Par une délibération du 21 juin 2012, la CNIL a modifié l’une de ses normes simplifiées « phares », relatives au traitement de données de clients et des prospects.
La mise en place d’un traitement de données personnelles entraîne, sauf exceptions, l’obligation d’effectuer des formalités de déclaration auprès de la Commission Nationale Informatique et Libertés (CNIL). Afin de faciliter ces formalités pour les « catégories les plus courantes de traitements de données à caractère personnel » (tels que par exemple les fichiers clients, la gestion des ressources humaines…), l’article 24 de la loi Informatique, Fichiers et Libertés, autorise la CNIL à établir des normes dites « simplifiées ».
Ces normes sont établies par des délibérations de la CNIL et définissent le périmètre précis et limitatif selon lequel le traitement de données, objet de la norme concernée, peut être réalisé : sont ainsi notamment décrites les finalités du traitement, les données pouvant être collectées dans ce cadre, leur durée maximale de conservation, la possibilité de transférer ou non les données hors de l’Union Européenne,…
Deux hypothèses sont ainsi envisageables pour le responsable de traitement :
– si le traitement réalisé rentre dans le cadre de ce périmètre : le responsable de traitement peut se contenter de déclarer la conformité du traitement qu’il réalise à la norme concernée ;
– dans le cas contraire, le responsable de traitement devra alors procéder aux formalités (déclaration dite « normale » ou autorisation) standards, décrivant le cadre du traitement effectué.
Par une délibération du 21 juin 2012, la CNIL a mis à jour l’une de ces principales normes, relative à la gestion des clients et des prospects, portant le numéro 48 (ou NS-48 pour « Norme Simplifiée 48 ») : cette refonte de la norme s’avérait nécessaire, la version précédente datant en effet de juin 2005 et n’étant dès lors plus en phase avec les nouvelles pratiques commerciales, notamment via internet.
D’une part, la nouvelle NS-48 élargit le périmètre des finalités poursuivies et des données qui peuvent être traitées. Ainsi, alors que les finalités de l’ancienne mouture se limitaient à des traitements très usuels de la gestion des clients et de la relation commerciale, la NS-48 intègre désormais de nouvelles pratiques commerciales (telles que la gestion des avis des personnes sur des produits, les services ou contenus dans le cadre d’actions de fidélisation, les sondages,…) et une nouvelle activité : l’organisation de jeux concours, de loteries et d’opérations promotionnelles autres que les jeux d’argent et de hasard en ligne soumis à l’agrément de l’ARJEL.
De plus, l’importante question de la durée de conservation de données a été revue en profondeur. En effet, la précédente mouture de la NS-48 se limitait à une distinction entre :
– les données clients : la nouvelle NS-48 confirme que celles-ci peuvent être conservées pendant toute la durée strictement nécessaire à la gestion de la relation contractuelle, dans la limite de 3 ans à compter de la fin de la relation commerciale. Néanmoins, les données peuvent être archivées pour une durée conforme au respect des obligations légales en vigueur;
– les données de prospects : la durée de conservation maximale est fixée à 3 ans à compter de la collecte. A l’expiration de ce délai, le responsable de traitement peut reprendre contact une ultime fois avec le prospect afin de déterminer si ce dernier souhaite continuer à recevoir des offres de prospection commerciale. En l’absence de réponse positive et explicite (et sous réserve d’autres obligations légales), les données du prospect devront être supprimées.
La NS-48 apporte également de nouvelles précisions, relatives notamment :
– aux cartes bancaires dont les données doivent être supprimées après paiement effectif, sauf information et accord exprès du titulaire de la carte, et sous réserve des obligations d’archives posées par le code monétaire et financier justifiant la conservation pendant une durée de 13 mois [Voir article Netcom Septembre 2012] ;
– à la liste d’opposition (à savoir la liste des personnes ayant expressément demandé à ne plus être contactées) qui doit être conservée au minimum 3 ans ;
Enfin, la CNIL introduit des précisions ou rappelle sa position, concernant notamment:
– l’information, l’obtention du consentement et l’exercice du droit d’opposition des personnes, en indiquant que « L’acceptation des conditions générales d’utilisation n’est donc pas une modalité suffisante du recueil du consentement des personnes » ;
– les mesures de sécurité devant être mises en place, lesquelles doivent permettre d’assurer la confidentialité des données, avec des mesures renforcées concernant les données bancaires pour limiter le risque de fraude et d’usurpation d’identité.
Cette NS-48 est donc un document de base permettant (i) de s’assurer de la nature des formalités à effectuer auprès de la CNIL en cas de traitement de données personnelles des clients et prospects et (ii) de prendre, en tout état de cause, connaissance de la position de la CNIL sur les questions usuelles relatives à ce type de traitement. A ce titre, les responsables de traitement ayant déjà procédé à une déclaration de conformité à l’ancienne mouture de cette NS-48 n’ont pas à procéder à de nouvelles formalités, sous réserve que leur traitement respecte les termes de la nouvelle version : dans le cas contraire, la CNIL accorde un délai de régularisation jusqu’au 12 juillet 2013.
Olivier HAYAT
