Fichiers clients/propects : les limites juridiques

Chaque jour, les entreprises collectent des informations sur leurs prospects et clients et constituent des fichiers. Quelles sont leurs obligations en la matière ? Le point sur la question avec Cécile Avignon, avocate.

Les fichiers clients/prospects sont essentiels à la réussite d'une campagne de marketing. Les entreprises l'ont bien compris et cherchent sans cesse à collecter toujours plus d'informations. Si ces informations permettent de déterminer des cibles toujours plus précises et d'accroître l'impact des campagnes marketing, cette collecte doit néanmoins s'effectuer dans un cadre comportant un certain nombre de contraintes, sous peine de sanctions pénales. Ces limites sont essentiellement posées par la loi Informatique et libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004.


 

Les formalités administratives obligatoires pour constituer un fichier

Un fichier clients et/ou prospects répondant à la définition des traitements de données à caractère personnel visée par la loi Informatique et libertés, la collecte des données et la mise en oeuvre de ce fichier doivent s'inscrire dans le respect de cette loi. A ce titre, la mise en oeuvre d'un tel fichier doit faire l'objet de formalités préalables auprès de la Cnil.

 

Pour faciliter et alléger les démarches des entreprises, la Cnil a défini un certain nombre de normes simplifiées et notamment la n°48 pour la gestion des clients et prospects. Pour les traitements qui répondent à cette norme, le responsable du traitement (qui détermine les finalités et les moyens du traitement) doit remplir un formulaire d'engagement de conformité à la norme disponible sur le site www.cnil.fr.

 

Si cette démarche paraît simple, un certain nombre de précautions doivent être préalablement prises dans la mesure où seuls les traitements respectant strictement les éléments définis dans la norme retenue pourront faire l'objet de ce type de formalités. Cela implique en amont d'avoir identifié les caractéristiques du traitement, les données, les finalités, les destinataires, la durée de conservation des données... et de les avoir confrontés aux prescriptions et caractéristiques définies dans la norme. 

 

S'il apparaît que le traitement ne répond pas à la norme, alors, un autre type de formalités préalables devra être effectué. En effet, la loi Informatique et libertés prévoit un régime de déclaration ou d'autorisation pour les traitements qui, compte tenu des données qu'ils contiennent, sont considérés comme susceptibles de porter une plus grande atteinte aux libertés et à la vie privée des personnes. Afin d'aider les entreprises dans ce choix et les accompagner dans ces démarches, la Cnil a mis en ligne sur son site un guide "Déclarer à la Cnil".

 

Attention, une fois les formalités adéquates accomplies auprès de la Cnil, le responsable doit attendre "le feu vert" de cette dernière, qui prend la forme d'un récépissé avec l'indication d'un numéro de déclaration pour les déclarations normales et simplifiées ou une décision pour les demandes d'autorisation. Dans le cas contraire, il s'exposerait à des sanctions pouvant aller jusqu'à cinq ans d'emprisonnement et 300.000 euros d'amende.
 


Les obligations vis-à-vis des clients et prospects

Voilà pour les formalités administratives. Mais la collecte de données et leur traitement répondent eux aussi à des contraintes. Parmi celles-ci, l'obligation de sécurité et de confidentialité des données qui implique de mettre en oeuvre des moyens afin d'éviter que les données ne soient endommagées ou que des tiers non autorisés y aient accès.

 

Autre obligation essentielle, le responsable du traitement doit informer les personnes de l'existence d'une collecte de données. L'article 32 de la loi énumère les informations qui doivent être portées à la connaissance des personnes dont les données sont collectées. Dès lors, cela implique d'avoir intégré cette obligation dans le process de la collecte. Cette obligation, lorsque la collecte a lieu via des questionnaires ou formulaires s'exécute via les fameuses mentions Cnil "Conformément à la loi vous êtes informé (...)". Ces mentions doivent être parfaitement lisibles.

 

Le responsable doit également dans ce cadre informer les personnes de leurs droits d'accès aux données, de rectification et d'opposition pour motifs légitimes. En effet, si en matière de prospection traditionnelle, il n'est pas besoin de recueillir le consentement des personnes, en revanche, ces personnes doivent pouvoir avoir la possibilité de s'opposer à ce que leurs données soient utilisées à des fins de prospection commerciale, et ce avant la validation d'une commande ou la signature d'un contrat. La Cnil estime "qu'une case à cocher doit désormais figurer sur tout support de collecte écrit". Elle précise qu'il n'est plus possible de faire simplement figurer une mention d'information au sein des conditions générales.

 

Par ailleurs, si l'entreprise met à disposition de tiers son fichier, elle devra en informer toutes les sociétés auxquelles elle avait déjà transmis des données concernant cette personne. 
 


Utilisation des fichiers : les règles spécifiques à l'e-mailing

En ce qui concerne les campagnes d'e-mailing, le Code des postes et communications électronique et, par renvoi à ce dernier, le Code de la consommation prévoient des dispositions spécifiques pour ce type de prospection. Une entreprise qui envisage de faire de la prospection commerciale par courrier électronique, le législateur prévoyant la même obligation pour les prospections par télécopie ou automate d'appels, doit recueillir le consentement préalable de la personne concernée. En effet, le législateur a choisi de retenir un système d'opt-in pour ces types de prospection. Sans consentement, pas de prospection par les moyens susvisés. Le non respect de cette obligation fait l'objet de sanctions pénales (Amende de 750 euros pour chaque message irrégulièrement expédié).

 

Toutefois, une exception est prévue lorsque les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi Informatique et libertés à l'occasion d'une vente ou d'une prestation de services. Cette exception est limitée à la seule la prospection directe concernant des produits ou services analogues fournis par la même personne physique ou morale.

 

De plus, le destinataire doit se voir offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé. Cette exception ne peut être utilisée que par le responsable du traitement pour ses propres opérations de prospection commerciale et ne peut donc pas être évoquée par les entreprises qui choisissent de mettre à disposition de tiers ou de céder leurs fichiers.

 

Une fois le consentement recueilli, les obligations des entreprises en matière de prospection électronique se matérialisent également dans le contenu du message puisque chaque message électronique doit obligatoirement :
- préciser l'identité de l'annonceur ;
- proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations, par exemple, un lien pour se désinscrire à la fin du message.


 

Si le cadre législatif et réglementaire décrit peu paraître de prime abord lourd, les entreprises doivent néanmoins tenir compte de ces contraintes pour sécuriser l'exploitation de leurs fichiers clients/prospects. La conformité à la loi Informatique et libertés doit donc être une préoccupation de tous les instants : avant la création du fichier, lors de la mise en oeuvre et l'exploitation du fichier et en amont, lors de la réflexion sur la définition des politiques et stratégies marketing.