Collecte des données personnelles : le devoir d'informer renforcé

Quelques précisions, à peu près autant de lourdeurs supplémentaires... Un deuxième décret d'application de la loi Informatique et libertés a vu le jour le 25 mars dernier. La Cnil, malgré son rôle de gendarme de la loi, a cependant un peu de mal à applaudir l'initiative qui s'est faite sous l'impulsion du ministère de la Justice et qui rend plus rigide son fonctionnement.Un simple exemple : la Commission ne peut désormais délibérer que si le projet de délibération est parvenu au commissaire du gouvernement huit jours avant la date de la séance. ' C'est une vraie contrainte pour nous, car auparavant aucun délai n'était officiellement exigé ', explique Yann Padova, le secrétaire général de la Cnil.Pour les entreprises aussi, ce deuxième décret apporte de nouvelles précisions. ' En réalité, il prévoit des choses qui existaient déjà dans la loi. Il donne des précisions pratiques et pour nous c'est une bonne chose. C'est un décret à vertu pédagogique ', estiment Rémy Bricard et Denise Lebeau-Marianna, avocats au sein du cabinet Baker & McKenzie, qui notent que la protection des données personnelles est une obligation à respecter au plus vite. ' Les entreprises ne devraient pas le prendre comme une contrainte mais comme un actif. En respectant la loi, elles se protègent d'une vulnérabilité potentielle. ' D'ailleurs, les entreprises n'ont pas le choix, la loi existe, ainsi que ses décrets, et elle est à respecter sauf à encourir des sanctions.

' Une mesure irréaliste dans le domaine du marketing '

Le décret détaille en particulier l'obligation qu'ont les responsables de traitement d'informer les personnes auprès desquelles la collecte de données à caractère personnel est réalisée. Et surtout si les données doivent être transférées vers un Etat non membre de la Communauté européenne, par exemple si une entreprise française externalise ses ressources humaines en Moldavie ou à Madagascar.Elle devra alors communiquer moult détails aux personnes concernées : le ou les pays où sont établis les destinataires des données, la nature des données transférées, la finalité de ce transfert, les catégories de destinataires et enfin, le niveau de protection offert par les pays tiers.Ce dernier point, malgré la demande qu'avait faite la Cnil de l'infléchir, a été conservé dans le décret. Pourtant, lorsque la collecte se fait par oral, la lecture des droits de la personne se fait aussi par oral... Et on imagine mal l'opérateur du centre d'appels situé au Maroc ou en Tunisie, devoir lire au prospect ou au client les détails juridiques des accords inter-pays. ' Nous pensons que cette mesure est totalement irréaliste dans le domaine du marketing ', n'hésite à remarquer à ce propos Yann Padova.Le reste du décret est assez neutre pour les entreprises, il donne plus de détails pour les procédures à mettre en place. En revanche, pour l'anecdote, les entreprises ont échappé à un article qui a disparu du projet de décret, sous l'impulsion de la Cnil. Elles auraient dû offrir la possibilité aux internautes de s'opposer immédiatement aux cookies. Imaginez la lourdeur d'une navigation avec des pops up permanents s'ouvrant en vous proposant de refuser les cookies...