Travaux du groupe article 29
— aux responsables du traitement collectant des données en ligne, en leur fournissant un guide pratique recensant la série minimale de mesures concrètes à mettre en
œuvre ;
— aux internautes afin qu’ils connaissent leurs droits et puissent les exercer ;
— aux organismes qui souhaitent délivrer un label attestant de la conformité des procédés de traitement utilisés avec les directives européennes de protection des données, en leur procurant les critères de référence nécessaires à l’octroi d’un tel label
au regard des informations à fournir et de la collecte de données à caractère personnel. Il va sans dire qu’en plus de ces critères de référence, d’autres critères concernant d’autres droits et obligations doivent être impérativement pris en compte pour
l’octroi de labels. Le groupe de travail publiera ultérieurement un document complet
sur cette question ; — aux autorités européennes chargées de la protection des données afin de leur fournir un outil de référence commun pour le contrôle du respect des
dispositions nationales adoptées par les États membres en application des directives
précitées.
3 — Le groupe de travail est en outre d’avis que cette recommandation doit
servir de référence à l’élaboration de normes concernant les logiciels et le matériel
destinés à la collecte et au traitement de données à caractère personnel sur Internet.
II. Recommandations concernant les informations à fournir
lors de la collecte de données à caractère personnel sur le territoire
des États membres de l’Union européenne
Quelles informations doivent-elles être fournies à la personne concernée et à quel moment ?
4 — Toute collecte de données à caractère personnel auprès d’une personne
via un site Internet suppose la fourniture préalable de certaines informations. En termes de contenu, le respect de cette obligation nécessite :
5 — d’indiquer l’identité et l’adresse physique et électronique du responsable du traitement et, le cas échéant, celle du représentant désigné en application
de l’article 4, paragraphe 2, de la directive ;
6 — d’indiquer clairement la (les) finalité (s) du traitement des données recueillies par le responsable du traitement via un site. Par exemple, lorsque des données sont collectées tant pour l’exécution d’un contrat (abonnement Internet,
commande d’un produit, etc.) que pour des opérations de prospection, le responsable du traitement doit indiquer clairement ces deux finalités ;
7 — de signaler clairement le caractère obligatoire ou facultatif des informations à fournir.
Les informations obligatoires sont celles en l’absence desquelles le service
demandé ne peut être réalisé. Le caractère obligatoire ou facultatif peut être indiqué,
par exemple, par un astérisque renvoyant au caractère obligatoire des informations
ou, à l’inverse, par l’ajout de la mention « facultatif » en marge des informations non
obligatoires. Le fait que la personne concernée ne fournisse pas les informations facultatives ne peut en aucun cas lui être préjudiciable.
8 — de mentionner l’existence et les modalités d’exercice du droit de
consentir ou de s’opposer, selon le cas, au traitement des données à caractère personnel 1 ainsi que des droits d’accès, de rectification et de suppression des don1 Un traitement à des fins spécifiques n’est légitime que s’il repose sur une des raisons énumérées à l’article
7 de la directive 95/46/CE (notamment si la personne concernée a indubitablement donné son consentement, si le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, s’il
est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, s’il
348
e
CNIL 22 rapport d'activité 2001