Foire aux questions pour les startup

Quelles sont les règles à suivre pour envoyer des mails publicitaires (prospection) ?

Pour  les particuliers (B to C)

Le principe : pas de message commercial sans accord préalable du destinataire

Pour les professionnels (B to B)

Le principe : information préalable et droit d'opposition

Quelles sont les types de preuves de consentement valides ? A qui incombe la charge de la preuve ?

La charge de la preuve incombe au responsable de traitement qui devra démontrer le respect du consentement des personnes concernées (signature d’un contrat, d’un formulaire…).

En effet, le règlement européen dans son article 7 rappelle que « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

Exemple : L’horodatage informatique de la manifestation de la volonté (par un clic ou un acte de navigation) et la mise en place d’une procédure de recueil du consentement, dument documentée, doit pouvoir être considéré comme un moyen valable d’établir la preuve du consentement.

Ai-je le droit d’utiliser l’authentification par reconnaissance faciale ou empreinte digitale pour mon application ? 

Si vous comptez avoir recours aux mécanismes d’authentification biométriques proposés par les smartphones, la CNIL a clarifié les conditions dans lesquelles ces traitements de données biométriques sont soumis ou non aux obligations de protection des données. Elle rappelle que, dans tous les cas, le particulier doit garder la maîtrise de sa donnée biométrique.

J’ai recours à un dispositif de mesure de fréquentation collectant des données depuis les terminaux mobiles (téléphones portables, smartphone), que dois-je faire ?  

Voir l’article « Dispositifs de mesure d’audience et de fréquentation dans des espaces accessibles au public : la CNIL rappelle les règles »

Peut-on sauvegarder et suivre l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage ?

Pour pouvoir identifier un accès frauduleux ou une utilisation abusives de données personnelles, ou de déterminer l’origine d’un incident, il convient d’enregistrer certaines des actions effectuées sur les systèmes informatiques.

Pour ce faire, un dispositif de gestion des traces et des incidents doit être mis en place. Celui-ci doit enregistrer les évènements pertinents et garantir que ces enregistrements ne peuvent être altérés. Dans tous les cas, il ne faut pas conserver ces éléments pendant une durée excessive (à fixer selon la pertinence du traitement).

Habituellement, ces journaux doivent conserver les évènements sur une période glissante ne pouvant excéder six mois.

Par ailleurs, il convient de prendre les précautions élémentaires suivantes :

• Prévoir un système de journalisation.
• Informer les utilisateurs de la mise en place d’un tel système.
• Protéger les équipements de journalisation et les informations journalisées contre les accès non autorisés.
• Etablir des procédures détaillant la surveillance de l’utilisation du traitement et examiner périodiquement les journaux d’événements pour y détecter d’éventuelles anomalies.
• Assurer que les gestionnaires du dispositif de gestion des traces notifient, dans les plus brefs délais, toute anomalie ou tout incident de sécurité au responsable de traitement.
• Notifier toute violation de données à caractère personnel à la CNIL.

Comment conserver la preuve de l’effacement des données associées à un compte suite à la mise en œuvre du droit à l’effacement des données ?