Données utilisateurs, RGPD, circulation des données, … la protection des données est devenue incontournable, voire d’une importance extrême pour tout site Internet ou application. Maître Pierre Vivant, avocat associé au Cabinet Bettati & Vivant Avocats, revient pour YourDay Le Mag sur l’importance d’une bonne protection.

On ne parle que de données utilisateurs, mais qu’est-ce que cela signifie au juste ?

Pierre Vivant : Les « données utilisateurs » ne sont pas une notion employée par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

Celui traite en réalité de « données à caractère personnel ».

Les données utilisateurs, en tant qu’utilisateur d’un site internet ou d’une application par exemple, ne sont qu’une partie des données à caractère personnel. En effet, ces dernières comprennent également, par exemple, les données des salariés.

Qu’entendez-vous justement par le terme « données utilisateurs » ?

P.V : Par données utilisateurs, il faut entendre, bien évidemment, les données que va saisir directement l’utilisateur pour s’inscrire, par exemple, sur un site internet ou une application, et qui va comprendre divers éléments tels que l’adresse email, un pseudo, mais éventuellement une adresse physique, un nom et un prénom, une date de naissance… qui diffèrent selon le formulaire d’inscription.

Mais les données utilisateurs sont également composées d’autres informations que l’utilisateur communique inconsciemment. Il peut s’agir, par exemple, de la durée de connexion ou encore du parcours clients sur le site internet, qui vont permettre de cibler l’intérêt de l’utilisateur.

“Ces données sont vecteurs d’informations sur l’utilisateur (son profil, ses goûts, ses choix, ses activités…)”

Pourquoi est-il important de les protéger ?

P.V : Ces données sont vecteurs d’informations sur l’utilisateur (son profil, ses goûts, ses choix, ses activités…). Elles permettent de connaître des aspects de la personne, dont ceux de la vie privée. Pour cette raison, il est nécessaire de les protéger, ce à quoi s’attache le règlement RGPD (et la loi informatique et liberté de 1978 qui est toujours en vigueur).

Pour l’individu, cette protection est nécessaire pour limiter une éventuelle intrusion dans sa vie privée.

Pour l’entreprise, cette protection est indispensable sur deux plans.

Lesquels ?

P.V : Le premier est naturellement de respecter les obligations réglementaires pour éviter toute sanction légale. Le second lui permet d’obtenir la confiance de ses clients. Le client qui sait que ses données personnelles ne servent qu’à un usage déterminé et que leur sécurité est assurée, va ainsi avoir une confiance en l’entreprise. C’est donc un argument  qui permet aux entreprises de fidéliser leurs clients.

Quels sont les points clés à savoir avant de récupérer de la donnée ?

P.V : Il faut s’assurer de respecter le Règlement et de se poser ainsi les bonnes questions : quelles données sont récupérées ? Pour quelle finalité ? Qui y a accès ? Combien de temps sont-elles conservées ? Comment sont-elles stockées/Où sont-elles hébergées ?

Il faut donc faire ce parcours de la donnée afin de voir si le règlement est respecté avant de pouvoir collecter ses données.

Il est ensuite indispensable d’en informer la personne concernée. Car bien évidemment, les données ne peuvent être collectées à son insu. Enfin, dans certains situations, il est nécessaire de recueillir un consentement.

Que risque une marque si elle ne protège pas les données de ses utilisateurs ?

P.V : Il y a deux risques. Le premier est d’ordre pécuniaire : en cas d’infraction, la CNIL peut prononcer des sanctions, dont des amendes pouvant s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

La seconde est de l’ordre de la réputation : le fait d’être sanctionné par la CNIL ou même de n’avoir qu’une mise en demeure publique peut avoir pour conséquence de porter atteinte à la réputation et à l’image de la marque auprès des clients.