Innovation
Comment trouver un avocat d’affaires en 2025 sans se tromper : le guide stratégique
Données personnelles sur internet : définition, cadre RGPD et obligations de l'entreprise face à la CNIL
Points clés de l'article
- Toute information permettant d'identifier directement ou indirectement une personne physique constitue une donnée personnelle au sens du RGPD, y compris une adresse IP ou un identifiant de cookie.
- Le cadre légal repose sur le RGPD (règlement UE 2016/679) et la loi Informatique et Libertés de 1978, modifiée en 2019.
- L'entreprise doit tenir un registre des traitements, recueillir un consentement éclairé et informer les personnes concernées de manière transparente.
- Les internautes disposent de droits précis : accès, rectification, opposition, portabilité et effacement de leurs données.
- Toute violation de données doit être notifiée à la CNIL sous 72 heures, sous peine de sanctions pouvant atteindre 4 % du chiffre d'affaires annuel mondial.
- La mise en conformité repose sur des mesures techniques (chiffrement, pseudonymisation) et organisationnelles (gouvernance interne, audits réguliers).
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Données personnelles sur internet : définition juridique et exemples concrets
Cadre légal applicable : RGPD européen et Loi Informatique et Libertés
Quelles données sont collectées en ligne ? Cookies, formulaires, traceurs, IP
Obligations de l'entreprise : registre des traitements, information, consentement
Droits des internautes : accès, rectification, opposition, portabilité, oubli
Sécurité des données et notification des violations en 72h à la CNIL
Risques et sanctions : amendes CNIL jusqu'à 4 % du chiffre d'affaires mondial
Bonnes pratiques pour protéger les données personnelles collectées en ligne
Données personnelles sur internet : définition juridique et exemples concrets
L'article 4 du RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable. L'identification peut être directe (nom, prénom) ou indirecte (numéro de téléphone, adresse IP, identifiant de cookie, données de géolocalisation).
Sur internet, cette définition couvre un spectre large. Un formulaire de contact qui collecte un nom et une adresse e-mail traite des données personnelles sur internet. Un pixel de suivi qui enregistre le parcours de navigation d'un visiteur fait de même, dès lors qu'il permet de relier ce parcours à un terminal identifiable.
La CNIL distingue plusieurs catégories selon leur sensibilité :
| Catégorie | Exemples concrets en ligne | Niveau de sensibilité |
|---|---|---|
| Données d'identification | Nom, prénom, e-mail, photo de profil | Standard |
| Données de connexion | Adresse IP, logs de connexion, identifiant cookie | Standard |
| Données financières | Numéro de carte bancaire, IBAN (paiement en ligne) | Élevé |
| Données sensibles (art. 9 RGPD) | Données de santé, opinions politiques, biométrie | Très élevé |
| Données de localisation | GPS, adresse IP géolocalisée | Standard à élevé |
Une donnée pseudonymisée — c'est-à-dire dont les éléments d'identification directe ont été remplacés par un code — reste une donnée personnelle. Seule une donnée véritablement anonymisée, de manière irréversible, sort du champ du RGPD.
Cadre légal applicable : RGPD européen et Loi Informatique et Libertés
Le RGPD (règlement UE 2016/679), applicable depuis le 25 mai 2018, constitue le socle unifié de la protection des données dans l'Union européenne. Il s'applique à toute organisation qui traite des données de résidents européens, y compris les entreprises établies hors UE qui ciblent le marché européen.
En France, la loi Informatique et Libertés du 6 janvier 1978, révisée par l'ordonnance du 12 décembre 2018, complète le RGPD sur plusieurs points. Elle précise les conditions de traitement des données de santé, fixe l'âge du consentement numérique des mineurs à 15 ans et encadre certains traitements régaliens.
La directive ePrivacy (2002/58/CE), transposée à l'article 82 de la loi Informatique et Libertés, régit spécifiquement les cookies et traceurs. La CNIL a publié en 2020 des lignes directrices actualisées sur ce sujet, imposant un consentement préalable pour tout dépôt de traceur non strictement nécessaire au fonctionnement du site.
Pour les transferts de données hors UE, le cadre de protection adéquat repose depuis juillet 2023 sur le Data Privacy Framework (DPF) entre l'UE et les États-Unis, qui remplace le Privacy Shield invalidé par l'arrêt Schrems II de la CJUE en 2020.
Structurer la conformité RGPD d'un site ou d'une application nécessite une analyse juridique adaptée à chaque flux de données.
Consulter un avocat spécialisé en protection des données
Quelles données sont collectées en ligne ? Cookies, formulaires, traceurs, IP
La collecte de données personnelles sur internet intervient à chaque interaction entre un utilisateur et un service numérique. Quatre vecteurs principaux concentrent l'essentiel des traitements.
Les formulaires (inscription, contact, commande) collectent des données déclaratives : nom, e-mail, adresse postale, numéro de téléphone. Ces données sont fournies volontairement par l'utilisateur, ce qui ne dispense pas l'entreprise de l'informer de leur finalité.
