Ce qu'on appelle cosmétique connectée est en fait l'Internet des objets au service de la beauté, qui allie technologies avancées, soins et produits cosmétiques.

Les offres se multiplient actuellement sur le marché des cosmétiques, expression de l’émergence d’un nouveau segment de services personnalisés dans le secteur. Par exemple :
• le mini-scanner analysant l’épiderme et proposant des soins personnalisés par le biais d’une application mobile ;
• le masque facial doté de capteurs intégrés réalisant un diagnostic détaillé et personnalisé des besoins de l’utilisateur ;
• le dispositif permettant de composer soi-même ses produits cosmétiques, relié à une plate-forme fournissant à l’intéressé un diagnostic détaillé des données cutanées.

L’internet des objets dans le secteur des cosmétiques conduit les acteurs du domaine à collecter et traiter de nombreuses données à caractère personnel.

La notion de données à caractère personnel

Précisons qu’une donnée à caractère personnel est une donnée qui permet d’identifier ou de reconnaître, directement ou indirectement, une personne physique. Il peut s’agir d’un nom, d'un prénom, d'une date de naissance, d'une adresse postale ou électronique, de l'adresse IP d’un ordinateur, d'un numéro de téléphone ou de carte de paiement…

Il faut savoir que la question est réglementée en France. La loi Informatique et libertés n°78-17 du 6 janvier 1978 , complétée de différents décrets d’application, encadre la collecte et le traitement de données à caractère personnel en créant différentes obligations à la charge des responsables de traitements.

Les obligations

En substance, le respect de la réglementation française Informatique et libertés nécessite de se conformer aux principales obligations suivantes.

Formalités préalables auprès de la Commission informatique et libertés (Cnil)
En dehors des dérogations légales, il convient d’effectuer auprès de la Cnil les formalités préalables nécessaires telles que la demande d’autorisation ou de déclaration d’un traitement. Les formalités peuvent s’effectuer en ligne sur le site de la Cnil .

Qualité des données
Il appartient aux responsables de traitement de veiller à ce que les données collectées soient adéquates, pertinentes, exactes, complètes, mises à jour et restent non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Finalités
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

Information des personnes concernées
L’information des personnes ne doit pas être omise. Il convient, en effet, d’informer les clients de leurs droits d’interrogation, d’accès, de rectification et de suppression des informations les concernant, ainsi que de leur droit de s’opposer pour motifs légitimes à ce que les données les concernant fassent l’objet d’un traitement.

Autres mesures
Parmi les autres mesures applicables, citons l’obligation de définir et d’implémenter une politique de durée de conservation des données, de mettre en œuvre de mesures permettant d’assurer leur confidentialité et d’encadrer des flux transfrontières de données. En outre, le responsable de traitement veillera à la confidentialité des données.

Le cas particulier des cookies

Le développement des sites Internet et application mobiles des acteurs du secteur des cosmétiques a entrainé, également, l’essor des cookies. Qu’en est-il sur un plan légal ? Est-il possible d’utiliser ces cookies librement ?

Cookies
Précisons que les cookies sont des traceurs stockés dans l’équipement terminal d’un internaute et utilisées par le site pour envoyer des informations au navigateur de l’internaute, permettant à ce navigateur de renvoyer des informations au site d’origine (par exemple un identifiant de session, le choix d’une langue ou une date).

Obligation
La loi dispose que, sauf exceptions, les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé.

Dès lors, les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs doivent :
• informer préalablement l’utilisateur (par un bandeau sur le site ou l’application lors de la première connexion de l’utilisateur) ;
• recueillir son consentement préalable.

En synthèse, les actions à mettre en œuvre en matière de cookies sont les suivantes :
• l’identification des cookies et traceurs utilisés ;
• l’identification de leur finalité ;
• la détermination de leur régime ;
• la création ou la mise à jour d’une mention d’information relative aux cookies.

De la France à l'Europe

Si l’exploitation des outils numériques permet de recueillir un grand nombre de données à caractère personnel et, le cas échéant, tracer le comportement virtuel ou non d’un utilisateur, la vigilance doit rester de mise quant à la préservation de ces données à caractère personnel.

Le sujet est d’autant plus d’actualité qu’un règlement européen sur la protection des données à caractère personnel vient d’être promulgué. Les entreprises européennes disposent donc d’un délai de deux ans à compter de cette date pour se conformer aux nouvelles exigences prévues par le règlement.

Les points clés du règlement
• la consécration d’un droit à l’oubli numérique pour les personnes concernées, ainsi qu’un droit à la portabilité des données ;
• l’obligation de la mise en œuvre de la protection des données dès la conception et par défaut ;
• le principe de security by design ;
• la fonction de data protection officer ;
• l’obligation de notification des violations de données à caractère personnel.

L’objectif du règlement européen est d’instaurer des mécanismes visant à assurer une application harmonisée de la législation en matière de protection des données dans l’ensemble de l’Union européenne.

Naima Alahyane Rogeon
Avocat
Directrice de département
Alain Bensoussan Avocats