Cet article est issu de Solution Compliance et éthique des affaires.
Pour tester gratuitement Solution Compliance et éthique des affaires pendant 2 semaines, cliquez ici.
Les responsables de traitement peuvent s’écarter des deux référentiels adoptés par la CNIL, au regard de leur activité et du contexte mais une justification des écarts constatés pourra leur être demandée en cas de contrôle par la CNIL.
Référentiel de gestion des activités commerciales
Ce référentiel propose des pistes de mise en conformité pour les fichiers « clients » et « prospects » des organismes de droit privé ou public.
Il prend la suite de la norme simplifiée 48 qui a cessé d’être appliquée au moment de l’entrée en application du RGPD. Ce référentiel exclut de son champ d’application certains traitements et finalités. Parmi ceux-ci, on trouve les traitements mis en œuvre par les établissements de santé ou d’éducation, les établissements bancaires ou assimilés, les entreprises d’assurances et les opérateurs soumis à l’agrément de l’Autorité nationale des jeux ainsi que les traitements ayant pour finalité la détection et la prévention de la fraude, l’exclusion temporaire ou permanente des personnes du bénéfice d’une prestation de services ou de la fourniture d’un bien et le profilage réalisé à partir de données collectées depuis des sources tierces au responsable de traitement ou à partir de données collectées par le biais de cookies et autres traceurs. Globalement, le référentiel reprend les articles issus du RGPD pour les appliquer au cas de la gestion d’une activité commerciale. Certains développements méritent pourtant d’être mis en lumière.
Ils concernent principalement les bases légales et les durées de conservation applicables aux divers traitements, la liste des catégories de données qu’il est possible de collecter et le cadre à mettre en œuvre en cas de transmission des données personnelles à des partenaires commerciaux à des fins de prospection commerciale.
Bases légales et durées de conservation applicables
Dans un souci de clarté, la CNIL propose un tableau qui précise les bases légales auxquelles il faut recourir en fonction des finalités et des sous-finalités des différents traitements. Cinq finalités (Gestion des contrats/programmes de fidélité, Tenue de la comptabilité, Suivi de la relation client, Sélection de clients / Etudes / Enquêtes, Actions de prospection commerciale) sont ainsi déclinées en douze sous-finalités. Pour chacune de ces sous-finalités, la CNIL indique la base légale à privilégier parmi les six bases proposées dans le RGPD. Elle définit en outre la durée de conservation des données à retenir.
Exemple : ainsi, un traitement mis en œuvre pour gérer des commandes, la livraison ou l’exécution d’un service a pour fondement légal l’exécution d’un contrat et requiert que les données soient conservées pendant la durée de la relation contractuelle. Au-delà de cette durée, les données nécessaires en cas de risque de contentieux peuvent être placées dans une archive dédiée ou une séparation logique dans la base de données active. La base légale glissera alors vers celle de l’intérêt légitime du responsable du traitement.
Catégories de données captables
En suivant, la CNIL fournit des précisions sur les catégories de données qu’il est possible de collecter dans le respect du principe de minimisation de la collecte. Pour chaque catégorie, elle détaille la liste des données pouvant être recueillies.
Elle dresse un tableau comprenant sept catégories de données : les données relatives à l’identité, à la situation personnelle, à la vie professionnelle, au moyen de paiement utilisé, à la transaction, au suivi de la relation commerciale et aux avis déposés au sujet des produits ou services.
A propos de l’identité, le référentiel mentionne par exemple que peuvent être collectées la civilité, le nom, les prénoms, l’adresse, le numéro de téléphone et de fax, les adresses de courrier électronique, la date de naissance, le code interne de traitement permettant l’identification du client et le code d’identification comptable. Pour la CNIL, le code interne permettant l’identification ne peut pas être le numéro de carte bancaire, de sécurité sociale, ni de titre d’identité. En cas de collecte de la copie d’un titre d’identité, « des mesures de sécurité renforcées, telles que, par exemple, la limitation de la qualité de l’image numérisée, l’intégration d’un filigrane comportant la date de collecte et l’identité du responsable de traitement, peuvent être mises en oeuvre afin de se prémunir contre les risques de mésusage de ces informations et, par exemple, d’utilisation des photographies que ces pièces comprennent à des fins de reconnaissance faciale ».
