Charte du droit à l’oubli dans les sites collaboratifs et les moteurs de recherche

La bibliothèque libre.
Sauter à la navigation Sauter à la recherche
Ajouter un fac-similé pour vérification, — comment faire ?



Charte du droit à l’oubli dans les sites collaboratifs et les moteurs de recherche


Secrétariat d’Etat chargé de la prospective et du développement de l’économie numérique


30 septembre 2010


Sommaire

PREAMBULE[modifier]

Lors du colloque sur le droit à l’oubli numérique organisé le 12 novembre 2009 par le secrétariat d’Etat chargé de la prospective et du développement de l’économie numérique, deux thèmes avaient été identifiés : d’une part l’utilisation des données personnelles dans le cadre de la publicité ciblée, d’autre part la publication volontaire de données personnelles par les internautes eux-mêmes. Le secrétariat d’Etat avait alors organisé sur ces thèmes deux cycles de concertation, réunissant l’ensemble des acteurs concernés, afin de faire émerger des bonnes pratiques pour améliorer la protection de la vie privée des internautes. Une consultation publique organisée en mai 2010 avait permis de préciser les attentes de ces derniers. Le 30 septembre 2010, les travaux de concertation sur la publicité ciblée aboutissaient à la signature d’une charte « Publicité ciblée et protection des internautes », par dix associations professionnelles coordonnées par l’Union française du marketing direct (UFMD), et sous l’égide de Nathalie Kosciusko-Morizet. La présente charte représente l’aboutissement de la concertation concernant les données personnelles publiées volontairement. Elle contient des engagements par lesquels les sites collaboratifs et les moteurs de recherche mettent en œuvre les principes de consentement, de droit à l’information et de droit d’opposition, prévus par la loi. Ces deux chartes jettent les bases pratiques d’un droit à l’oubli pour les internautes. Elles constituent un point de départ, aussi bien pour un approfondissement futur des engagements qu’elles contiennent, que pour une reprise possible au niveau international. Convaincue de l’importance de la protection de la vie privée dans les usages numériques, Nathalie Kosciusko-Morizet tient à remercier et à féliciter tous les acteurs qui ont participé aux travaux de concertation et qui s’engagent à travers ces deux chartes.

Fait à Paris, le 13 octobre 2010, Madame Nathalie Kosciusko-Morizet

Secrétaire d’Etat chargée de la prospective et du développement de l’économie numérique

SIGNATAIRES[modifier]

La Charte est signée par les organisations suivantes :

  • ACTION INNOCENCE : Madame Véronique Fima-Fromager, Directrice
  • BENCHMARK GROUP Copains d’avant : Monsieur Philippe Richez, Directeur
  • Cabinet Alain Bensoussan : Madame Isabelle Tellier
  • CNAFC Confédération nationale des associations familiales catholiques : Monsieur Pierre de Bernières, Chargé de Mission
  • E-ENFANCE : Madame Justine Atlan, Directrice
  • MICROSOFT FRANCE : Monsieur Marc Mossé, Directeur des Affaires publiques et juridiques
  • PAGESJAUNES : Monsieur Jean-Pierre Rémy, Président Directeur Général
  • SKYROCK.COM : Monsieur Pierre Bellanger, Président Directeur Général
  • TROMBI.COM : Monsieur André Pitié, Directeur Marketing
  • UNAF Union nationale des associations familiales : Madame Guillemette Leneveu, Directrice Général
  • VIADEO : Monsieur Dan Serfaty, CEO
  • AUFEMININ.COM : Madame Marie Laure Sauty de Chalon, CEO
  • REZOTOUR : Madame Claudine Chaspou, Directrice

Les organismes suivants soutiennent cette Charte :

  • A COMPETENCE EGALE : Monsieur Alain Gavand, Président
  • AFNOR : Monsieur Thierry Geoffroy
  • SNCD Syndicat national de la communication directe : Madame Fabienne Granovsky, Vice Présidente


CHARTE[modifier]

Cette Charte constitue un engagement volontaire des signataires à appliquer les bonnes pratiques qu’elle décrit. Elle concerne la gestion des données publiées intentionnellement par des internautes, et la mise en œuvre pour ces données des droits constituant le « droit à l’oubli ». Il s’agit de matérialiser les principes de finalité, de consentement, de droit à l’information, de droit d’accès, de rectification et d’opposition, prévus par la loi Informatique et Libertés (1) ou, le cas échéant par les autres textes ou traités internationaux en vigueur. Afin de permettre une mise en œuvre effective de ces principes, la présente Charte vise à définir les bonnes pratiques à adopter par les sites collaboratifs (réseaux sociaux, blogs, forums, sites de publication de contenu, messagerie), ainsi que par les moteurs de recherche pour ce qui concerne les données publiées intentionnellement. L’objectif est de mieux garantir le respect de la vie privée pour les internautes en leur permettant d’exercer simplement un meilleur contrôle sur les données qu’ils ont publiées. Ces pratiques contribueront ainsi à maintenir la confiance dans les réseaux sociaux et dans les sites collaboratifs.