Les cookies sont des fichiers texte déposés sur le terminal de l'utilisateur. Ils se répartissent en 3 catégories :
- Cookies strictement nécessaires : authentification, panier d'achat, préférences de langue. Exemptés de consentement.
- Cookies analytiques : mesure d'audience (ex. : Google Analytics, Matomo). Soumis à consentement, sauf configuration respectant les conditions d'exemption de la CNIL.
- Cookies publicitaires : ciblage, retargeting, profilage. Consentement obligatoire avant tout dépôt.
Les traceurs tiers (pixels Facebook, balises Google Ads, SDK intégrés dans les applications mobiles) transmettent des données comportementales à des plateformes tierces. Chaque traceur constitue un traitement distinct au sens du RGPD.
L'adresse IP, collectée automatiquement par les serveurs web, est qualifiée de donnée personnelle par la CJUE depuis l'arrêt Breyer (C-582/14, 19 octobre 2016). Sa conservation est encadrée : 12 mois maximum pour les données de connexion selon le droit français.
Obligations de l'entreprise : registre des traitements, information, consentement
Le RGPD impose à toute entreprise traitant des données personnelles un ensemble d'obligations structurantes. La direction juridique en assure le pilotage ou la supervision.
Le registre des traitements (article 30 RGPD) recense l'ensemble des opérations de traitement. Il doit mentionner pour chaque traitement : la finalité, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. Ce registre est obligatoire pour les entreprises de plus de 250 salariés, et pour toute entreprise dont les traitements présentent un risque ou sont réguliers.
L'obligation d'information (articles 13 et 14 RGPD) impose de communiquer aux personnes concernées, au moment de la collecte, des mentions précises : identité du responsable de traitement, finalités, base légale, durée de conservation, droits exercables. Cette information prend la forme d'une politique de confidentialité accessible sur le site.
Le consentement (article 6.1.a RGPD) doit être libre, spécifique, éclairé et univoque. Pour les cookies non essentiels, la CNIL exige un mécanisme de recueil permettant d'accepter ou de refuser avec la même facilité. Les cookie walls — qui bloquent l'accès au site en cas de refus — sont acceptés sous conditions strictes depuis la délibération CNIL de 2020, à condition qu'une alternative réelle soit proposée.
| Obligation | Base juridique | Sanction en cas de manquement |
|---|---|---|
| Registre des traitements | Art. 30 RGPD | Amende administrative |
| Information des personnes | Art. 13-14 RGPD | Amende jusqu'à 20 M€ ou 4 % du CA |
| Recueil du consentement (cookies) | Art. 82 Loi IL + lignes directrices CNIL | Amende administrative |
| Désignation d'un DPO | Art. 37 RGPD (obligatoire dans certains cas) | Mise en demeure CNIL |
La conformité RGPD d'un site web implique des choix juridiques et techniques interdépendants : base légale, durées de conservation, transferts internationaux.
Être accompagné par un avocat en protection des données
Droits des internautes : accès, rectification, opposition, portabilité, oubli
Le RGPD confère aux personnes physiques un ensemble de droits opposables au responsable de traitement. L'entreprise doit y répondre dans un délai d'1 mois, prolongeable de 2 mois en cas de complexité.
- Droit d'accès (art. 15) : obtenir la confirmation qu'un traitement existe et recevoir une copie des données traitées.
- Droit de rectification (art. 16) : corriger des données inexactes ou compléter des données incomplètes.
- Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime ou à la prospection commerciale. Ce droit est absolu pour le marketing direct.
- Droit à la portabilité (art. 20) : récupérer ses données dans un format structuré et lisible par machine, et les transmettre à un autre responsable de traitement.
- Droit à l'effacement (art. 17), dit droit à l'oubli : obtenir la suppression des données lorsque le traitement n'est plus nécessaire, que le consentement est retiré ou que le traitement est illicite.
- Droit à la limitation (art. 18) : geler temporairement un traitement en cas de contestation.
En 2023, la CNIL a reçu 16 433 plaintes, dont une part croissante concerne l'exercice de ces droits en ligne. L'absence de réponse ou le refus non motivé constitue un manquement sanctionnable.
Sécurité des données et notification des violations en 72h à la CNIL
L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque. Ces mesures incluent le chiffrement des données en transit et au repos, la pseudonymisation, le contrôle des accès et la journalisation des opérations.
En cas de violation de données personnelles — accès non autorisé, perte, destruction ou divulgation — l'entreprise doit notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance (article 33 RGPD). Si la violation présente un risque élevé pour les personnes concernées, celles-ci doivent également être informées directement (article 34).
En 2023, la CNIL a enregistré 4 668 notifications de violations de données. Les causes les plus fréquentes : attaques par ransomware, erreurs humaines d'envoi et failles dans les applications web.
