c’est-à-dire pour les effacer
de la mémoire de son ordinateur (disque dur) ?oui / non

Question 9 : protection des mineurs

9.1. ce site est- il présenté comme étant exclusivement destiné à des majeursoui
? / non
6
9.2. ce site est susceptible d’attirer des mineurs : propose-t- il une information spécifiqueà
l’attention :

des parents ? oui / non

des mineurs ? oui / non

9.3. y a-t- il sur ce site un espace dédié aux mineurs ? (site junior, questions junior, forums
juniors)
oui / non

9.3.1. dans l’affirmative, collecte-t-il des données personnelles autres que le prénom ?

9.3.1.1. en particulier la date de naissance ? oui / non

9.3.1.2. l’adresse de courrier électronique ou physique ? oui / non

9.4. une information particulière est-elle donnée au mineur l’incitant à informer au préalable
ses parents ? oui / non

6
Autre que le fait qu’il est exclusivement destiné à des majeurs.

Page 15
 16

Lettre adressée aux responsables de sites

Monsieur,

La Commission vient de réaliser une étude d’évaluation de 100 sites de commerce

électronique dont vous trouverez, ci-joint, les principaux résultats et enseignements, tels qu’ils
ont été rendus publics.

Cette étude avait pour objet de disposer d’une photographie, à un moment donné, de l’état de
la protection des données en France sur leweb afin, notamment, d’apprécier l’effectivité des
engagements de protection des données pris par les entreprises.

Cette étude fait apparaître que votre sitewww.... n’a pas, sauf erreur de notre part, été déclaré
à la CNIL. Or, il résulte de l’article 16 de la loi du 6 janvier 1978 que tout traitement
automatisé d’informations nominatives doit faire l’objet d’une déclaration à la CNIL. Cette
situation doit être régularisée au plus tôt.

Je souhaite également vous rappeler qu’au-delà de cette obligation déclarative, votre site doit,
en application de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés :

- indiquer clairement l’identité et l’adresse physique du responsable du site,

- faire apparaître sur tout formulaire électronique de collecte d’informations le caractère

obligatoire ou facultatif des réponses, au moyen par exemple d’un astérisque,

- indiquer sur l’ensemble des formulaires si les données collectées seront ou non
communiquées ou mises à la disposition de tiers non liés à la prestation, tels que des
partenaires commerciaux, filiales,etc, et, dans l’affirmative, préciser aux personnes leur droit
de s’y opposer. Je vous rappelle que la CNIL recommande que ce droit puisse s’exercer en
ligne, par l’apposition, par exemple, d’une case à cocher.

Enfin, dans le souci de renforcer la confiance surinternet, la CNIL recommande aux sites de
dédier une rubrique, accessible depuis la page d’accueil ou le formulaire de collecte, à la
protection des données personnelles et à la vie privée. L’existence et le lieu d’exercice du
droit d’accès peut utilement être précisé dans cette rubrique.

De manière plus générale la CNIL estime que tous les sites auraient avantage à informer les
internautes, compte tenu des craintes que lescookies peuvent encore susciter et des usages le
plus souvent légitimes que les sites concernés leur assignent, de leurs fonctionnalités et de
leur éventuelle utilité.

[Pour les plates-formes électroniques : Compte tenu du rôle qui est le vôtre, une
harmonisation des pratiques en matière de protection des données personnelles de l’ensemble
des sites que vous fédérez paraît indispensable à une bonne application de la loi et pourrait
contribuer à accroître la confiance.]

Les services de la Commission se tiennent bien entendu à votre disposition. Un formulaire de

déclaration, accompagné d’exemples type de mentions d’information, est disponible sur le
site www.cnil.fr. J’ajoute que la procédure de déclaration à la CNIL est entièrement
dématérialisée et que la CNIL diffuse sur son site l’ensemble des organismes qui se sont
engagés auprès d’elle à respecter les droits reconnus aux internautes par la loi.
Michel GENTOT
Page 16