Travaux du groupe article 29
En l’absence d’exigence juridique d’identification, l’utilisation de pseudonymes doit être encouragée et acceptée, même dans le cadre de certaines transactions.
Un exemple est l’utilisation de pseudonymes dans les certificats pour les signatures
électroniques (voir l’article 8 de la directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques).
23 — Il convient de déterminer une durée de conservation des données collectées. Les données doivent être conservées pendant une durée n’excédant pas celle
nécessaire à la réalisation des finalités pour lesquelles elles sont traitées (article 6 de
la directive 95/46/CE et article 6 de la directive 97/66/CE).
24 — Les mesures nécessaires doivent être prises afin de garantir la sécurité
des données lors du traitement, y compris lors de la transmission (par exemple, déterminer et restreindre le cercle de personnes ayant accès aux données, utiliser un cryptage approfondi) (article 17 de la directive 95/46/CE).
25 — Lorsqu’un sous-traitant participe à l’hébergement d’un site Internet,
par exemple, il convient de conclure un contrat le contraignant à prendre des mesures de sécurité appropriées, conformément à la législation de l’État membre où il est
situé, et à ne traiter les données à caractère personnel que suivant les instructions du
responsable du traitement.
26 — Selon la loi nationale applicable, l’autorité de contrôle compétente
doit être notifiée (lorsque le responsable du site est établi dans l’Union européenne
ou qu’il y dispose d’un représentant). Le numéro d’enregistrement de la notification
peut avantageusement figurer sous la rubrique du site consacrée à la protection des
données.
27 — En cas de transfert vers un pays tiers n’assurant pas un niveau de protection adéquat, il faut veiller à ce que le transfert des données n’ait lieu que s’il est
conforme à l’une des dérogations prévues à l’article 26 de la directive 95/46/CE.
Dans ce cas, la personne concernée doit être informée des garanties adéquates existantes afin de rendre le transfert licite.
IV. Collecte d’adresses pour la prospection par courrier électronique
et envoi de lettres d’informations
28 — En ce qui concerne la prospection par courrier électronique :
— Le groupe de travail insiste sur le fait que l’utilisation d’adresses électroniques collectées dans des espaces publics d’Internet, tels que les groupes de discussion, à l’insu de la personne concernée, est illicite. Ces adresses ne peuvent pas être
utilisées à des fins autres que celle pour laquelle elles ont été diffusées, et surtout pas
pour la prospection 1.
— Les adresses électroniques ne peuvent être utilisées à des fins de prospection que lorsqu’elles ont été collectées de manière loyale et licite. Une collecte loyale
et licite suppose que les personnes concernées ont été informées de la possibilité de
l’utilisation de ces données à des fins de prospection et mises en mesure de consentir
1 Voir les documents WP 28 (5007/00) « Avis 1/2000 sur certains aspects du commerce électronique relatifs à la protection des données », adopté le 3 février 2000, WP 29 (5009/00) « Avis 2/2000 concernant le réexamen général du cadre juridique dans le domaine des télécommunications » adopté le
3 février 2000, en particulier en ce qui concerne l’application des articles 6 et 7 de la directive
95/46/CE, WP 36 (5042/00) : « Avis 7/2000 sur la proposition, présentée par la Commission, de directive du Parlement européen et du Conseil concernant le traitement des données à caractère personnel
et la protection de la vie privée dans le secteur des communications électroniques du 12 juillet 2000
(COM (2000) 385) », adopté le 2 novembre 2000 et WP 37 (5063/00) : Document de travail « Le respect de la vie privée sur Internet — Une approche européenne intégrée de la protection des données en
ligne », adopté le 21 novembre 2000.
352
e
CNIL 22 rapport d'activité 2001