Quelles sont les démarches à effectuer pour la constitution d'une mailing list?
M. Desigaud
Votre question
J'envisage de constituer un club d'utilisateurs (mailing list) en leur demandant des coordonnées personnelles. Dois-je me faire enregistrer auprès de la CNIL ? Et si oui, quelles sont les démarches et leurs coûts ?
La réponse du Journal du Net
Tout fichier contenant des informations permettant d’identifier des personnes doit faire l’objet d’une déclaration auprès de la CNIL. Tel est le cas d’une liste de noms agrémentée de coordonnées.
Selon le type de fichier et la nature des données collectées, les démarches à effectuer auprès de la CNIL, préalablement à la mise en œuvre du fichier, diffèrent.
- Certains fichiers de données « sensibles » sont soumis à une autorisation
Dans l’hypothèse où les données collectées sont susceptibles de faire apparaître les orientations religieuses, sexuelles, les origines raciales etc., le responsable du traitement devra obtenir une autorisation auprès de la CNIL.
Il en va de même pour les données génétiques, biométriques, relatives aux difficultés sociales ainsi que pour le numéro de sécurité sociale et les informations liées aux infractions et condamnations de justice.
La demande d’autorisation comporte une « déclaration normale » ainsi que des annexes en fonction du type de données collectées (à télécharger sur le site de la CNIL, rubrique « Déclarer »). Le dossier doit être renvoyé par la poste avec demande d’accusé de réception. La Commission devra se prononcer dans un délai de deux mois.
En cas d’hésitation la CNIL recommande de faire une déclaration normale papier ou en ligne et s’engage à recontacter toute personne qui relèverait du régime d’autorisation.
- Les traitements les plus courants font l’objet d’une simple déclaration préalable
Pour pouvoir entrer dans la catégorie des déclarations simplifiées, le traitement doit répondre à deux conditions :
-sa mise en œuvre ne doit pas porter atteinte à la vie privée ou à la liberté des personnes.
-il doit être en stricte conformité avec une norme simplifiée édictée par la CNIL. Les normes simplifiées sont des décisions rendues par la Commission qui détermine au cas par cas si un fichier « n’est pas dangereux ». La liste des normes simplifiées est disponible sur le site de la CNIL dans la rubrique « Déclarer » (par exemple : gestion de fichiers de clients et prospects ; envoi d’information).
La déclaration est possible par téléprocédure, elle devra comporter des informations relatives à l’identité du responsable du traitement, sa société ainsi que la norme simplifiée visée et les modalités de mise en œuvre du fichier (population concernée, année de mise en œuvre).
A la suite de la déclaration, si tout est conforme, la Commission délivrera un récépissé de déclaration qui vaut accord pour la mise en œuvre du fichier et fera mention du numéro de déclaration.
- Dans quelques cas, aucune démarche n’est requise
Tel est le cas, lorsque les traitements sont mis en œuvre dans le cadre de la vie privée et familiale et ne sont accessibles que par un nombre limité de personnes. Les partis politiques, syndicats, églises n’ont pas l’obligation de déclarer les fichiers de membres, adhérents et personnes avec lesquels ils sont en contact régulier.
Par Internet, les procédures accomplies sont gratuites. Par courrier, le déclarant devra s’acquitter des frais relatifs à l’envoi de son dossier.
Quelles sont les démarches à effectuer pour la constitution d'une mailing list? 