La direction juridique doit s'assurer qu'une procédure interne de gestion des incidents existe, qu'elle est testée et qu'elle implique les équipes IT, juridique et communication.
Risques et sanctions : amendes CNIL jusqu'à 4 % du chiffre d'affaires mondial
Le RGPD prévoit deux niveaux de sanctions administratives :
- Jusqu'à 10 millions d'euros ou 2 % du CA annuel mondial pour les manquements aux obligations du responsable de traitement (registre, DPO, sécurité).
- Jusqu'à 20 millions d'euros ou 4 % du CA annuel mondial pour les violations des droits des personnes ou des principes fondamentaux du traitement.
En France, la CNIL a prononcé en 2023 42 sanctions pour un montant cumulé de 89 millions d'euros. Parmi les décisions récentes : Criteo a été sanctionné à hauteur de 40 millions d'euros en juin 2023 pour défaut de consentement dans le cadre du ciblage publicitaire.
Au-delà des amendes, les risques incluent :
- Mises en demeure publiques, avec impact réputationnel direct.
- Injonctions de mise en conformité assorties d'astreintes journalières.
- Actions de groupe introduites par des associations de défense des droits numériques.
- Contentieux individuels devant les juridictions civiles, avec demande de dommages-intérêts.
L'exposition au risque CNIL dépend de la nature des données traitées, du volume de personnes concernées et de la maturité du dispositif de conformité.
Évaluer votre conformité avec un avocat en protection des données
Bonnes pratiques pour protéger les données personnelles collectées en ligne
La mise en conformité ne se résume pas à un exercice documentaire. Elle repose sur une gouvernance opérationnelle impliquant la direction juridique, la DSI et les métiers.
1. Cartographier les traitements. Identifier chaque point de collecte (formulaires, cookies, SDK, API tierces) et documenter les flux de données associés. Cette cartographie alimente le registre des traitements.
2. Appliquer le principe de minimisation. Ne collecter que les données strictement nécessaires à la finalité déclarée. Un formulaire de newsletter n'a pas besoin de la date de naissance ni de l'adresse postale.
3. Configurer une CMP conforme. La Consent Management Platform (plateforme de gestion du consentement) doit permettre un refus aussi simple que l'acceptation, ne déposer aucun traceur avant le choix de l'utilisateur et conserver la preuve du consentement.
4. Encadrer les sous-traitants. L'article 28 du RGPD impose un contrat écrit avec chaque sous-traitant (hébergeur, prestataire e-mailing, outil analytique). Ce contrat précise les instructions de traitement, les mesures de sécurité et les obligations en cas de violation.
5. Réaliser des analyses d'impact (AIPD). L'article 35 du RGPD rend obligatoire une analyse d'impact pour les traitements présentant un risque élevé : profilage, traitement à grande échelle de données sensibles, surveillance systématique.
6. Former les équipes. Les collaborateurs en contact avec des données personnelles (marketing, RH, service client) doivent être sensibilisés aux règles de collecte, de conservation et de suppression.
7. Auditer régulièrement. Un audit annuel de conformité permet de détecter les écarts entre les pratiques réelles et les engagements documentés, et d'anticiper les évolutions réglementaires.
FAQ
Qu'est-ce qu'une donnée personnelle sur internet au sens du RGPD ?
Toute information permettant d'identifier directement ou indirectement une personne physique en ligne constitue une donnée personnelle. Cela inclut le nom, l'adresse e-mail, l'adresse IP, un identifiant de cookie ou des données de géolocalisation. La définition figure à l'article 4 du RGPD.
Les cookies sont-ils tous soumis au consentement de l'utilisateur ?
Non. Les cookies strictement nécessaires au fonctionnement du site (authentification, panier d'achat) sont exemptés de consentement. En revanche, les cookies analytiques et publicitaires nécessitent un consentement préalable, libre et éclairé, conformément aux lignes directrices de la CNIL publiées en 2020.
Quel est le délai pour notifier une violation de données à la CNIL ?
Le responsable de traitement doit notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation (article 33 RGPD). Si la violation présente un risque élevé pour les personnes, celles-ci doivent également être informées sans délai.
Une adresse IP est-elle une donnée personnelle ?
Oui. La Cour de justice de l'Union européenne a confirmé dans l'arrêt Breyer (C-582/14, 19 octobre 2016) qu'une adresse IP dynamique constitue une donnée personnelle lorsque le responsable de traitement dispose de moyens légaux pour identifier la personne concernée.
Quelles sanctions la CNIL peut-elle prononcer en cas de non-conformité RGPD ?
La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le manquement constaté. Elle peut également prononcer des mises en demeure publiques, des injonctions de mise en conformité et des astreintes journalières.
Pour aller plus loin
Le règlement général sur la protection des données - RGPD - CNIL
Conformité RGPD : informer les personnes et assurer la transparence - CNIL
Obligations en matière de protection des données personnelles (RGPD) - Service-Public.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
