Travaux du groupe article 29
de leur durée de validité, de l’éventuelle nécessité d’accepter ces procédés pour visiter le site, de la possibilité dont dispose tout internaute de s’opposer à leur utilisation
ainsi que des conséquences de la désactivation de ces procédés. Lorsque d’autres
responsables du traitement participent à la collecte de données à caractère personnel, la personne concernée doit être informée de l’identité de chacun d’entre eux ainsi que des différentes finalités du traitement poursuivies.
Les informations et la possibilité de s’opposer à la collecte doivent être communiquées avant la mise en œuvre des procédés automatiques qui connectent le PC
de l’utilisateur à un autre site Internet (par exemple, lorsque l’utilisateur est automatiquement amené par un site à en contacter un autre afin de voir des publicités sous
forme de bannières ; on évite ainsi que ce deuxième site ne collecte des données à
l’insu de l’utilisateur).
Ainsi, si le serveur d’un responsable du traitement place un cookie, il doit le
signaler avant que le cookie ne soit envoyé sur le disque dur de l’internaute, en plus
des informations automatiquement fournies par la technologie existante, qui se limite
à indiquer le nom du site émetteur et la durée de validité du cookie 1 ;
13 — de faire état des mesures de sécurité garantissant l’authenticité du site
ainsi que l’intégrité et la confidentialité des informations transmises sur le réseau,
conformément à la législation nationale applicable 2 ;
14 — de fournir les informations dans toutes les langues utilisées sur le site
et, en particulier, là où des données à caractère personnel sont collectées ;
15 — les responsables du traitement doivent s’assurer de la cohérence des
informations contenues dans les différents « documents » qui engagent le site (rubrique « protection des données à caractère personnel », formulaires électroniques,
texte relatif aux conditions générales de vente et autres communications commerciales).
Comment fournir les informations ?
16 — Le groupe de travail estime que les informations suivantes doivent apparaître directement à l’écran avant la collecte afin de garantir le traitement loyal des
données. Ces informations concernent :
— l’identité du responsable du traitement ;
— la (les) finalité (s) ;
— le caractère obligatoire ou facultatif des informations demandées ;
— les destinataires ou les catégories de destinataires des données recueillies ;
— l’existence d’un droit d’accès aux données et de rectification de ces données ;
— l’existence du droit de s’opposer à toute communication des données à des tiers à
des fins autres que la prestation du service demandé et la procédure à suivre à cet
égard (case à cocher, par exemple) ;
— les informations à fournir en cas d’utilisation de procédés de collecte automatique ;
— le niveau de sécurité durant toutes les étapes du traitement, y compris la transmission via des réseaux, par exemple.
Dans ces cas, les informations doivent être fournies à l’écran de manière interactive.
1 Si une organisation place un cookie via son propre site Internet et qu’elle seule peut accéder au contenu
du cookie, aucune information supplémentaire ne doit être fournie sur son identité, à condition que l’organisation qui héberge le site ait déjà été identifiée de manière adéquate.
2 Voir les règles spécifiques visées à l’article 17, paragraphe 1, et paragraphe 3, deuxième tiret, de la directive 95/46/CE.
350
e
CNIL 22 rapport d'activité 2001