1 Traitement des données à caractère personnel par les agents d enregistrement. des données à caractère personnel par les agents d enregistrement

Transcription

1 1 Traitement personnel par les agents d enregistrement Traitement des données à caractère personnel par les agents d enregistrement

2 1 Traitement personnel par les agents d enregistrement Introduction Les agents d enregistrement de DNS.be collectent et traitent des données à caractère personnel de leurs clients/détenteurs de noms de domaine, dans le cadre de l enregistrement de noms de domaine, soit directement via leur site web, soit via des tiers (p.ex. revendeurs, ). En Belgique, un cadre légal a été créé en 1992 pour le traitement des données à caractère personnel, la Loi du 8 décembre 1992 (ci-après Loi Traitement personnel) ayant pour objectif de protéger la vie privée contre l utilisation abusive de données personnelles. Cette loi a été adaptée à la Directive européenne 95/46/CE du Parlement Européen et le Conseil du 24 octobre 1995, concernant la protection des personnes physiques dans le cadre du traitement personnel et concernant la libre circulation de ces données. L objectif de ce dossier n est cependant pas d effectuer une analyse approfondie de cette législation, mais plutôt de proposer un fil conducteur aux agents d enregistrement et de donner quelques directives pratiques pour répondre aux obligations imposées par cette législation.

3 2 Traitement personnel par les agents d enregistrement Quand la Loi Traitement des données à caractère personnel est-elle d application? 1 Article 3 1 de la Loi du 8 décembre 1992 ayant pour objectif de protéger la vie privée contre l utilisation abusive des données personnelles, M.B., 18 mars 2 Cour de justice de l Union européenne, Arrêt du 6 novembre 2003, Bodil Linqvist (questions préjudicielles), Affaire C-101/01. 3 Florence de Villenfagne, Bescherming van persoonsgegevens, In X., Elektronische Handel, juridische en praktisch aspecten, UGA, 2004, p L.F. Asscher and S.A. Hoogcarspel, RegulatingSpam: A European Perspective after the Adoptation of the e-privacy Directive, in Information Technology and Law, Cambridges University Press, 2006, PatrickVan Eecke (ed.), Recht & elektronische handel, Larcier, 2011, p La loi s'applique à tout traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu'à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier Que sont les données à caractère personnel? La Loi Traitement personnel décrit les données personnelles comme étant toute information concernant une personne physique identifiée ou identifiable. On entend par là notamment : les données de contact d une personne, telles que nom, adresse postale, adresse e- mail, numéro de téléphone, La notion ne se limite cependant pas aux données qui touchent à la vie privée des personnes. Les données ayant trait à la vie professionnelle ou publique d une personne sont également considérées comme personnel. 2 Des informations moins évidentes tombent également sous cette définition, telles que p.ex. cookies 3, adresses IP 4, le comportement clic d une personne 5, Les données concernant des personnes morales ou associations ne tombent pas sous la protection de cette loi.

4 3 Traitement personnel par les agents d enregistrement 6 Artikel 1 2 de la Loi du 8 décembre 1992 pour la 7 Florence de Villenfagne, Bescherming van persoonsgegevens, In X., Elektronische Handel, juridische en praktisch aspecten, UGA, 2004, p Cour de justice de l Union européenne, Arrêt du 6 novembre 2003, Bodil Linqvist (questions préjudicielles), Affaire C-101/01. 9 PatrickVan Eecke (ed.), Recht & elektronische handel, Larcier, 2011, p Qu entend-on par traitement de données? Par traitement de données, on entend «toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel». 6 Exemples de traitements : collecte de données à caractère personnel via un formulaire de contact sur un site web 7 ; insertion de données à caractère personnel sur une page internet 8 ; collecte de données afin de traiter des commandes ; collecte de données afin d établir des profils de marché ; collecte de données pour l envoi de publicité électronique ; collecte de données pour envoyer un bulletin d information ; Dans un contexte en ligne, la plupart des traitements de données à caractère personnel sont effectivement un traitement au sens de la Loi Traitement des données à caractère personnel. 9

