Il se peut que votre site ne diffuse pas d'informations personnelles. En revanche, il est assez rare qu'un site Internet ne collecte aucune information relative à ses utilisateurs. Le plus souvent, en effet, le sites Internet sont destinés à être interactifs et permettent aux utilisateurs, par exemple, d'écrire au responsable du site, de se faire connaître de lui, de discuter autour de thèmes qu'il aura déterminés, etc. Toutes ces opérations permettent la collecte de données relatives aux visiteurs du site (adresse électronique, nom, adresse, etc.).

Si votre site est appelé à collecter de telles informations, vous devez informer les personnes du caractère facultatif ou obligatoire des réponses qu'elles sont invitées à fournir, ainsi que de l'existence et des modalités d'exercice du droit dont elles disposent d'accéder aux informations qui les concernent, de les faire modifier, rectifier ou supprimer. Les personnes doivent également savoir à qui sont destinées les informations fournies.

La durée de conservation des données collectées doit être déterminée et être en relation avec l’utilisation qui en sera faite. En tout état de cause, les personnes peuvent vous demander à tout moment de supprimer les données qu’elles auront fournies.

Si vous envisagez de transmettre à des tiers à des fins de prospection commerciale les adresses électroniques collectées, il convient d’en informer les personnes et d’obtenir leur accord.

Les données relatives aux consultations effectuées par les visiteurs de votre site (date, heure, adresse Internet, protocole de l'ordinateur d’un visiteur, page consultée) permettent à la fois la détection d’éventuelles intrusions informatiques et l’estimation de la fréquentation de votre site. Les mesures sont, le plus souvent, effectuées quotidiennement, notamment par l’hébergeur de votre site.

La durée de conservation de ces données doit être proportionnée à la finalité de leur traitement. Il vous incombe donc, y compris lorsque votre site est hébergé par un prestataire, de déterminer la durée de conservation des données de connexion au site. Ainsi, vous pouvez supprimer les données relatives aux connexions effectuées au cours d’une semaine lorsque le nombre de visiteurs a été déterminé.

Il est de votre intérêt de maîtriser les sujets de discussion et les contributions figurant sur votre site, afin d'éviter toute mise en cause de votre responsabilité fondée sur les propos tenus par certains utilisateurs ou les sujets de discussion qu'ils abordent (ex : pédophilie, incitation à la violence, à la haine raciale, négationnisme, etc).

Ce contrôle peut se comparer au choix qu'un rédacteur en chef de journal est fondé à faire, au titre de sa responsabilité éditoriale, dans la rubrique du "courrier des lecteurs" de son journal. Ainsi, vous pouvez mettre en place un modérateur qui supprimera, avant sa diffusion sur Internet, toute contribution susceptible d'engager votre responsabilité civile ou pénale ou portant atteinte à la considération ou à l'intimité de la vie privée d'un tiers.

Vous devez informer les visiteurs de ces espaces de discussion de leur finalité, de l’interdiction qui leur est faite de collecter et d’utiliser à des fins commerciales les données personnelles figurant dans ces espaces, de leurs règles de fonctionnement et, lorsque tel est le cas, de l'existence d'un modérateur intervenant préalablement à la diffusion des contributions sur le site.

En outre, vous devez informer les personnes concernées de l'existence et des modalités d'exercice du droit d'accès et de rectification ainsi que de leur droit de demander à tout moment la suppression des contributions nominativement diffusées dans le cadre des espaces de discussion du site.

Vous trouverez dans ce guide (voir infra, exemple 2) un exemple des mentions d’avertissement et d’information

devant apparaître sur la page d’accueil d’un espace de discussion.

Vous devez signaler clairement aux utilisateurs, sur le formulaire de collecte d'informations, le caractère facultatif ou obligatoire des réponses qu'ils sont invités à fournir. Les utilisateurs doivent également savoir à qui sont destinées les informations qu'ils fournissent.

