Aller au contenu

Sujets conseillés

Posté

(J'avais essayé de transmettre cet article à Dan la semaine dernière, mais impossible de le joindre sans être inscrit...). Le sujet intéressant des membres, je me suis inscrit !

La déclaration de site internet n'est plus ! Le service CNIL de déclaration en ligne ouvert en 2004 est fermé depuis ce 16 juin 2006. Cette fin abrupte n'est pour l'instant pas expliquée sur le site de la Commission.

Notons que sur un plan "Communication", on peut s'interroger sur l'opportunité de mettre fin à ce service. A l'heure où la CNIL multiplie des "opérations séduction" afin de développer son image, elle se prive aujourd'hui de son principal point de contact auprès des webmasters non encore experts en "Informatique et Libertés".

En quelques années, plus de 76.000 sites ont été déclarés en ligne. La CNIL avait édité un guide "Je monte un site internet" (toujours en ligne...) afin d'accompagner et de sensibiliser le plus grand nombre à cette démarche de notification. Puis la prolifération des sites et des déclarations a conduit la CNIL à diverses adaptations. Elle a ainsi audité dix sites de banques en ligne afin de vérifier leur conformité à la loi Informatique et Libertés. Elle est également intervenue pour faire cesser certains sites litigieux (par exemple affaire cyclisme.dopage.free.fr). Enfin, elle a dispensé de déclaration les sites à usage purement personnel (décision "Blogs" en décembre 2005), même diffusant des informations visées par la loi (cette dispense reprenant en

fait l'article 2 de la loi du 6 janvier 1978 excluant de son champ d'application toute activité purement personnelle).

Cette déclaration de site présentait dès l'origine une faiblesse: elle concernait un procédé technique (site web) et l'étendait aux traitements sous-jacents. Un site Web n'est en effet pas un traitement par lui-même; il n'est qu'un moyen -parmi d'autres- de collecte et diffusion des données composant des traitements: gestion des prospects, vente de produits... Le formulaire en ligne "Déclaration de site" aboutissait ainsi à regrouper divers traitements à finalités différentes, ce qui biaisait quelque peu la loi (dont la règle est un traitement = une finalité).

Si le site internet n'est pas un traitement per se, la suppression de cette déclaration de site est juridiquement une bonne décision - et on pourrait se demander pourquoi la CNIL avait mis en place ce système entretenant une certaine confusion... Cette marche arrière n'est pas une réelle surprise: le préambule de la norme simplifiée n°48 relative aux traitements automatisés de gestion de fichiers clients et prospects (7 juin 2005) indique par exemple qu'"en raison de l’utilisation de plus en plus courante de l’internet, il est apparu nécessaire d’adopter une nouvelle norme simplifiée envisageant la collecte de données par internet ainsi que la prospection par voie électronique". Le traitement client, même s'il est effectué via un site internet (par un formulaire par exemple), est donc à déclarer dans le cadre de ces "fichiers clients et prospects".

Et maintenant ? Les responsables de traitements doivent à nouveau déclarer tous leurs traitements, qui peuvent relever d'une dispense, d'une norme simplifiée, d'une déclaration normale, voire d'une demande d'autorisation. Ce qui n'est pas à franchement parler une simplification... et devrait accélérer la mise en place des Correspondants Informatique et Libertés (CIL).

Enfin, quid des personnes ayant déjà effectué une déclaration de site internet regroupant divers traitements (logs, fichiers de prospects, trombinoscope, etc)? Devront-elles déclarer tous ces traitements? Le silence de la CNIL ne permet pas de fournir de réponses - on peut espérer que la Commission communiquera rapidement sur ce point.

Cédric Crépin - Frédéric Thu.

<edit Arlette>

Posté

C'est faux ! ou alors je dois vivre dans un rêve !

Je viens de faire la déclaration CNIL des Pages Hub, pas plus tard que ce matin et j'ai reçu un email de confirmation...

En voici le début, je ne vais pas assomer tout le monde avec la totale:

Madame, Monsieur,

Nous vous confirmons la bonne réception de votre télédéclaration de conformité d'un traitement informatique de données personnelles à une Déclaration Simplifiée effectuée ce jour sur notre site www.cnil.fr.

Vous trouverez ci-après le détail de votre déclaration.

ORGANISME DECLARANT :

Statut juridique = Secteur privé

Numéro SIREN = 382575629

Numéro SIRET = 38257562900052

Code APE ou NAF = 721Z

Organisme = xxxxxxxxxxx

Sigle = WEBMASTER HUB

Service = LES PAGES HUB

Adresse = xxxxxxxxxxxx

Téléphone = 0491xxxxxx

Télécopie = 0491xxxxxx

Adresse électronique = xxxxxxxxx

Cet email a été reçu de la part de teledec_at_cnil.fr

Donc pour moi la déclaration est toujours bien effective. Ils n'on retiré que la déclaration simplifiée, mais il suffit de regarder les menus de plus près.