5 4 Traitement personnel par les agents d enregistrement Dans quelles conditions les données à caractère personnel peuventelles être traitées? A. Exigences de qualité L Article 4 de la Loi Traitement des données à caractère personnel énumère les exigences auxquelles un traitement de données à caractère personnel doit répondre. 1 Exigence de loyauté Le traitement doit être transparent pour les personnes concernées et cellesci doivent être informées du traitement de leurs données. 2 Exigence de licéité Le traitement doit se faire en prenant en compte toutes les dispositions de la Loi Traitement personnel et ne peut être contraire aux autres règlementations (p.ex. spam, cookies, ). 3 Exigence de finalité Les données à caractère personnel peuvent uniquement être collectées dans un, ou plusieurs buts décrits explicitement et justifiés. Il est donc primordial de bien réfléchir aux différentes finalités pour lesquelles on utilisera les données : gestion de clientèle, envoi d informations sur des produits et services, annonces d évènements, traitement de plaintes, Les objectifs fixés détermineront quelles données peuvent être collectées, ce qu on peut faire de ces données, à qui elles peuvent être communiquées, la durée pendant laquelle elles peuvent être conservées, En effet, seules les opérations correspondant aux objectifs fixés et compatibles avec ces objectifs pourront être effectuées. Par compatibilité on considère ce qui a été déterminé par la loi et ce que la personne peut raisonnablement en attendre. La communication des objectifs peut se faire dans une déclaration de confidentialité, mais il est recommandé d également rappeler à différents endroits pertinents sur le site web ce pourquoi les données sont requises PatrickVan Eecke (ed.), Recht & elektronische handel, Larcier, 2011, p Ces finalités doivent être déterminées au préalable et doivent être communiquées aux intéressés.

6 5 Traitement personnel par les agents d enregistrement 4 Exigence de proportionnalité Les données à caractère personnel traitées doivent être pertinentes, tenant compte des finalités en vue desquels elles ont été collectées ou ce pourquoi elles sont traitées ultérieurement. Quand on traite personnel avec pour finalité la gestion de la clientèle, on ne pourra pas collecter plus de données que strictement nécessaire, c.-à-d. le nom de la personne ou de l organisation, l adresse, l adresse , le numéro d entreprise. Il n est p.ex. pas pertinent de requérir, stocker et traiter des informations concernant la profession de vos clients. 5 Exigence d exactitude Les données traitées doivent être exactes et mises à jour si nécessaire ; toutes les mesures raisonnables doivent être prises pour corriger ou supprimer les données inexactes ou incomplètes. Il est par conséquent très important que les agents d enregistrement veillent à ce que les données de leurs clients/ détenteurs de noms de domaine soient de tout temps à jour. Cette exigence d exactitude est également rappelée explicitement dans la convention que DNS.be a conclue avec les agents d enregistrement. 6 Exigence quant à la durée de conservation Les données à caractère personnel peuvent être conservées uniquement pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement. Si les données à caractère personnel qui sont collectées et traitées ont comme finalité la gestion de la clientèle, elles devront être éliminées/détruites dès que la personne en question n est plus client. DNS.be conseille à ses agents d enregistrement de supprimer tous les contact handles de leurs ex-clients/détenteurs de nom de domaine.

