Déclarations CNIL : les nouvelles obligations des e-commerçants

La norme simplifiée n°48 relative aux traitements de données personnelles des clients et prospects vient d'être modifiée et complétée par délibération de la CNIL, publiée au Journal officiel le 13 juillet 2012. Voici un premier tour d'horizon des nouvelles règles qu'elle fixe.

Tout traitement de données personnelles doit faire l’objet de formalités auprès de la CNIL préalablement à sa mise en œuvre (déclaration normale ou simplifiée, ou autorisation selon la nature du traitement).
Pour les commerçants en ligne, la norme simplifiée n°48 constitue la référence en la matière.
Elle permet de bénéficier d’un régime de déclaration simplifiée consistant pour le déclarant à s’engager à ce que les traitements de données personnelles qu’il met en œuvre respectent les règles fixées par la norme et par là-même les règles issues de loi du 6 janvier 1978 dite « Informatique et Libertés ».
Créée le 7 juin 2005, la norme simplifiée n°48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects, vient d’être abrogée et remplacée par une nouvelle norme n°48 qu’il la modifie et la complète, aux termes d’une délibération de la CNIL en date du 21 juin 2012.
La nouvelle norme apporte de nombreuses précisions relatives à certaines obligations préexistantes, mais également quelques innovations qui témoignent d’une volonté d’adaptation aux évolutions du e-commerce.

En voici les principales nouveautés :
* Les finalités poursuivies par le traitement de données personnelles : le traitement peut désormais avoir pour finalité la gestion d’un programme de fidélité au sein d’une ou de plusieurs entités juridiques, englobant ainsi les programmes de fidélité communs à plusieurs sociétés, ce qui était auparavant exclu par la norme. En outre, le traitement peut avoir pour finalité le suivi de la relation client (réalisation d’enquête de satisfaction, gestion des réclamations et du service après-vente), la gestion des demandes de droit d’accès, de rectification et d’opposition des personnes concernées par le traitement, la mise en œuvre d’actions de sondage ou de test produit, l’organisation de jeux-concours, de loteries ou de toute opération promotionnelle ainsi que la gestion des avis des clients.
* Les données pouvant être traitées : copie de la carte d’identité des clients, échanges et commentaires des clients et prospects, données relatives à l’organisation des jeux-concours, loteries et autres opérations promotionnelles (date de participation, réponses apportées aux jeux-concours, nature des lots remportés), données relatives aux personnes déposant des commentaires (telles que leur pseudonyme), complètent la liste des données qui peuvent désormais être traitées dans le cadre du régime simplifié de déclaration.
*
La durée de conservation des données : la norme précise désormais que les données des clients peuvent être conservées à des fins de prospection durant trois ans à compter de la fin de la relation commerciale. En outre, les données relatives aux prospects, lesquelles devaient en vertu de l’ancienne norme, être conservées pour la durée pendant laquelle elles étaient nécessaires à la réalisation des opérations de prospection et être supprimées au maximum un an après le dernier contact de la part du prospect ou en l’absence de réponse à deux sollicitations successives, peuvent désormais être conservées pour une durée de trois ans à compter de leur collecte ou du dernier contact émanant du prospect.
Des précisions sont également apportées s’agissant de la durée de conservation des données relatives aux pièces d’identité des clients (un an en cas d’exercice du droit d’accès ou de rectification, trois ans en cas d’exercice du droit d’opposition), des données relatives aux cartes bancaires (en principe treize mois suivant la date de débit, avec la possibilité de les conserver plus longtemps à condition d’avoir obtenu le consentement exprès du client, lequel ne peut résulter de l’acceptation des conditions générales de vente mais plutôt, par exemple, d’une case à cocher), des données relatives aux listes de clients s’étant opposés à la prospection (trois ans à compter de l’exercice du droit d’opposition), des données permettant l’établissement de mesures d’audience telles que les cookies (six mois).
* Les droits des personnes quant à la prospection par voie électronique : la norme reprend les règles issues notamment de l’article L34-5 du Code des postes et communications électroniques afin de préciser les modalités d’information, de recueil du consentement et d’exercice du droit d’opposition des personnes à recevoir de la prospection commerciale. Elle apporte cependant quelques précisions, en exigeant par exemple le consentement exprès des personnes concernées en cas de cession de leur adresse électronique ou numéro de téléphone à des partenaires et en précisant que le consentement exprès des clients à recevoir de la prospection commerciale ne peut résulter de l’acceptation des conditions générales de vente. Elle précise également que la participation à un jeu-concours ou une loterie ne peut être conditionnée à la réception de prospection commerciale par voie électronique.
* L’utilisation de cookies : la norme intègre l’ensemble des règles relatives à l’installation de cookies permettant notamment de proposer des publicités ciblées aux personnes concernées. Elle précise à ce titre que l’outil permettant de désactiver les cookies doit pouvoir être accessible et installé aisément par les internautes et qu’aucune information relative aux internautes ayant exercé leur droit d’opposition ne doit être transmise à l’éditeur d’un cookie.
*
Les mesures de sécurité : la norme apporte de nombreuses précisions pratiques quant aux mesures qui doivent être mises en œuvre par le responsable du traitement afin d’assurer la sécurité des données qu’il traite. Ainsi, la CNIL préconise notamment l’utilisation d’un code d’accès et d’un mot de passe individuel « suffisamment robustes et régulièrement renouvelés » afin de protéger l’accès aux données personnelles, l’utilisation de systèmes de paiement sécurisé permettant de chiffrer les données bancaires via un algorithme réputé « fort », ou encore le stockage des données bancaires sous forme hachée avec utilisation d’une clé secrète.
* Les transferts de données vers l’étranger : la norme englobe désormais les transferts de données vers les entreprises américaines ayant adhéré au Safe Harbor et les transferts de données vers l’étranger justifiés par l’une des exceptions visées à l’article 69 de la loi Informatique et Libertés (exemple : transfert nécessaire à l’exécution d'un contrat entre le responsable du traitement et la personne concernée), sous réserve que ces derniers restent « ponctuels et exceptionnels ».
Bien évidemment, les déclarations de conformité à la norme simplifiée n°48 antérieure restent valables et il n’est pas nécessaire de refaire une déclaration. Les personnes ayant effectué ces déclarations devront cependant se mettre en conformité avec la nouvelle norme dans le délai d’un an à compter de sa publication au Journal officiel.