Des précisions sur la collecte et la protection des données personnelles

212 jours auparavant par Pierre Croizet

Suite à une rencontre régionale organisée récemment par la CNIL à Bordeaux, quelques éléments importants ont été soulevés, qu’il est intéressant de connaître dans le champ du tourisme.

D’abord en matière d’information des personnes quant à l’usage qui est fait des données personnelles qu’elles peuvent être amenées à communiquer (dans un formulaire de contact, par exemple) :

Le principe qui prévaut est celui de la “collecte loyale”. Ce principe se traduit concrètement par quelques obligations : donner l’identité du responsable du traitement de l’information (l’OT, le prestataire web, le loueur du fichier ?), indiquer les finalités du traitement des infos (suivi clientèle, commercial, gestion du site ?), donner un droit d’accès et de rectification (c’est-à-dire donner accès à l’intégralité de la fiche client qui doit être claire et intelligible : elles sont stockées où et comment vos données personnelles ?), informer sur la destination éventuelle des données en dehors de l’OT (revente ou communication à des tiers), donner la possibilité au client d’exercer son droit d’opposition (c’est un droit absolu qu’a toute personne physique de s’opposer, sans justification à fournir, à l’utilisation de ses données à des fins de prospection).
A contrario, si ces règles ne sont pas respectées, vous entrez dans le registre joyeux de la collecte déloyale. Vous risquez (enfin comme d’hab : “votre Président(e) risque..”) des peines d’amendes voire de prison (glups !). Rigolez pas, c’est sérieux !

En ce qui concerne la prospection électronique, il est confirmé que la règle de “l’opt-in” prévaut (l’internaute doit avoir donné expressément son accord pour recevoir la prospection, sinon vous n’avez pas le droit de lui envoyer votre e.maiing !).
Il est également confirmé que les astuces du type : “je vous envoie ma newsletter, si vous ne voulez plus la recevoir, z’avez qu‘à me le dire…”; sont parfaitement illégales.
A noter, à toutes fins utiles : tout particulier, prospecté en dehors de la règle de l’opt-in peut saisir directement le parquet et/ou la CNIL. Les sanctions de l’un et de l’autre sont cumulables !
La CNIL peut également être saisie, même anonymement.
La panoplie des sanctions se veut dissuasive : contravention de 750 euros par message irrégulièrement expédié, avertissements CNIL, injonction de faire cesser le publipostage, sanctions pécuniaires jusqu‘à 300 000 euros, dénonciation des faits au Procureur (re-Glups !).
De plus, les systèmes de parrainages (genre : “donnez moi les e.mails de 3 de vos amis pour continuer à jouer”) sont interdits (c’est de la collecte déloyale).

Y a-t-il des exceptions ?
Oui : si la prospection n’entre pas dans le champ du commercial (intérêt public, assoc.). Mais attention, même dans ce cas là, il faut respecter la règle de “l’opt-out” : donner à l’internaute la faculté de s’opposer à l’envoi.
L’opt-in n’est également pas nécessaire dans le cas d’une prospection concernant des produits ou des services analogues à ceux qui ont été vendus. Autrement dit, il semblerait possible de prospecter sans opt-in les personnes que vous comptez déjà comme clients.

Que retenir de tout cela ?
Primo, que la collecte de données personnelles est une chose très sérieuse qui, si elle est mal faite, peut vous emmener tout droit en enfer.
Secundo, assurez-vous d’urgence que les données personnelles collectées sur votre site sont conservées dans un fichier clairement identifié, dont la durée de vie doit être limitée dans le temps.
Tertio, vérifiez avec l’aide de votre prestataire web que les mentions CNIL sont conformes et que tout internaute peut accéder à ses données, les faire rectifier, les faire supprimer et peut s’opposer à l’utilisation de ces informations pour des actions de prospection.

Je vous invite à consulter le site de la CNIL

Dernière info : il est possible de désigner un correspondant CNIL à l’intérieur de votre structure. Outre la formation dispensée qui sécurise votre activité, cette désignation vous dispense de demandes d’autorisation pour la gestion de vos fichiers clients et prospects…
A méditer :-)

tags : cnil, données personnelles 

Ils savent tout de vous, mais que savez-vous d'eux ?

356 jours auparavant par Pierre Croizet

Dans sa dernière newsletter “tourisme”, le journal du net (super publication à laquelle je vous recommande chaudement de vous abonner) nous informe que le site de l’agence en ligne Bourse des Voyages, www.bdv.fr, a intégré dans son nouveau portail, une fonction de géolocalisation automatique de ses visiteurs.

Autrement dit, lorsque vous allez sur le site, le moteur de recherche de séjours ou de billets d’avion vous évite comme par miracle d’avoir à taper votre lieu de départ : il le connaît déjà (en tous cas il suppose que c’est le lieu d’où vous vous êtes connectés, ce qui sera vrai dans 80% des cas minimum).

Son truc ? Il utilise l’I.P. de votre ordinateur.

C’est quoi l’IP ? C’est une série de 4 nombres, tous compris entre 0 et 255 (ça ressemble à ceci : 194.122.36.1), identifiant de manière unique tout ordinateur ou serveur se connectant à Internet. Une sorte de plaque d’immatriculation. C’est votre fournisseur d’accès qui vous l’attribue. Elle peut varier à chaque connexion ou être fixe. Et elle est géolocalisable. Le Wiki scanner mentionné l’autre jour dans cette colonne fonctionne grâce à cela : il identifie des IP fixes, repérées comme étant les sources de tel ou tel article, et, grâce à des sortes d’annuaires d’IP, permet de dire de quel organisme ou de quelle entreprise émanait la connexion.

Conséquence : si mon site web retient votre IP fixe dans sa base de données et qu‘à cette IP sont associées des données personnelles que vous avez rentrées par ailleurs (nom, adresse, numéro de téléphone…), il est possible de vous suivre à la trace en sachant que 194.122.36.1 est M. Martin, résidant 21 rue des Flots Bleus à Dax.

Bourse des Voyages n’en fait pas cet usage, a priori. Il s’agit simplement d’améliorer le service au client, et le taux de transformation des promos, en ciblant mieux les offres qui lui sont faites.

Le procédé ne me gêne pas outre mesure, tant qu’il n’est pas intrusif et qu’il est contrôlé. Ce qui me gêne en revanche, c’est le flou relatif qui entoure cette fonctionnalité si puissante. Bourse des Voyages ne l’affiche pas clairement sur sa page d’accueil, ne vous demande pas votre avis quant à cette géolocalisation et n’indique pas précisément quel usage sera fait de cette donnée.
Le site se veut rassurant, et je gage qu’il est bien intentionné : “les données personnelles des clients ne sont ni échangées, ni revendues”. Ni échangées, ni revendues, d’accord. Mais stockées, oui. Et pour quoi faire ?

Heureusement, nous sommes tous protégés par la CNIL... Sauf que la formalité de déclaration de site Internet a été supprimée…

Une suggestion : rendre obligatoire dans les mentions légales une information précise sur les conditions de collecte, d’utilisation et de conservation des données personnelles des internautes. Et pour cela, utiliser des modèles simples de type Creative Commons, régissant ces pratiques hyper sensibles.
Ca éviterait l’engorgement de la CNIL et ça donnerait peut être un peu plus de transparence.

tags : cnil, géolocalisation