Au sujet des données relatives à la situation personnelle, le responsable ne doit pas utiliser la nature du bien ou du service consommé pour en déduire des informations la concernant susceptibles de relever de la catégorie des données dites « sensibles ». En cas de catégorisation ou de création de segments « sur la base de telles données, aux fins de réaliser un tel profil et/ou d’adresser de la publicité personnalisée, le traitement doit répondre à une finalité légitime et être soumise au recueil du consentement préalable du client concerné ».
Cadre légal de la transmission de données à des fins de prospection commerciale
De longs développements sont consacrés au cadre à respecter en cas de transmission de données personnelles à des partenaires commerciaux à des fins de prospection commerciale. Une distinction est opérée selon que le partenaire procède à une prospection électronique ou non, la première engendrant des risques accrus du fait du volume de sollicitations qu’elle peut potentiellement impliquer.
Si la prospection est électronique, la CNIL insiste sur d’une part, sur l’information que l’organisme qui transmet les données doit fournir à la personne concernée et, d’autre part, sur le consentement de cette dernière. - En matière d’information, la transmission doit être portée à la connaissance de la personne qui doit, au surplus, être en capacité d’apprécier les conséquences de son choix quant à la transmission. Pour ce faire, l’organisme doit préciser l’étendue de celle-ci, en mettant en évidence par exemple le nombre et le secteur d’activité des partenaires pressentis pour être destinataires des données. La Commission applique ici les lignes directrices du CEPD en matière de transparence (Lignes directrices sur la transparence au sens du règlement (UE) 2016/67, 11 avril 2018, WP260 rev. 01), dans lesquelles le Comité va bien au-delà de l’obligation d’information posée par le RGPD pour attendre des responsables du traitement qu’ils accompagnent les personnes concernées de façon à ce qu’elles comprennent les tenants et les aboutissants du traitement concerné.
Au sujet du consentement, la CNIL exige en réalité un double consentement. La personne doit en effet consentir à la transmission des données mais également à la prospection commerciale qui fait suite à la transmission. La charge du recueil de ce second consentement peut reposer sur les épaules de l’organisme d’origine qui souhaite transmettre les données ou sur celles de ses partenaires commerciaux. Dans le premier cas, l’organisme est autorisé à utiliser une seule et même case à cocher pour recueillir le double consentement, sous réserve de fournir une information préalable complète, incluant la finalité spécifique de la transmission et l’identité des partenaires, grâce à une liste exhaustive mise à disposition directement sur ou depuis le support de collecte. Dans le second cas, le partenaire, dont le traitement repose sur l’existence d’un intérêt légitime, est tenu de vérifier que la personne concernée a reçu une information suffisante lors de la transmission de ses données. Il doit s’abstenir de procéder à des sollicitations trop nombreuses et veiller à ce que la demande de consentement ne puisse pas être assimilée à une forme de prospection commerciale.
Si la prospection n’est pas électronique, le référentiel précise que la base légale de la transmission peut être l’intérêt légitime de l’organisme, avant de préciser les conditions d’une telle transmission. La vigilance se porte sur l’obligation d’information et le droit d’opposition. Conformément aux lignes directrices du Comité européen sur la protection des données en matière de transparence, la première peut être faite par niveaux. D’emblée (1er niveau), la personne doit pouvoir connaître la finalité de la transmission et les catégories de partenaires destinataires des données. Un lien hypertexte peut compléter cette information. En cliquant dessus (2ème niveau), la personne concernée pourrait prendre connaissance de la liste des destinataires, y compris leur identité, et savoir comment accéder à la politique de protection des données de ces derniers (3ème niveau). Quant au droit d’opposition, la personne doit être informée dès la collecte des informations, qu’elle peut s’opposer à la transmission de celles-ci, à tout moment et sans frais.