7 6 Traitement personnel par les agents d enregistrement B. Fondements légitimes 11 Article 5 de la Loi du 8 décembre 1992 pour la 12 PatrickVan Eecke (ed.), Recht & elektronische handel, Larcier, 2011, p Commission vie privée, Recommandation no. 04/2009 du 14 octobre 2009, p. 13. La Loi Traitement personnel 11 énumère 6 circonstances dans lesquelles les données à caractère personnel peuvent être traitées. Ce sont les fondements sur lesquels le responsable du traitement peut s appuyer pour traiter certaines données à caractère personnel. Si le responsable ne peut se prévaloir d aucun de ces fondements, le traitement est illicite. Les données à caractère personnel qui sont collectées dans un contexte en ligne, tombent généralement sous les 2 premiers, ou le dernier de ces fondements, c.à-d. : 1. La personne concernée a indubitablement donné son consentement. Le consentement n est valable que s il est donné librement et consciemment et repose sur des informations. La loi ne stipule cependant pas que ce consentement doit être explicite et par écrit. 12 Dans la pratique il est cependant conseillé d établir une déclaration de confidentialité et de demander l acceptation explicite de celle-ci au moyen d une case à cocher obligatoirement. 2. Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci. Sur cette base, l agent d enregistrement peut, dans le cadre de l enregistrement d un nom de domaine, collecter et traiter le nom d une personne physique ou d une organisation, les données de l adresse et le numéro d entreprise du détenteur du nom de domaine afin de pouvoir livrer le service commandé et de pouvoir établir une facture. 3. Le traitement est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée. Ce fondement légitime doit cependant être interprété de façon très stricte et ne peut pas être perçu comme un moyen de contourner les autres fondements juridiques. La Commission pour la (ensuite «Commission vie privée») accepte cependant que ce fondement juridique soit utilisé dans les cas de «customer relationship management» par rapport aux propres clients, p.ex. pour mener une enquête de satisfaction auprès de ses propres clients concernant les services qu ils achètent, une invitation aux propres clients pour prolonger ou renouveler leur contrat, 13

8 7 Traitement personnel par les agents d enregistrement Obligations des responsables du traitement 1. Qui est le responsable du traitement Le responsable du traitement est chargé de pratiquement toutes les obligations imposées par la Loi Traitement des données à caractère personnel afin de garantir la protection des données traitées. Selon la loi, le responsable du traitement est «la personne physique ou morale, l'association de fait ou l'administration publique ( ) qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel». 14 Par conséquent, le responsable du traitement est l entreprise/la personne, qui a la compétence pour prendre des décisions concernant les données traitées (celui qui décide quelles données sont traitées, dans quel but les données sont utilisées, à qui elles sont transmises, ). 14 Article 1 4 de la loi du 8 décembre 1992 pour la

9 8 Traitement personnel par les agents d enregistrement 15 Article 9 de la Loi du 8 décembre 1992 pour la 16 Si les données n ont pas été collectées auprès de la personne concernée. 17 Article 9 1 de la loi du 8 décembre 1992 pour la 2. Information légale Le responsable pour le traitement a l obligation de communiquer les informations suivantes à la personne concernée 15 : le nom et l adresse du responsable du traitement ; les finalités du traitement ; l existence du droit de s opposer au traitement des données à des fins de vente directe, sur simple demande et sans frais ; autres informations complémentaires, e.a. - les destinataires ou catégories de destinataires des données, - les catégories de données concernées 16, - le caractère obligatoire ou non de la réponse et les conséquences éventuelles de la non-réponse, - l existence d un droit à l accès aux données et à la correction des données qui le concernent. S il collecte lui-même les données, le responsable a l obligation de fournir ces informations au plus tard au moment où elles sont obtenues. 17 L agent d enregistrement qui collecte lui-même les données via son site web peut communiquer ces informations aux détenteurs des noms de domaine dans une clause qui est mentionnée lors la procédure d enregistrement. L agent d enregistrement peut également répondre à cette obligation d informer via un lien vers la déclaration de confidentialité sur son site web. Si le responsable pour le traitement des données a obtenu les données à caractère personnel via un tiers, il doit fournir cette information à la personne concernée au moment de l enregistrement des données, ou quand il est envisagé de transmettre les informations à des tiers, au plus tard au moment de la première communication des données, à moins que la personne concernée ne soit déjà au courant. Si l agent d enregistrement a obtenu les données à caractère personnel via un tiers (p.ex. revendeur, ), il est conseillé de convenir que ce soit cette tierce personne qui informe la personne concernée.

