Traitement des données personnelles: les règles ont été assouplies
La loi informatique et libertés impose aux responsables de traitement qui collectent des données à caractère personnel d'effectuer les formalités adéquates auprès de la Cnil sous peine de sanctions administratives ou pénales. Afin de faciliter ces formalités, la Cnil adopte des normes simplifiées qui permettent à un responsable de traitement remplissant strictement les conditions énumérées dans la norme considérée de pouvoir compléter une déclaration dite «simplifiée».
C'est dans ce cadre que la Cnil a adopté la nouvelle norme simplifiée n° 48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (délibération n° 2012-209 du 21 juin 2012, publiée au Journal officiel le 13 juillet 2012). Ses dispositions complètent la version du 7 juin 2005 afin de tenir compte de l'évolution de l'e-commerce et des méthodes de prospection.
Issue d'une concertation entre des organisations professionnelles et des associations de consommateurs, la nouvelle mouture de la norme n° 48 tente d'assurer «un équilibre entre les besoins des professionnels et le respect de la vie privée et des droits des personnes concernées». L'objectif est de mettre à la disposition des entreprises et des organismes concernés les règles et les pratiques assurant la sécurité juridique de leurs traitements.
Le domaine d'application de la déclaration simplifiée étendu
La norme n° 48 permet aux responsables de traitement d'effectuer une déclaration simplifiée pour les traitements relatifs à la gestion de clients et de prospects. Elle ne concerne toutefois pas les traitements mis en oeuvre par les établissements bancaires, ou assimilés, ni les entreprises de l'assurance, de la santé et de l'éducation. L'ancienne norme simplifiée prévoyait déjà des finalités comme la gestion clients (contrats, commandes, livraisons...) et la prospection. Cette norme en ajoute de nouvelles telles que:
- la réalisation d'enquêtes de satisfaction ;
- l'organisation de jeux concours;
- la gestion des demandes de droits d'accès, de rectification et d'opposition;
- la gestion des avis des personnes sur des produits, services ou contenus.
Par ailleurs, les durées de conservation ont été redéfinies dans certains domaines. A titre d'exemple, la norme précise que les données relatives aux clients peuvent être conservées à des fins de prospection durant trois ans à compter de la fin de la relation commerciale. Selon l'ancienne norme, les données relatives aux prospects pouvaient être conservées pendant la durée nécessaire à la réalisation des opérations de prospection, puis devaient être supprimées au plus tard un an après le dernier contact de la part du prospect ou en l'absence de réponse à deux sollicitations successives. Désormais, elles peuvent être conservées pendant trois ans à compter de leur collecte ou du dernier contact émanant du prospect. Avec cette nouvelle formule, les mesures de sécurité nécessaires pour garantir la confidentialité des données, limiter les risques de fraude bancaire et d'usurpation d'identité ont été explicitées. En conséquence, les responsables de traitement qui ont effectué un engagement de conformité à l'ancienne norme doivent, dans le délai d'un an, à dater du 13 juillet 2013, vérifier que leurs traitements sont en conformité avec la nouvelle norme simplifiée. En cas d'écarts, ils devraient procéder à des déclarations normales de leurs traitements auprès de la Cnil.
MAITRE CELINE AVIGNON est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.