Cnil : du respect des formalités
Le 28 juin dernier, la Cnil a condamné, pour la première fois, une entreprise à une amende de plus de 45 000 €. Une condamnation qui s'inscrit dans son choix tant d'exercer ses pouvoirs, lui permettant de prononcer des sanctions financières pouvant aller jusqu'à 300 000 €, que de renforcer ses contrôles. Des contrôles, qu'elle a, d'ores et déjà, commencé à mener dans le secteur de la vente à distance.
Je m'abonne
Si tous les acteurs de ce secteur – qu'il s'agisse des responsables
fichiers, des informaticiens ou des créatifs – connaissent la loi Informatique
Fichiers et Libertés, encore faut-il, qu'aujourd'hui, ils s'assurent de son
respect. Leur première vérification devra être celle des déclarations, puisque
cette problématique reste, en effet, un des axes majeurs des
contrôles.
Déclaration simplifiée et fichiers clients
Bien que la loi du 6 août 2004 a prévu des dispenses de déclaration, il n'en demeure pas moins vrai que le secteur de la vente à distance reste toujours dans l'obligation de déclarer ses fichiers. Ces formalités déclaratives entraînent des particularités non négligeables pour les entreprises de vente à distance puisque, en fonction des logiciels utilisés, des données ou des traitements effectués, des demandes d'autorisation doivent être effectuées auprès de la Cnil. En effet, de simples interconnexions de fichiers, des scorings ou bien encore des flux transfrontières aux fins, par exemple, de confier les appels clients à un prestataire de services situé hors de la Communauté européenne, peuvent imposer des choix déclaratifs particuliers. Or, la Cnil a adopté une délibération, n°2005-112, le 7 juin 2005, portant création d'une norme simplifiée sur les fichiers de clients et de prospects. Désormais, ces traitements pourront faire l'objet d'un engagement de conformité à cette norme simplifiée. L'attrait de cette norme réside dans la possibilité pour les entreprises de vente à distance d'éviter des procédures de formalités déclaratives lourdes, en cas notamment de cession, location, échange de fichiers ou bien de flux transfrontières… Cette norme s'intéresse également directement à l'Internet, puisque les sites ayant pour finalité la gestion clientèle et commerciale pourront être déclarés selon ces formalités. Le choix offert par la Cnil de signaler un fichier clients, par déclaration simplifiée, ne doit toutefois pas faire oublier aux entreprises qu'en élisant ce mode déclaratif, elles s'engagent à respecter chacun des termes de la norme. Dès lors, les finalités, traitements, données ou bien encore les destinataires de ces données ne pourront être que ceux expressément visés dans la norme. A défaut, des sanctions pénales particulièrement graves existent, puisque des peines d'emprisonnement peuvent être prononcées.
Site web et crédit
Deux autres nouveautés méritent d'être soulignées côté déclaratif. La première concerne la dispense de déclaration des sites internet. Toutefois, seuls certains sites sont dispensés sachant que, là aussi, la nuance pour savoir si un site web doit être déclaré ou non est plutôt ténue. En effet, si un site vitrine collectant ou diffusant des données dans un but de communication est dispensé de déclaration, ceci n'est plus le cas pour les sites commerciaux de biens ou de services. Dès lors, là encore, seul un audit extrêmement précis des sites web, mais également des traitements effectués ou envisagés, pourra permettre d'identifier le cadre légal de déclaration. La deuxième nouveauté touche indirectement le secteur de la vente à distance, puisqu'elle concerne la gestion des crédits ou des prêts des établissements de crédit. Désormais, la Cnil facilite les formalités déclaratives, puisqu'elle a édicté une autorisation unique s'agissant des techniques de score, d'évaluation et de sélection de risques. Ces traitements peuvent faire l'objet d'un engagement de conformité par référence à une décision unique, sans qu'une demande d'autorisation en tant que telle ne soit effectuée par l'établissement de crédit auprès de la Cnil. Néanmoins, cette disposition, si elle précise strictement les caractéristiques du traitement luimême, impose aux entreprises d'autres contraintes, comme, par exemple, l'obligation de disposer de procédures écrites, détaillées et destinées aux personnels du réseau commercial aux fins d'expliciter clairement l'utilisation du score.