10 9 Traitement personnel par les agents d enregistrement 3. Les droits de la personne concernée A. Droit à l accès et à la communication 18 Toute personne concernée a le droit d obtenir du responsable du traitement, les informations suivantes : si données la concernant sont ou ne sont pas traitées ; les finalités du traitement de ses données ; le caractère des données ; Le responsable pour le traitement est libre de décider de la manière dont les données traitées sont procurées à la personne concernée. Il n est donc pas obligatoire p.ex. de procurer une copie ou un print-out des données traitées ou de permettre à la personne de jeter un coup d œil sur l écran. Il suffit que les données lui soient communiquées. Le droit à l accès et à la communication doit pouvoir s exercer sans frais pour la personne concernée. Afin d exercer son droit, la personne concernée doit adresser une requête datée et signée au responsable du traitement avec preuve de son identité. Le responsable doit fournir les données au plus tard 45 jours après la réception de la demande de communication des informations mentionnées plus haut. l origine des données ; les catégories des destinataires auxquels les données sont destinées ; 18 Article 10 de la loi du 8 décembre 1992 pour la la communication, sous une forme intelligible, des données faisant l'objet des traitements ; toute information disponible sur l'origine de ces données.

11 10 Traitement personnel par les agents d enregistrement B. Droit à la rectification 19 Toute personne concernée peut en outre demander au responsable du traitement de rectifier toute donnée à caractère personnel inexacte qui la concerne et de supprimer des données non pertinentes ou interdites, ou interdire l utilisation de ces données. Afin d exercer ce droit, la personne concernée doit adresser une requête datée et signée au responsable du traitement. Endéans le mois, le responsable doit communiquer quelles modifications ou suppressions ont été effectuées. Le responsable doit également communiquer ces informations aux tiers à qui les données incomplètes, non pertinentes ou interdites, ont été communiquées, à moins que cela ne soit pas possible ou excessivement difficile. C. Droit d opposition 20 Toute personne concernée a le droit de s'opposer au traitement de données à caractère personnel la concernant. Ce droit n est cependant pas absolu. La personne concernée doit avoir des raisons sérieuses et justifiées. Cela signifie qu elle doit motiver son opposition en ce sens qu elle doit démontrer que le traitement personnel peut avoir des conséquences préjudiciables. En outre elle ne peut pas s opposer au traitement de ses données si celui-ci est nécessaire à l exécution d une convention ou à l application de la législation. 19 Article 12 de la loi du 8 décembre 1992 pour la 20 Article 12 de la loi du 8 décembre 1992 pour la Si les données sont collectées en vue de vente directe, la personne concernée peut faire opposition au traitement de ses données, gratuitement et sans devoir motiver sa requête. Ici également, afin d exercer ce droit, la personne concernée doit adresser une requête datée et signée au responsable du traitement. Le responsable communique dans le mois à la personne concernée quelle suite il a donnée à la demande. Si le responsable réserve une suite positive à la demande, le traitement des données doit être arrêté.

12 11 Traitement personnel par les agents d enregistrement 4. Obligation générale de sécurité L Article 16 4 de la Loi Traitement des données à caractère personnel stipule que le responsable du traitement, en vue de garantir la sécurité des données à caractère personnel, doit prendre toutes mesures techniques et organisationnelles adéquates, nécessaires à la protection personnel contre une destruction accidentelle ou illicite, contre la perte accidentelle, ainsi que contre la modification de, ou l accès à, et tout autre traitement non autorisé de données à caractère personnel. Ces mesures doivent garantir un niveau de sécurité adéquat, tenant compte, d une part des possibilités technologiques en la matière et du coût de l application des mesures, et, d autre part, du type des données à sécuriser et des risques potentiels. La loi ne prévoit donc pas de mesures concrètes, mais laisse les mains libres au responsable du traitement. L article 16 2 et 3 impose néanmoins certaines obligations d ordre général au responsable du traitement, c.-à-d. : 1. Faire toute diligence pour tenir les données à jour, pour rectifier ou supprimer les données inexactes, incomplètes ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des articles 4 à 8 ; 2. veiller à ce que, pour les personnes agissant sous son autorité, l'accès aux données et les possibilités de traitement soient limités à ce dont ces personnes ont besoin pour l'exercice de leur fonction, ou à ce qui est nécessaire pour les besoins du service ; 3. informer les personnes agissant sous son autorité des dispositions de la loi et de ses arrêtés d'exécution, ainsi que de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel ; 4. s'assurer de la conformité des logiciels servant au traitement automatisé personnel avec les termes de la déclaration visée à l'article 17 ainsi que de la régularité de leur application ; 5. veiller à ce que les personnes qui se trouvent sous son autorité et qui ont accès aux données à caractère personnel, ne puissent les traiter que sur son instruction. La Commission vie privée a également établi des «Mesures de référence en matière de sécurité applicables à tout traitement de données à caractère personnel». Ce document est un outil sur lequel les responsables pour le traitement personnel peuvent s appuyer lors de l élaboration de la politique de sécurité.

