Annexe 5
8) Lorsque des « cookies » sont utilisés, les buts poursuivis par leur mise en
œuvre ainsi que les conséquences de leur désactivation par l’internaute.
9) La durée de conservation des informations directement nominatives
(adresse e-mail, coordonnées, données de santé, autres...) ainsi que la
durée de conservation des données de connexion. Ces durées doivent être limitées et proportionnées aux finalités du traitement de telles données.
10) Les coordonnées ou l’adresse e-mail du service ou du correspondant en
charge de répondre aux demandes de droit d’accès, de rectification et de
suppression présentées par les internautes. Ce droit devrait pouvoir s’exercer à tout moment en ligne.
Collecte directe de données auprès de l’internaute
Toute collecte directe de données auprès de l’internaute (sous forme ou non
de questionnaire) devrait être accompagnée d’une information précisant,
sur le support de collecte, le caractère obligatoire ou facultatif du recueil de
chaque information demandée (par exemple par le biais d’un astérisque).
Dans l’hypothèse où il est envisagé de mettre à la disposition ou de céder à
des tiers à des fins commerciales des données telles que l’adresse e-mail ou
les coordonnées de l’internaute, à l’exclusion de toutes données relatives à
l’état de santé réel ou présumé de ce dernier, l’internaute doit être mis en mesure de pouvoir s’y opposer en ligne par le biais d’une case à cocher devant
figurer sur le support de collecte.
À défaut d’une telle mention sur le support de collecte, les données seront
supposées être destinées à un usage exclusivement interne.
Mesures de confidentialité et de sécurité
Des mesures de sécurité reposant notamment sur le recours à des moyens de
chiffrement ainsi que sur des dispositifs de journalisation des connexions devraient être mises en place pour assurer l’intégrité et la confidentialité des
données.
Le contrat passé avec un hébergeur tiers devrait comporter des clauses prévoyant les nécessaires mesures destinées à assurer la sécurité des données,
ainsi que leurs seuls accès et utilisation par des personnes habilitées à en
connaître.
Ces mesures doivent être portées à la connaissance de la CNIL lors de l’accomplissement des formalités préalables.
Forum de discussion
Une mention d’information devrait préciser que l’espace de discussion est
destiné à permettre aux internautes d’apporter leur contribution aux thèmes
de discussion proposés et que les données qui y figurent (adresse e-mail
et/ou coordonnées notamment) ne peuvent être collectées ou utilisées à d’autres fins, et tout particulièrement à des fins commerciales ou de prospection.
Il est recommandé qu’un modérateur soit chargé de supprimer les contributions susceptibles d’engager la responsabilité du site ou de porter atteinte à
la considération ou à l’intimité de la vie privée d’un tiers.
La possibilité de participer au forum sans avoir à s’identifier devrait être offerte à
l’internaute, notamment lorsque l’espace de discussion comporte un modérateur.
e
CNIL 22 rapport d'activité 2001
215