Il m'a fallu moins de 30 secondes pour trouver la bonne page :)

Dan

Posté

Non, il y a maldonne.

Ce qui a été supprimé, c'est la déclaration spécifique de site internet ().

La page renvoie ceci depuis le 16 juin:

Déclaration de site internet

Il n’y a plus de formulaire spécifique de déclaration de site internet. Toutefois cela ne signifie pas que vous n'avez rien à déclarer.

En effet, la collecte et/ou la diffusion de données via internet, de même que les traitements de données personnelles associés à un site web, relèvent désormais des formalités classiques : dispense de déclaration, déclaration de conformité ou déclaration normale.

Les autres déclarations (dont les "simplifiées") sont toujours accessibles (heureusement). Mais aucune ne vise spécifiquement les sites internet : on trouve "gestion fichier clients/prospects", "recouvrement de créances par les collectivités locales", "exploitation de données issues de la matrice cadastrale"... Laquelle as-tu remplie ???

Fred

Posté

J'ai rempli la déclaration de conformité... pas besoin de remplir la déclaration normale pour un site.

Comme j'ai reçu l'accusé de réception, tout me semble bon... on verra d'ici quelques jours.

Mais cela correspond bien à ce que vous citez :

En effet, la collecte et/ou la diffusion de données via internet, de même que les traitements de données personnelles associés à un site web, relèvent désormais des formalités classiques : dispense de déclaration, déclaration de conformité ou déclaration normale.

Donc je ne vois pas où est le problème...

Posté

:nonono:

?Quelle? déclaration de conformité (="norme simplifiée") as-tu remplie ??

La "conformité" s'évalue par rapport à une norme simplifiée. Celles-ci sont très limitées.

Donc, laquelle (ie : conforme à quoi ?)

Fred

Posté

La norme n° 48... qui s'applique à la gestion de fichiers de clients et de prospects.

http://www.cnil.fr/index.php?id=1838

Je fais aussi "du commerce", par exemple l'infogérance, donc elle s'applique bien à mon cas à mon avis.

Posté

Ah, ça me semble mieux.

Le site "les pages hub" peut comporter des données personnelles : donc il est dans le domaine de la loi Informatique et Libertés.

Tu vas facturer certains clients, donc... ce sont des clients. Donc, tu as regardé la liste des normes simplifiées, et tu as dit "hop, gestion clients prospects, ça joue".

Le droit, c'est un truc de précision. Donc: pour que l'exception (=la norme 48) s'applique, il faut que tu la respectes complètement (puisque c'est une norme) : http://www.cnil.fr/index.php?id=32 :

Les déclarations de conformité

Déclarer en conformité à une norme simplifiée

Cette procédure s'applique aux seuls traitements informatiques qui se conforment strictement à l'une des normes simplifiées édictées par la CNIL.

Donc, tu as lu attentivement http://www.cnil.fr/index.php?id=1838 - en particulier la liste des données autorisées (article 3) : si tu collectes ou traites, sur ton site ou dans ton traitement "back-office", une donnée non listée, alors tu sors du cadre --> tu dois remplir une déclaration normale sur papier (arghhh, elle est franchement plus complexe). Je dis "sur ton site ou en back-office": comme j'essayais de le dire sur le post initial, les données sont envisagées au niveau du traitement, pas des outils (site web, mailing-list, soft de GRC, outil de facturation...).

...

Non, c'est pas de la tarte.

Oui, la suppression de la déclaration de site internet ne simplifie pas les choses (même si c'était un non-sens juridique).

Non, on ne peut pas laisser tomber les déclarations (les sanctions sont vraiment lourdes, comme le gel/fermeture du site et du traitement complet... sur décision directe de la CNIL, sans passer par un tribunal. Et je ne parle pas des amendes).

Oui, il y a des solutions (mais je me censure).

Fred

Guest Albert_H
Posté

Pour ma part je viens a l instant de faire uen declaration a la CNIL via le formulaire en ligne

Posté

J'ai lu cette page, vu que j'ai même mis le lien dans ma précédente réponse. :)

Je suis d'accord que cela n'est pas plus simple. Mais dans le cas où une norme simplifiée peut s'appliquer (dans la mesure où, dans mon cas, la vente de liens sponsorisés ou d'espace publicitaire est bien une opération commerciale, et que les paramètres que je traite ne sont que ceux permettant la bonne exécution de cette opération) la déclaration est plutôt rapide.

Mais il est vrai qu'il faut d'abord lire un paquet de normes pour trouver celle qui peut s'appliquer. J'ai pris celle là parce qu'elle me semblait la plus appropriée.

Passe un bon weekend. ;)

Dan

Posté

Arghh ça y est je suis accro je peux plus partir d'ici. :)

Albert : Quel formulaire ? Quelle norme ?

Bon je sais, je suis ch...

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...