13 12 Traitement personnel par les agents d enregistrement 21 Article 15bis de la loi du 8 décembre 1992 pour la Dans la pratique, cela signifie que le responsable du traitement doit d une part implémenter des pare-feu, antivirus, mécanismes de journalisation et de traçage, mais qu il doit d autre part, également veiller à ce que les membres du personnel chargés du traitement des données à caractère personnel soient suffisamment informés de la législation et de la règlementation en vigueur, qu il y ait des procédures documentées, qu il y ait un plan de gestion des incidents de sécurité, Si le traitement est confié à un organisme sous-traitant, le responsable du traitement doit établir une convention avec ce sous-traitant, dans laquelle est établi quelles garanties celui-ci offre par rapport aux mesures de sécurité techniques et organisationnelles appliquées au traitement, quelle est la part de responsabilité du sous-traitant, et que celui-ci et tout un chacun qui agit sous son autorité, ne peut agir que sur instruction du responsable. Selon la Loi Traitement des données à caractère personnel, le responsable du traitement endosse l entière responsabilité en cas d infraction à l obligation de sécurité. 21 Seul un accord contractuel avec celui qui traite les données peut reporter cette responsabilité sur ce dernier.

14 13 Traitement personnel par les agents d enregistrement Une contribution est due pour chaque déclaration : 25 euros si la déclaration est introduite par voie électronique, 125 euros si le formulaire papier est utilisé. La déclaration doit mentionner : l identité du responsable ; 22 Article 15bis de la loi du 8 décembre 1992 pour la 5. Déclaration auprès de la Commission vie privée Conformément à l article 17 1 de la Loi Traitement personnel, le responsable du traitement des données doit déposer une déclaration préalablement au traitement des données auprès de la Commission vie privée. La déclaration ne sert pas à demander une autorisation ou une procuration, mais sert uniquement à informer la Commission vie privée du fait que le responsable va traiter personnel. Chaque finalité ou ensemble de finalités doit faire l objet d une déclaration. 22 Le traitement qui a pour finalité la gestion de la clientèle et la collecte de données en vue de vente directe, devra être communiqué à la Commission vie privée dans des déclarations séparées. Le traitement de données à caractère personnel peut être déclaré soit par écrit, soit par voie électronique sur le site web de la Commission vie privée ( les finalités ; les catégories de données traitées ; l'éventuelle base légale ou réglementaire permettant le traitement ; les destinataires potentiels à qui les données peuvent être fournies; les garanties en cas de communication à des tiers ; la manière dont les personnes concernées sont informées si leurs données sont communiquées à des tiers ; la personne de contact à qui l'on peut s'adresser pour exercer ses droits ; les mesures prises afin de faciliter l'exercice des droits de la personne concernée ; le délai de conservation ; les mesures de sécurité ; l'éventuel transfert à l'étranger.

