Protéger les données personnelles avec la déclaration CNIL

Déclaration CNIL : déclarer sa collecte
de données personnelles

MAJ du 10 juin 2018 : il n’est plus nécessaire de déclarer un site web à la CNIL, depuis l’entrée en vigueur du RGPD le 25 mai dernier. Selon la Commission :

« Si votre site web permet de collecter des données personnelles (questionnaire en ligne, commande en ligne, création d’un compte en ligne, etc.), vous devez alors vous conformer aux règles de protection des données personnelles. »

Nous laissons tout de même la suite de cet article en ligne car de nombreux internautes viennent encore le consulter, avec pour question « comment déclarer mon site à la CNIL ».

Vous disposez d’un formulaire de contact sur votre site internet ? Cet article est pour vous ! En effet, remplir un formulaire de contact, c’est transmettre des données personnelles (nom, prénom, e-mail…). On ne le sait que trop rarement, mais en France, la collecte de données personnelles est soumise à une réglementation nationale et européenne. Elle est encadrée par la célèbre Commission Nationale de l’Informatique et des Libertés (la « CNIL »).

Selon l’utilisation qu’ils en font, les professionnels collectant des données peuvent alors être amenés à l’obligation de déclarer cette récupération d’informations. Notre article vous donnera donc les clés pour effectuer au mieux votre déclaration CNIL de collecte de données.

Déclaration CNIL : pour qui ? Pourquoi ?

Dans la plupart des cas, votre site comporte un formulaire de contact dans lequel les visiteurs inscrivent au minimum leur nom, prénom et email. Dès lors qu’un tel formulaire est présent, vous collectez des données. Bien souvent, ces informations vous permettent d’établir un contact commercial avec des prospects. Vous devez alors en informer la CNIL en effectuant une déclaration de collecte de données. Selon les informations collectées et leur usage, 2 formulaires vous seront proposés : la déclaration simple ou bien la déclaration normale.

Il est essentiel de vérifier dans quel cadre vous entrez afin de remplir la bonne déclaration. Vous trouverez sur le site internet de la CNIL les conditions relatives à la norme simplifiée NS-048 (déclaration simplifiée).  Vérifiez bien les onglets « Objectif(s) poursuivi(s) par le traitement (finalités) », « Données personnelles concernées » ainsi que « Destinataire des données ». Ils vous apporteront les principaux renseignements  pour définir si vous entrez dans le cadre de la déclaration simplifiée ou non. Si vous n’y entrez pas, il faudra alors vous diriger vers la déclaration normale.

En cas de doute, nous vous recommandons de bien parcourir le site de la CNIL. Vous y trouverez de nombreuses rubriques utiles qui pourront compléter celles déjà lues, comme par exemple « Comprendre vos obligations » ou encore « Les principes clés de la collecte des données ». De plus, le service juridique de la CNIL est disponible par téléphone les lundis, mardis, jeudis et vendredi de 10h à 12h et de 14h à 16h. N’hésitez pas à les contacter si vous rencontrez un cas particulier.

Et si je ne me déclare pas ?

Attention : la loi française ne plaisante pas avec la collecte de données personnelles et prévoit de lourdes sanctions pénales ! En effet, selon l’article 226-16 du Code pénal : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre  prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende (…) ».

Cette sanction s’applique donc à toute omission de déclaration, qu’elle soit volontaire ou non.

Combien coûte une déclaration CNIL ?

La bonne nouvelle c’est que la déclaration CNIL est gratuite ! Il s’agit d’un service public et la déclaration peut se faire en ligne. Y compris pour une collecte de données complexe, avec compte client et paiement en ligne, les déclarations sont gratuites ! Vous n’avez donc plus d’excuses pour ne pas vous déclarer 😉

Déclarer la collecte des données : comment faire ?

Maintenant que vous avez toutes les clés en main, vous allez pouvoir commencer votre déclaration.

La déclaration simplifiée, comme son nom l’indique, est simple et rapide. Vous y accéderez via le bloc de gauche « Engagement de conformité à un texte de référence de la CNIL ». L’autre bloc vous enverra vers la déclaration normale, plus complète et complexe.

Quelle déclaration CNIL choisir ?

Étant donné la multitude de possibilités, nous allons vous présenter un cas simple et général avec une déclaration simplifiée.

Le formulaire

Pour commencer, déchiffrons le formulaire :

formulaire de déclaration simplifiée

  1. Un mode d’emploi est accessible à tout moment pour vous aider à remplir la déclaration ;
  2. Le menu vous permet de passer d’une partie à une autre à tout moment ;
  3. Une zone « à savoir » est présente sur chaque partie du formulaire et vous donne des précisions sur ladite partie ;
  4. Les champs obligatoires sont listés, la liste s’ouvre avec le petit « + » à droite ;
  5. Le bouton « enregistrer » vous permet de sauvegarder votre déclaration ; les boutons « étape précédente » et « étape suivante » sont une alternative au menu du formulaire (point n°2).

Avec ces informations, vous pouvez maintenant remplir les champs un par un.

Les onglets

  • L’onglet « Déclarant » correspond aux renseignements de l’entreprise (SIREN, Raison Sociale, coordonnées, etc.).

Des info-bulles sont disponibles pour les termes spécifiques, comme par exemple pour le titre « organisme déclarant » :

Organisme déclarant CNIL

Un lien d’information apparaît au survol du point d’interrogation.

  • Dans l’onglet « finalité », sélectionnez la première proposition : « Norme Simplifiée (NS)». Puis, choisissez dans la liste déroulante la « NS-48 Fichiers clients-prospects » (l’objet de votre déclaration est la collecte de données personnelles permettant d’établir un fichier clients et/ou prospects). Indiquez ensuite si vous transférez ces données en dehors de l’Union Européenne.

Type de norme déclaration CNIL

  • L’onglet « contact » vous permet d’indiquer la personne en charge de cette déclaration et de la gestion des fichiers clients-prospects. C’est cette personne qui sera contactée par la CNIL si besoin. Il n’est pas obligatoire qu’elle soit le chef d’entreprise ; vous pouvez même préciser si la personne ne fait pas partie de l’entreprise.

Contact à renseigner

  • L’identification du responsable consiste cette fois-ci à désigner la personne responsable de la déclaration CNIL (celle qui se porte garante des informations transmises à la CNIL via ce formulaire). Elle doit impérativement faire partie de l’entreprise.

Identification du responsable de déclaration

  • Enfin, la rubrique « validation et envoi » vous donne un récapitulatif de vos informations ainsi que les données obligatoires non renseignées s’il y en a. Dans notre exemple, nous n’avons pas rempli le formulaire, voici le résultat :

Validation du formulaire

Une fois le formulaire bien renseigné et vos informations validées, vous pouvez l’envoyer. Il sera ensuite étudié par la CNIL qui vous transmettra un numéro de déclaration, une fois celle-ci validée.

En résumé

La déclaration simplifiée de collecte de données personnelles n’est donc pas difficile à effectuer et peut vous éviter bien des problèmes. Mais elle ne convient pas à tous les formulaires de contact, loin s’en faut. Vérifiez bien votre situation ainsi que les informations que vous récoltez sur votre site internet avant de vous lancer, et assurez-vous de remplir le bon formulaire. Si besoin, n’hésitez pas à contacter les services de la CNIL qui font preuve de disponibilité et d’écoute envers les usagers.