La CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) a vu le jour suite à la promulgation de la loi n°09-08, qui était une vraie révolution légale en matière de protection de données personnelles, surtout en ce qui concerne les sites web.
CNDP : Quels sont les sites web concernés ?
Si votre site web utilise des données personnelles telles que le nom, le prénom, n°CIN, l’adresse mail ou le numéro de téléphone, n° de carte bancaire…
Est-il obligatoire de se conformer à la CNDP ?
Tout webmaster qui souhaite collecter et traiter des données à caractère personnel doit obligatoirement notifier la CNDP de tous types de traitement mis en œuvre sur site concerné par le biais de la loi de protection de données personnelles 09-08.
Comment procéder à la notification de la CNDP ?
Pour établir un traitement des données personnelles sur le site web, il est nécessaire de notifier la CNDP au moyen de :
Une demande d’autorisation si les données traitées portent sur l’identifiant de la carte nationale ou bien des données à caractère sensible (origine, tendance politique, conviction religieuse/idéologique, affiliation à un syndicat ou des données médicales) ; ou
Seulement pour les autres cas : Une déclaration au préalable ; ou
Dans le cas d’hébergement et de stockage de données personnelles à l’étranger : Une demande de transfert à l’étranger ;
Qu’en est-il maintenant du traitement de données ?
Il est très courant de collecter des données personnelles pour des objectifs de conversion, de fidélisation et autres. Mais d’après la CNDP, l’ouverture d’un compte, la réservation ou tout autre type d’action impliquant le renseignement de champs avec des informations personnelles requiert que :
- Les internautes soient notifiés par rapport à l’identité du responsable de traitement (ou webmaster) du site web, les objectifs du traitement, les destinataires des informations collectées, le caractère obligatoire des informations à renseigner (nécessaire ou facultatif), possibilité d’accéder et rectifier les données en ayant un droit d’opposition avec des motifs valables, et surtout le numéro de récépissé témoignant de la déclaration ou de l’autorisation fournit par la CNDP.
- Les internautes aient la possibilité d’accepter que leurs données personnelles soit traitées par le site web.
Quelles données à collecter ?
D’après la CNDP et le principe de proportionnalité qu’elle préconise, seules les données strictement nécessaires à l’activité de l’enseigne concernée doivent être collectées par le responsable du site web.
Quelles mesures pour assurer la confidentialité et la sécurité des données personnelles ?
Afin d’éviter d’éventuels actes de divulgation, destruction, d’altération ou d’endommagement, il est nécessaire, d’après la CNDP, de faire appel à des mesures spéciales telles que la sensibilisation des collaborateurs par rapport aux attributions et des responsabilités de chaque collaborateur, la sécurisation du système informatique de l’enseigne et le chiffrement de données sensibles dès qu’elles sont transférées/transmises.
En sous-traitant le traitement des données collectées, il est important faire un choix judicieux par rapport au prestataire. Ce dernier doit pouvoir apporter les garanties nécessaires par rapport aux mesures de sécurité techniques et organisationnelles. La relation entre le responsable web et le sous-traitant doit faire l’objet d’un contrat ou d’un acte juridique, toujours d’après la CNDP.