Gestion des fichiers clients et prospects: jusqu'au 12 juillet 2013 pour se mettre aux normes de la CNIL

Depuis plusieurs années, les traitements de données à caractère personnel concernant les clients et les prospects d'une entreprise doivent être déclarés à la Commission Nationale de l'Informatique et des Libertés (CNIL) conformément à une norme dite "simplifiée". Grâce à cette norme adoptée par la CNIL, la procédure de déclaration est elle-même simplifiée, puisqu'il suffit de s'engager à respecter la norme et, en particulier, les finalités de traitement qu'elle prévoit.

La norme relative aux fichiers clients et prospects, qui porte le numéro 48, permet ainsi aux entreprise de déclarer aisément les traitements de données à caractère personnel relatifs aux contrats, aux commandes, aux livraisons, aux factures, ainsi qu'aux programmes de fidélité mis en place au sein d'une entité ou plusieurs entités juridiques.
Par une délibération de la CNIL du 21 juin 2012, cette norme n° 48 a été modifiée. Le but de cette modification vise à adapter la norme aux nouvelles pratiques, en particulier sur Internet. La CNIL a en effet mis en avant l'évolution du commerce électronique et les nouvelles méthodes de prospection commerciale.
La nouvelle norme prévoit ainsi de nouvelles finalités, comme la réalisation d'enquêtes de satisfaction, l'organisation de jeux concours, la gestion des demandes de droit d'accès, de rectification et d'opposition, ainsi que la gestion des avis des personnes sur des produits, services ou contenus.
Les données traitées sont, notamment, celles relatives à l'identité des personnes dont les données sont collectées (civilité, nom, prénoms, adresse, numéros de téléphone, numéro de télécopie, adresses de courrier électronique, date de naissance, code interne de traitement permettant l’identification du client…), les données relatives aux moyens de paiement (relevé d’identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte bancaire), les données relatives au suivi de la relation commerciale (demandes de documentation, demandes d’essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats et des prestations de services…) ou encore les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme.
Cette dernière catégorie est une nouveauté qui résulte du développement des sites internet d'avis de consommateurs.
La nouvelle norme prévoit des durées de conservation spécifiques selon les catégories de données concernées. Ainsi, les données relatives à la gestion de clients et de prospects ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. Les copies des pièces d'identité peuvent être conservées entre un et trois ans selon la procédure en vertu de laquelle elles ont été obtenues (exercice du droit d'accès ou du droit d'opposition).
Il est à noter que, par principe, les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée, c'est-à-dire dès son paiement effectif, à moins d'avoir reçu le consentement exprès et préalable du client, lequel doit avoir été informé de l'objectif poursuivi. La norme prévoit que ce consentement peut être recueilli par l’intermédiaire d’une case à cocher (mais non précochée par défaut) et qu'il ne peut pas résulter de l’acceptation de conditions générales de vente. En outre, la norme prévoit qu'en tout état de cause, les données relatives au cryptogramme visuel ne doivent pas être stockées, ce qui signifie que les commerçants doivent le demander systématiquement lors d'un achat.
Enfin, comme précédemment, la norme prévoit les catégories de destinataires des données, les mentions d'information qui doivent impérativement figurer sur les formulaires de collecte des données, ainsi que les mesures de sécurité qui doivent être mises en œuvre par le responsable du traitement.
Les organismes qui ont déjà effectué une déclaration simplifiée en référence à l'ancienne norme n° 48 n'ont pas à refaire de déclaration. En revanche, s'ils ne respectent pas les conditions fixées par la nouvelle norme, ils disposent d'un délai d'un an à compter du 13 juillet 2012 pour mettre leur traitement en conformité.