15 14 Traitement personnel par les agents d enregistrement 23 AR du 13 février 2001 quant à l exécution de la loi du 8 décembre 1992 pour la personnel, M.B., 13 mars 2001, ll y a cependant certaines exemptions à l obligation de déclaration mentionnées dans l'arrêté Royal concernant l'exécution de la Loi Traitement des données à caractère personnel 23. Ces exemptions concernent cependant uniquement les traitements courants et sont soumises à des restrictions sévères. Ainsi, la gestion de la clientèle et des fournisseurs n est pas soumise à l obligation de déclaration préalable auprès de la Commission vie privée si les conditions suivantes sont remplies : uniquement les données de clients et fournisseurs potentiels, existants et d anciens clients et fournisseurs ; pas de données sensibles, médicales ou judicaires ; les données ne sont pas conservées plus longtemps que nécessaire à une gestion normale ; les données ont été collectées directement auprès de la personne concernée (pas d enrichissement de banque de données ni de viral marketing, ) les données ne sont pas transmises à des tiers. DNS.be a déposé 2 déclarations auprès de la Commission vie privée : une pour les données qui sont traitées dans le système d enregistrement et une pour les données qui sont traitées dans le cadre de la gestion des plaintes concernant des noms de domaine.be.

16 15 Traitement personnel par les agents d enregistrement Conclusion correction, ainsi que la procédure à suivre pour exercer ces droits ; La Loi Traitement personnel, pose comme règle générale que les données à caractère personnel peuvent être traitées à condition qu il y ait une base légale ou réglementaire permettant le traitement et que les conditions posées par la loi soient respectées. 24 Pour remplir les conditions posées par le Loi Traitement personnel, DNS.be conseille ce qui suit à ses agents d enregistrement : 1 Etablir et appliquer une politique en matière de. Celle-ci peut être communiquée à des tiers au moyen d une déclaration relative à la. Il est recommandé d y reprendre les points suivants : nom et adresse du responsable du traitement des données ; indiquer qu il est possible de s opposer au traitement quand les données sont collectées dans un but de vente directe ; les mesures (techniques et organisationnelles) prises pour garantir la sécurité des données ; l utilisation de cookies et la procédure à suivre pour les éliminer. Il est recommandé de placer cette déclaration à un endroit bien visible, p.ex. un lien sur la page d accueil et/ou (toutes) les autres pages web ou un pop-up lors de la première visite au site web. En outre il est également conseillé de prévoir un lien direct vers la déclaration (ou un résumé de celle-ci), une clause ou un pop-up avec la déclaration relative à la (ou un résumé de celle-ci) avec une case à cocher obligatoirement sur les formulaires à remplir en ligne. indiquer que la Loi Traitement des données à caractère personnel sera respectée ; 24 AR du 13 février 2001 quant à l exécution de la loi du 8 décembre 1992 pour la personnel, M.B., 13 mars 2001, finalité(s) du traitement ; quelles données sont collectées ; à qui les données sont transmises ; mentionner l existence du droit à l accès, à la communication et à la

17 16 Traitement personnel par les agents d enregistrement La déclaration relative à la protection de la vie privée de DNS.be se trouve sur son site web : La déclaration relative à la protection de la vie privée doit cependant également être connue en interne. Ceci est n est possible que si les membres du personnel qui sont en contact avec personnel et traitent les courriels, lettres ou communications téléphoniques à ce sujet, soient eux-mêmes informées quant à la Loi Traitement personnel et quant à son application au sein de l organisation. Une communication interne claire concernant la déclaration relative à la doit donc précéder la communication externe de celle-ci. 2 Implémenter des mesures de sécurité technologiques (pare-feu, antivirus, mécanismes de journalisation et de traçage, ). 3 Déposer une déclaration auprès de la Commission vie privée concernant les données qui sont traitées dans le cadre de leurs activités d agent d enregistrement. En effet, les agents d enregistrement transmettent ces données aux autorités d enregistrement compétentes, en outre ils ne collectent pas toujours les données directement auprès des détenteurs de noms de domaine, mais par le biais de tiers (p.ex. revendeurs, ).

18 17 Traitement personnel par les agents d enregistrement Rédacteur en chef: DNS.be vzw/asbl Concept: ABSOLUUT Photo.be: Jesse Willems

19 18 Traitement personnel par les agents d enregistrement DNS Belgium vzw/asbl Ubicenter Philipssite 5 bus Leuven info@dns.be