Lorsque vous envisagez de transmettre à des tiers les données collectées auprès des utilisateurs de votre site, vous devez en informer les personnes et les inviter à faire part de leur accord ou de leur refus d'une telle transmission, au moyen, par exemple, d'une case à cocher figurant aux côtés de cette information.

Vous trouverez dans ce guide (voir infra, exemple 3) un exemple de formulaire de collecte d'informations comprenant les mentions destinées à informer les utilisateurs de leurs droits.

La durée de conservation des informations collectées doit être justifiée par la finalité de leur traitement et doit être déterminée. Ainsi, lorsque les utilisateurs ont la qualité de prospects, la CNIL recommande que leurs données soient supprimées au maximum un an après leur collecte ou lorsqu’ils n’ont pas répondu à deux sollicitations successives. D’autre part, la conservation des informations relatives aux personnes qui ont un lien contractuel avec vous ne devrait pas excéder la durée pendant laquelle l’existence ou l’exécution du contrat peut être contestée.

La collecte en ligne de coordonnées bancaires destinée à réaliser une transaction commerciale portant sur un produit physique ou numérique ou sur un service, doit comporter des procédés efficaces et licites de sécurisation des paiements, destinés à empêcher un tiers non autorisé d'intercepter ces données, d'y accéder, de les déformer ou de les détourner, notamment à son profit.

Certains procédés, tels que les "cookies" (permettant à un site d’enregistrer des informations dans l’ordinateur d’un utilisateur) ou les applets Java (programme exécuté à la demande d’un site par le navigateur d’un utilisateur) permettent de collecter des données. De tels procédés ne peuvent pas être mis en oeuvre à l’insu des personnes. La plupart des logiciels de navigation permettent désormais aux personnes de refuser la mise en oeuvre de ces techniques dans leur machine. Ainsi, il convient, en cas de recours à ces procédés, d’informer les personnes de leur objet et de la faculté dont elles disposent de s’y opposer

Si vous créez un site personnel, par exemple sous forme de blog, vous pouvez recourir aux services d’une plate-forme d’hébergement qui dispose d’un règlement ou d’un contrat précisant les conditions d’utilisation du service.

Dans le cas où vous auriez recours à une société d’hébergement spécialisée, vous devez veiller à ce que le contrat que vous signez avec cette société couvre entièrement et exclusivement les missions que vous lui assignez.

Vous pouvez simplement charger votre sous-traitant d'héberger votre site sur ses matériels. Vous pouvez également lui demander de concevoir votre site pour votre compte. Vous pouvez, enfin, le charger de gérer le quotidien de votre site et notamment les relations du site avec les utilisateurs ou les problèmes de sécurité dont votre site pourrait faire l'objet (intrusions, piratages, violation de droits d'auteur, etc.).

Votre sous-traitant, en tant que professionnel, a un devoir d'information et de conseil à votre égard. Même si les aspects techniques de la réalisation de votre site vous échappent, il vous appartient de veiller à ce que le contrat conclu avec votre sous-traitant l'engage à prendre toutes les mesures nécessaires pour assurer la sécurité informatique des données traitées sur le site.

Ce contrat doit également prévoir que votre sous-traitant sera soumis à une obligation de confidentialité à l'égard des données qu'ils est amené à connaître dans l'exercice de ses missions. Ces précisions visent toutes les catégories de données personnelles.

Si votre sous-traitant est chargé d'assurer au quotidien les relations entre votre site et les utilisateurs, vous pourrez convenir qu'il répondra aux demandes d'accès des utilisateurs aux informations qui les concernent.

Le contrat doit prévoir le sort qui sera réservé aux données personnelles traitées dans le cadre de votre site. Il est de votre intérêt de prévoir dans le contrat d’hébergement l’interdiction faite à votre hébergeur d’utiliser pour son propre compte ou de communiquer à des tiers les données à caractère personnel traitées dans le cadre de votre site. En effet, une telle utilisation par votre hébergeur de telles données à l’insu des personnes concernées vous exposerait aux sanctions prévues par l’article 226-22 du code pénal (permettre l’accès à des données par un tiers non autorisé).