Rapport Data Protection Act (Royaume-Uni)
Ce rapport indique les problèmes liés à la loi Data Protection Act trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
Pourquoi est-ce important
La loi Data Protection Act de 1998 régit le traitement des données personnelles au Royaume-Uni. Le Data Protection Act de 1984 du Royaume-Uni a été révisé en 1998 et mis en application le 1er mars 2000. La nouvelle loi modifie les définitions et significations initiales de "données personnelles" et étend la portée de la loi d'origine en faisant la distinction entre données personnelles et données personnelles confidentielles. La loi intègre à présent les notions d'acquisition, de rétention et de divulgation.
La loi Data Protection Act comprend huit principes de protection des données :
- Les données personnelles doivent être traitées équitablement et légalement.
- Les données personnelles ne doivent être obtenues qu'à une ou plusieurs fins clairement définies et légales et ne doivent pas subir de traitement ultérieur incompatible, de quelque manière que ce soit, avec ces fins.
- Les données personnelles doivent être en adéquation, pertinentes et non excessives par rapport à la fin ou aux fins pour lesquelles elles sont traitées.
- Les données personnelles doivent être exactes et, le cas échéant, actuelles.
- Les données personnelles traitées à toute(s) fin(s) ne doivent pas être conservées plus longtemps que nécessaire à cette ou ces fins.
- Les données personnelles doivent être traitées conformément aux droits des personnes identifiées par ces données, définis dans la présente loi.
- Des mesures techniques et organisationnelles appropriées doivent être prises pour empêcher tout traitement non autorisé ou frauduleux de données personnelles, et contre toute perte accidentelle, destruction ou dommage aux données personnelles.
- Les données personnelles ne sont pas transférables vers un pays ou une région en dehors de l'Union Économique Européenne à moins que ce pays ou cette région n'offre un niveau de protection adéquat des droits et libertés des personnes identifiées par ces données concernant le traitement des données.
Selon la loi, les entreprises doivent adhérer à ces principes et notifier l'Information Commissioner si elles collectent des données à caractère personnel. Selon la loi, l'Information Commissioner du Royaume-Uni peut émettre un rappel à l'ordre (enforcement notice) à toute entreprise en infraction avec l'un quelconque des principes de protection des données lors du traitement de données personnelles. Lorsqu'un membre du public en fait la demande, les entreprises doivent arrêter de traiter les informations personnelles le concernant.
Les opérateurs de sites Web établis en dehors du Royaume-Uni utilisant un ordinateur hébergé au Royaume-Uni pour collecter des informations personnelles, ou plaçant un cookie sur l'ordinateur d'un internaute britannique, sont également soumis à cette loi.
Meilleures pratiques pour la conformité avec la loi Data Protection Act
Les opérateurs de sites Web qui collectent des informations personnelles sur des individus doivent :
- S'assurer que les formulaires de collecte de données web sont conformes aux principes de 'traitement équitable' qui identifient l'entreprise pour les utilisateurs ; expliquent pourquoi le site collecte des données et quels sont les tiers auxquels les données seront transmises (internes et externes).
- Informer les utilisateurs de leur intention d'utiliser des "cookies" ou web bugs (mouchards) et d'offrir la possibilité de refuser le cookie. Assurer la sécurité du processus de collecte des données
- Publier une charte de confidentialité et fournir des liens vers cette charte à tous les endroits où des données sont collectées
- Offrir un mécanisme de "refus" des e-mails de marketing direct
- S'assurer qu'une adresse électronique valide est utilisée aux fins de marketing direct
- S'assurer que si les informations sont collectées auprès d'enfants de moins de 12 ans, ces derniers sont informés de la façon dont les données sont collectées et utilisées. Le consentement des parents doit être obtenu pour les enfants de moins de 12 ans, et ce consentement doit être vérifiable.