Deux axes principaux ont été identifiés : - Améliorer la transparence de l’exploitation des données publiées intentionnellement; - Faciliter la possibilité pour une personne de gérer les données qu’elle a publiées et qui concernent sa vie privée. Par la signature de la présente Charte, chacun des signataires s’engage à :

1. Favoriser les actions de sensibilisation et d’éducation des internautes[modifier]

Objectif : Passer du droit à l’information au droit à la compréhension. Sensibiliser les internautes aux enjeux du respect de la vie privée et de la protection des données personnelles sur Internet. Les signataires s’engagent à :

1.1 Mettre en œuvre des actions de pédagogie.[modifier]

1.1.1 Rappeler dans les premières étapes de l’utilisation du service les bonnes pratiques à respecter. Ces bonnes pratiques doivent être associées à des mises en garde : → sur la publication de contenus (photographie, vidéo, statut de profil, etc.) sans le consentement des tiers potentiellement concernés. → sur les éventuelles conséquences de la publication de données privées (adresse postale ou de courriel, numéro de téléphone), ou de contenus potentiellement préjudiciables ou pouvant porter atteinte à la réputation d’une personne. 1.1.2 Rappeler l’importance de la préservation d’une sphère privée que chacun est libre d’interdire à autrui, et des conséquences possibles de la diffusion de certains contenus au sein du milieu professionnel.

1.2 Mettre en ligne sur leurs sites, dès la page d’accueil, un lien vers une information conviviale et facilement accessible sur leur politique de protection de la vie privée,[modifier]

détaillant notamment (2) : 

→ les catégories de données personnelles collectées et l’exploitation qui en est faite ; → les conditions générales d’utilisation, qui doivent être obligatoirement accessibles au moment de l’inscription ; → l’utilisation des outils mis à disposition pour régler les paramètres de confidentialité ; → les droits des utilisateurs, les textes qui les protègent et de quelle façon les mettre en œuvre.

1.3 Donner aux internautes dès la collecte des données une information claire, transparente, complète, et facile à retrouver sur le site[modifier]

, sur les points suivants (3) : → La durée de conservation des données à caractère personnel ; → Les modalités d’exercice du droit d’opposition ; → Les conditions d’indexation par les moteurs de recherche et les options de paramétrage de l’accès par des tiers ; → Les informations contenues dans l’article 32 de la loi Informatique et libertés ou, le cas échéant, celles requises par les autres lois ou traités internationaux.

2. Protéger les données personnelles de l’indexation automatique par les moteurs de recherche[modifier]

Objectif : Faciliter le contrôle par l’éditeur de contenus, de son indexation ou non par les moteurs de recherche Les moteurs de recherche signataires s’engagent à :

2.1 Collaborer avec les sites de publication pour faciliter la non-indexation de certains contenus.[modifier]

2.2 Procéder dans les meilleurs délais à la mise à jour des caches quand une modification leur est signalée, et à leur vidage lorsqu’un contenu est désindexé.[modifier]

3. Faciliter la gestion des données publiées par l’internaute lui-même[modifier]

Objectif : Permettre aux internautes de localiser les informations qu’ils ont communiquées ou publiées. Eviter que des données personnelles mises en ligne sur un profil ne demeurent accessibles et ne soient conservées indéfiniment. Il s’agit de faciliter la mise en œuvre du droit d’opposition tel que prévu par la loi Informatique et Libertés (4), pour les données publiées par l’internaute. Les signataires considèrent que toute demande d’opposition portant sur une telle donnée est légitime. La donnée doit alors être supprimée du traitement, sauf en cas d’obligation légale ou de nécessité d’exécution d’un contrat ; dans ces cas elle ne doit plus être accessible publiquement. Les signataires s’engagent à proposer des interfaces simples et ergonomiques pour :

3.1 Donner des outils à l’internaute lui permettant de visualiser l’ensemble des informations personnelles le concernant détenues par le responsable de traitement.[modifier]

3.2 Permettre à l’internaute de supprimer, dans les limites énoncées ci-dessus, les données qu’il a publiées.[modifier]

3.3 Permettre, le cas échéant, de résilier facilement son adhésion ou de supprimer son compte.[modifier]

3.4 Prévoir les conditions de suppression et de désactivation des comptes, les modalités de conservation et de non-accessibilité des contenus, et en informer l’internaute de manière simple.[modifier]

