La CNIL publie son projet de référentiel relatif aux traitements de gestion commerciale

Publication de la CNIL sur son site : https://www.cnil.fr/fr/gestion-commerciale-et-gestion-des-impayes-la-cnil-lance-une-consultation-publique-sur-les-futurs

L’adoption de référentiels est l’un des nouveaux pouvoirs dont dispose la CNIL avec la réforme post-RGPD de la loi française « informatique et libertés ». Ayant valeur de recommandation, ces référentiels sont destinés à faciliter la mise en conformité des traitements de données avec les textes relatifs à la protection des données, et doivent aussi aider à la réalisation d’analyses d’impact. Dans ce cadre, la CNIL vient tout juste de publier deux projets de référentiels – qu’elle soumet par ailleurs à la consultation publique : l’un dédié à la « gestion commerciale » et l’autre à la « gestion des impayés ».

Nous nous attarderons ici sur le projet de référentiel « gestion commerciale », qui est sans aucun doute l’un des plus attendus tant les traitements qu’il recouvre sont incontournables pour toute entreprise commerciale.

Ce référentiel s’attache aux traitements de gestion des clients et des prospects, et prend ainsi la suite de la norme simplifiée « NS 48 » qui est dénuée de tout effet juridique depuis l’entrée en application du RGPD. Le projet de la CNIL reprend cependant l’essentiel des règles auparavant comprises au sein de cette norme, sans rien révolutionner. Cela était attendu, mais reste un soulagement pour tous car les travaux actuels de mise en conformité au RGPD s’inspirent tous en grande partie de la norme NS 48 (pour ce qui est la gestion des clients et des prospects).

En l’état, le projet contient tout de même des précisions intéressantes, et notamment :

·      Contrairement à la NS 48, le référentiel exclut les cookies de son champ d’application.

Dans l’attente du futur règlement E-Privacy, la CNIL renvoie toujours à sa recommandation de 2013 portant sur les cookies. Cela confirme que le RGPD n’avait pas vocation à révolutionner cette matière – ce que la pratique n’a pas forcément entendu ;

·      La CNIL fournit une illustration pratique des bases légales applicables et des durées de conservation recommandées au regard des différentes finalités.

Cette illustration, présentée sous forme de tableau à la fin du référentiel, sera très utile aux responsables de traitement. Jusqu’à présent, la CNIL s’était contentée de donner des indications très générales relatives aux bases légales et aux durées de conservation.

Dorénavant, les responsables pourront se référer au tableau illustratif de la CNIL pour la mise en conformité de leurs traitements – sauf à justifier de choix différents en fonction des caractéristiques particulières de leurs activités.

·      La CNIL donne le détail des mesures de sécurité pour être en conformité.

Cela sera également très utile aux responsables de traitement et leurs sous-traitants. Le projet de référentiel dresse la liste précise des mesures de sécurité à mettre en place afin d’être en conformité. Si un organisme s’en écarte, il devra justifier de leur équivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir.

Nous étudierons de manière plus approfondie ce référentiel lorsqu’il sera publié sous sa forme définitive. Pour l’heure, le projet est soumis par la CNIL à une consultation publique. Une telle consultation est indispensable, car les travaux de mise en conformité qui se déroulent maintenant depuis plusieurs mois auront fait naître de nouvelles difficultés et problématiques pour les responsables de traitements et les sous-traitants, qu’ils pourront ainsi partager avec la CNIL.