La Commission nationale de l'informatique et des libertés (CNIL) est souvent perçue comme un interlocuteur nécessaire lors de la création d'un site internet, en particulier lorsqu'intervient un quelconque traitement de données personnelles des internautes.

Le développement d'internet a rapidement obligé la Commision à un certain pragmatisme dans les formalités de déclaration de sites internet. Se reposant sur l'article 24 de la loi du 6 janvier 1978 modifiée, la commission a établi un certain nombre de normes visant à simplifier les démarches de déclaration de sites internets.

Voici l'état des démarches et conditions à suivre pour déclarer ses sites internet:

I Les sites ne nécessitant pas de déclaration

A Les sites internet des particuliers : dispense de déclaration n°6 en date du 22 novembre 2005.

« Sont dispensés de déclaration les sites web diffusant ou collectant des données à caractère personnel (NDLR : notamment par identification sur le site) mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle. » Cette définition vise en particulier les blogs.

Par opposition, la diffusion et la collecte de données à caractère personnel opérée à partir d’un site web dans le cadre d’activités professionnelles, politiques, ou associatives restent soumises à l’accomplissement des formalités préalables prévues par la loi.

Au vu des dispenses ultérieures (ci-dessous), sauf cas exceptionnels, la dispense vaudra pour tous les cas (mais la CNIL veille beaucoup au respect de la vie privée, et notamment en ce qui concerne les opinions politiques, religieuses, ou autres).

B Les sites vitrines purement institutionnels et non commerciaux : dispense de déclaration n°7 en date du 9 mais 2006

« Sont dispensés de déclaration les traitements constitués à des fins d’information ou de communication externe comportant des données sur des personnes physiques ayant pour seules finalités la constitution et l’exploitation d’un fichier d’adresses à des fins d’information ou de communication externe se rapportant au but ou à l'activité poursuivie par la personne physique ou morale qui met en œuvre le traitement, à l'exclusion de toute sollicitation commerciale. »

A condition d'informer les personnes dont les coordonnées sont recueillies, notamment sur leur droit d'opposition et de modification, ces sites sont libres d'être mis en ligne sans formalités préalables.

C Les sites des associations « Loi 1901 » : dispense de déclaration n°8 en date du 9 mais 2006

« Sont dispensés de déclaration les traitements de données à caractère personnel relatifs à la gestion des membres et des donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901. »

Les conditions de dispense sont légèrement plus draconiennes notamment en vertu du traitement de données bancaires de donateurs. La dispense insiste en particulier la notion de consentement de l'utilisateur pour la collecte de données en vue de la création d'un annuaire, ou de la prospection commerciale.

On peut s'interroger sur l'opportunité d'une telle dispense qui permet de fait de collecter des données personnelles importantes ou de faire de la prospection sans contrôle de la CNIL et sans plus de gardes fous que de demander l'accord exprès de l'utilisateur. Il semblerait qu'une déclaration simplifiée ne serait pas une précaution de trop.

II Les sites nécessitant une déclaration

A Les sites marchands:

Depuis une délibération du 7 juin 2005, les traitements de fichiers clients et de prospects relèvent d'une procédure simplifiée de déclaration.

Les données pouvant être récoltées sont les coordonnées personnelles des clients et prospects, les informations concernant les moyens de paiement utilisés, les données relatives à la relation commerciale (demande de documentation, produits achetés, services ou abonnements souscrits...).

Les conditions posées pour que ces traitements soient soumis à une déclaration simplifiée sont celles nécessaires pour une administration efficace de la relation commerciale. Ces données ne peuvent pas être conservées « au-delà de la durée strictement nécessaire à la gestion de la relation commerciale à l’exception de celles nécessaires à l’établissement de la preuve d’un droit ou d’un contrat », en l'occurrence, selon les codes de commerce et de la consommation, pas plus de dix ans.

Pour le cas de fichiers de prospects, la Commission recommande une durée de 1 an ou lorsque le prospect n'a pas répondu à deux sollicitations successives.

Les transferts de données vers des pays non membres de l'Union Européenne sont possibles dans la mesure où il s'agit de transferts courants ne présentant pas de risques pour les droits et libertés fondamentaux des personnes, que les personnes en sont clairement informées et qu'elles sont en mesure de recevoir des informations complètes sur les raisons et les moyens de ce transfert.

Ces dispositions ne sont pas applicables pour les établissements bancaires ou assimilés, les entreprises d'assurances, santé et éducation.

Le formulaire de déclaration simplifié dresse une liste impressionnante des traitements possibles (gestion de fichiers clients et prospects, gestion de l'état civil par les communes, traitements statistiques effectués par un service producteur d'informations statistiques...).

B Lorsqu'un site ne répond pas exactement aux conditions des dispense ou de la déclaration simplifiée, une déclaration normale doit être faite, décrivant notamment le traitement et le logiciel utilisés.

En conclusion, les cas nécessitant une déclaration auprès de la CNIL sont désormais rares. Lorsque l'on récolte des informations personnelles en quantité logique et nécessaires, on est au pire soumis à une déclaration simplifiée. La déclaration normale n'étant désormais nécessaire que pour des traitements en grande quantité et pouvant être l'objet d'abus.