4. Adopter des mesures spécifiques d’information pour les mineurs[modifier]

Objectif : Bien que les mineurs soient concernés par l’intégralité du contenu de la Charte, il est nécessaire de mettre en œuvre sur les blogs et les réseaux sociaux une information et des procédures spécifiques à destination de ce public, afin de lui accorder une protection renforcée et faciliter l’exercice de l’autorité parentale. Les sites collaboratifs signataires s’engagent à :

4.1 Systématiser, lorsque nécessaire, les dispositifs permettant de vérifier si les utilisateurs sont mineurs[modifier]

par exemple cocher une case demandant confirmation de la majorité de l’utilisateur / vérifier la cohérence avec le profil de l’utilisateur.

5. Mettre en place un outil de signalement ou un bureau des réclamations[modifier]

Objectif : Limiter la diffusion d’informations fausses ou personnelles y compris pour les personnes qui ne sont pas membres du réseau.

Les signataires s’engagent à : 5.1 proposer un moyen (web ou adresse postale en France), accessible aux membres comme aux non membres, afin de pouvoir demander la modification ou la suppression (au sens du paragraphe 3) de toute donnée personnelle publiée.

Les sites collaboratifs signataires s’engagent à : 5.2 Mettre en place une notification interne au réseau, lors de l’identification des personnes sur les photos publiées. 5.3 Offrir la possibilité de restreindre les personnes autorisées à voir ce contenu en cochant certains groupes de personnes.

6. Transfert de données (5)[modifier]

Objectif : maintenir le niveau de protection des données en cas de transfert vers un prestataire tiers. Les signataires s’engagent à : 6.1 Informer l’utilisateur et lui demander son consentement, en cas de transfert des données vers des tiers ou vers des applications extérieures (quiz,jeux…), en fournissant les informations mentionnées aux 1.2 et 1.3 concernant ces données. 6.2 A l’informer en cas de transfert hors de l’Union européenne ou vers des pays n’assurant pas un niveau adéquat de protection.

Appendice[modifier]

Au sens de la présente Charte, les données personnelles doivent être entendues comme : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne », ainsi que le dispose l’article 2 de la loi 78-17 du 6 janvier 1978 modifiée.

Notes[modifier]

(1)

Articles de la loi du 6 janvier 1978 modifiée:

- l’article 6-4°: les données qui font l’objet d’un traitement doivent être « exactes, complètes et, si nécessaire, mises à jour » et que des « mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées » ; - l’article 6-5° qui dispose que « les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées » ; - l’alinéa 1 de l’article 36 qui dispose que « les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques » ; - l’alinéa 1 de l’article 40 qui dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».


(2)

Extraits de l’article 90 du décret 2005-1309 : 

«Le responsable du traitement porte directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées au I de l'article 32 de la loi du 6 janvier 1978 susvisée sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. En application du 6° du I du même article, il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d'opposition, d'accès et de rectification […] Les informations mentionnées à l'alinéa précédent peuvent être communiquées aux intéressés, avec leur accord, par voie électronique. Lorsque les informations sont portées à la connaissance de l'intéressé par voie d'affichage, il lui est indiqué qu'il peut, sur simple demande orale ou écrite, recevoir ces informations sur un support écrit. »


(3)

Article 32 de la loi du 6 janvier 1978 : 

«  I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; 3° Du caractère obligatoire ou facultatif des réponses ; 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ; 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne. Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°. II.-Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant : -de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ; -des moyens dont elle dispose pour s'y opposer. »


(4) L’alinéa 1 de l’article 40 dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».


(5) Article 91 du décret 2005-1309 tel que modifié par le décret 2007-451 : « Les informations figurant au 7° du I de l'article 32 de la loi du 6 janvier 1978 susvisée que le responsable du traitement communique, dans les conditions prévues à l'article 90, à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes : 1° Le ou les pays d'établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données ; 2° La nature des données transférées ; 3° La finalité du transfert envisagé ; 4° La ou les catégories de destinataires des données ; 5° Le niveau de protection offert par le ou les pays tiers : a) Si le ou les pays tiers figurent dans la liste prévue à l'article 108, il est fait mention de la décision de la Commission européenne autorisant ce transfert ; b) Si le ou les pays tiers ne satisfont pas aux conditions prévues à l'article 68 de la même loi, il est fait mention de l'exception prévue à l'article 69 de cette loi qui permet ce transfert ou de la décision de la Commission nationale de l'informatique et des libertés autorisant ce transfert. Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de quinze jours suivant la réception par l'intéressé des informations ci-dessus ou, le cas échéant, au terme de la procédure visée à l'article 94. »