Gestion des fichiers clients et prospects: jusqu'au 12 juillet 2013 pour se mettre aux normes de la CNIL
Depuis plusieurs années, les traitements de données à caractère personnel concernant les clients et les prospects d'une entreprise doivent être déclarés à la Commission Nationale de l'Informatique et des Libertés (CNIL) conformément à une norme dite "simplifiée". Grâce à cette norme adoptée par la CNIL, la procédure de déclaration est elle-même simplifiée, puisqu'il suffit de s'engager à respecter la norme et, en particulier, les finalités de traitement qu'elle prévoit.
La norme relative aux fichiers clients et
prospects, qui porte le numéro 48, permet ainsi aux entreprise de déclarer aisément
les traitements de données à caractère personnel relatifs aux contrats, aux
commandes, aux livraisons, aux factures, ainsi qu'aux programmes de fidélité mis
en place au sein d'une entité ou plusieurs entités juridiques.
Par une délibération de la CNIL du 21 juin 2012,
cette norme n° 48 a été modifiée. Le but de cette modification vise à adapter
la norme aux nouvelles pratiques, en particulier sur Internet. La CNIL a en
effet mis en avant l'évolution du commerce électronique et les nouvelles méthodes
de prospection commerciale.
La nouvelle norme prévoit ainsi de nouvelles
finalités, comme la réalisation d'enquêtes de satisfaction, l'organisation de
jeux concours, la gestion des demandes de droit d'accès, de rectification et
d'opposition, ainsi que la gestion des avis des personnes sur des produits,
services ou contenus.
Les données traitées sont, notamment, celles
relatives à l'identité des personnes dont les données sont collectées (civilité,
nom, prénoms, adresse, numéros de téléphone, numéro de télécopie, adresses de
courrier électronique, date de naissance, code interne de traitement permettant
l’identification du client…), les données relatives aux moyens de paiement (relevé
d’identité postale ou bancaire, numéro de chèque, numéro de carte bancaire,
date de fin de validité de la carte bancaire), les données relatives au suivi de la relation
commerciale (demandes de documentation, demandes d’essai, produit
acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse
de livraison, historique des achats et des prestations de services…) ou encore les données relatives aux contributions des
personnes qui déposent des avis sur des produits, services ou contenus,
notamment leur pseudonyme.
Cette dernière catégorie est une nouveauté qui
résulte du développement des sites internet d'avis de consommateurs.
La nouvelle
norme prévoit des durées de conservation spécifiques selon les catégories de
données concernées. Ainsi, les données
relatives à la gestion de clients et de prospects ne peuvent
être conservées au-delà de la durée strictement nécessaire à la gestion de la
relation commerciale. Les copies des pièces d'identité peuvent être conservées
entre un et trois ans selon la procédure en vertu de laquelle elles ont été
obtenues (exercice du droit d'accès ou du droit d'opposition).
Il est à noter
que, par principe, les données relatives aux cartes bancaires doivent être
supprimées une fois la transaction réalisée, c'est-à-dire dès son paiement
effectif, à moins d'avoir reçu le consentement exprès et préalable du client, lequel
doit avoir été informé de l'objectif poursuivi. La norme prévoit que ce
consentement peut être recueilli par l’intermédiaire d’une case à cocher (mais
non précochée par défaut) et qu'il ne peut pas résulter de l’acceptation de
conditions générales de vente. En outre, la norme prévoit qu'en tout état de
cause, les données relatives au cryptogramme visuel ne doivent pas être
stockées, ce qui signifie que les commerçants doivent le demander
systématiquement lors d'un achat.
Enfin, comme précédemment, la norme prévoit les
catégories de destinataires des données, les mentions d'information qui doivent
impérativement figurer sur les formulaires de collecte des données, ainsi que
les mesures de sécurité qui doivent être mises en œuvre par le responsable du
traitement.
Les organismes qui ont déjà effectué une
déclaration simplifiée en référence à l'ancienne norme n° 48 n'ont pas à
refaire de déclaration. En revanche, s'ils ne respectent pas les conditions
fixées par la nouvelle norme, ils disposent d'un délai d'un an à compter du 13
juillet 2012 pour mettre leur traitement en conformité.