Référentiel de gestion des impayés dans une transaction commerciale
Ce référentiel propose un cadre pour les traitements mis en œuvre par des organismes de droit privé ou public ayant pour finalités le recensement des impayés avérés et l’identification des personnes en situation d’impayé aux fins d’exclusion pour toute transaction à venir.
Il implique que l’impayé soit avéré en ce sens que son existence est indubitable. La personne dont les données sont traitées est incontestablement débitrice d’une somme d’argent. Cet impayé fait en outre suite à une transaction commerciale portant sur des biens ou des services.
Par conséquent, ce référentiel ne s’applique pas aux traitements mis en oeuvre pour détecter un risque d’impayé ou recenser des manquements autres que pécuniaires. Sont également exclus les traitements mis en oeuvre par les organismes de gestion et de recouvrement de créances, les organismes d’enquête civile, les établissements bancaires ou assimilés et les entreprises d’assurance ainsi que les traitements ayant pour finalités la prévention d’un impayé incluant une évaluation (« scoring ») visant à déterminer si une personne est susceptible d’être en situation d’impayé, l’enrichissement du traitement à partir d’informations collectées par ou auprès de tiers, le partage ponctuel et/ou la mutualisation des données relatives à l’identité des personnes en situation d’impayé avec des tiers et/ou avec d’autres créanciers, hors sous-traitants.
Pour fonder son traitement, le responsable dispose de deux bases légales : soit l’exécution du contrat, soit son intérêt légitime. Il peut collecter des données relatives à l’identification de la personne concernée, au moyens de paiement utilisés et à l’incident de paiement. La CNIL insiste ici sur l’obligation d’exactitude des données, laquelle implique du responsable qu’il prenne les mesures adéquates pour garantir que la personne exclue de futures transactions soit bien celle en situation d’impayé avéré.
La durée de conservation des informations fait également l’objet de développements de la part de la Commission qui distingue selon que l’impayé a été ou non régularisé. S’il l’a été, les informations doivent en principe être effacées dans les 48 heures suivant le constat de la régularisation par l’organisme ou à partir du moment où l’impayé a été effectivement soldé. Si aucune régularisation n’a été effectuée, les informations peuvent être conservées jusqu’à l’expiration d’un délai maximal de 5 ans à compter de la survenance de l’impayé. Dans tous les cas, les données peuvent être archivées si l’organisme en a l’obligation légale ou s’il souhaite se constituer une preuve en cas de contentieux.
Les modalités d’informations doivent faire l’objet d’une attention toute particulière de la part du responsable. Outre une information générale sur l’existence du traitement de données visant à la gestion d’impayés et la manière pour la personne d’exercer ses droits, le responsable doit clairement informer celle-ci de la possibilité pour elle d’être inscrite dans ledit traitement si elle viole son obligation de paiement. Si un impayé survient, la personne doit avoir connaissance des moyens dont elle dispose pour régulariser son paiement, de la possibilité qu’elle a de présenter ses observations et, le cas échéant, de demander un réexamen de sa situation. Si elle ne régularise pas la situation, elle doit être informée de son inscription dans le fichier recensant les personnes en situation d’impayés, les excluant de ce fait du bénéfice d’une prestation.
En dernier lieu, le référentiel s’attache à expliciter les mesures de sécurité à mettre en œuvre pour chaque objectif de sécurité visé. Ainsi la gestion des habilitations nécessite par exemple de définir des profils d’habilitation, de supprimer les permissions obsolètes et de réaliser une revue annuelle des habilitations. On remarquera que la même démarche a été adoptée pour le référentiel relatif à la gestion des activités commerciales.
Remarque : pour conclure, on notera que, pour faciliter l’application de ces référentiels, la CNIL a publié un document répertoriant les questions fréquemment posées, avec les réponses associées.
Jessica Eynard, Maître de conférences HDR en droit Co-directrice de la Mention Droit du numérique Chercheuse associée
Chaire Law, Accountability and Social Trust in AI, ANITI
Cet article est issu de Solution Compliance et éthique des affaires.
Pour tester gratuitement Solution Compliance et éthique des affaires pendant 2 semaines, cliquez ici.
