Le 14 septembre 2016 a été publiée au Journal Officiel une nouvelle délibération de la CNIL modifiant la norme simplifiée n°48 qui fixe un cadre juridique pour les traitements de données relatifs à la gestion de clients et de prospects («NS-48 »).
Le 14 septembre 2016 a été publiée au Journal Officiel une nouvelle délibération de la CNIL modifiant la norme simplifiée n°48 qui fixe un cadre juridique pour les traitements de données relatifs à la gestion de clients et de prospects («NS-48 »).
Toutes les entreprises ayant déclaré leurs fichiers clients en référence à la NS-48, avant sa modification, disposent désormais d’un délai de 12 mois à compter de sa publication pour se mettre en conformité, sans qu’il soit nécessaire de réaliser une nouvelle formalité auprès de la CNIL. Entre nouvelles contraintes et nouvelles opportunités, retour sur les nouveautés majeures !
1. La prise en compte de la liste d’opposition au démarchage téléphonique
Depuis le 1er juin 2016, les consommateurs qui ne souhaitent pas faire l’objet de prospection commerciale par voie téléphonique peuvent s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique prévue par les articles L. 223-1 et suivants du code de la consommation. Ce nouveau droit a été sérieusement pris en compte par la CNIL et a notamment justifié la modification de la NS-48.
Ainsi, la NS-48 prévoit explicitement l’interdiction de démarcher téléphoniquement un consommateur inscrit sur la liste d’opposition, sauf en cas de relations contractuelles préexistantes.
En conséquence, si le démarchage des clients reste possible, celui des prospects devra préalablement faire l’objet d’une vérification de la liste d’opposition. Il en sera de même pour toute opération de location ou de vente des fichiers contenant des données téléphoniques.
En pratique, les entreprises devront – avant chaque opération de prospection par voie téléphonique – soumettre leur fichier prospects non-clients à l’organisme en charge de la liste d’opposition, afin que celui-ci le purge des données relatives aux personnes ayant manifesté leur opposition.
2. Elargissement des finalités de traitement et des données collectées relatives aux moyens de paiement
D’une part, la nouvelle NS-48 prévoit un élargissement des finalités pouvant être poursuivie dans le cadre d’un fichier clients et prospect. Effectivement, a été intégrée la possibilité de réaliser une sélection de clients pour réaliser des études, sondages et tests produits.
Par ailleurs, la CNIL a prévu d’intégrer aux finalités de traitement des données clients/prospect, l’actualisation des fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, à savoir Bloctel.
Cet organisme a également été intégré à la liste des personnes habilitées à traiter les données et destinataires des informations.
D’autre part, la nouvelle délibération de la CNIL prévoit de nouvelles catégories de données pouvant être collectées : les cookies et autres traceurs dès lors que leur traitement est réalisé dans le respect de sa délibération n° 2013-378 du 5 décembre 2013.
3. Les durées de conservation
L’une des modifications majeures de cette nouvelle NS-48 et à laquelle les entreprises devront être particulièrement vigilantes concerne les durées de conservation.
Si jusqu’alors, il était possible de conserver les données des clients pendant toute la durée de la relation commerciale et les données des prospects non-clients pendant un délai de trois ans à compter de leur collecte ou du dernier contact émanant du prospect, la CNIL a apporté de nouveaux éclairages.
- S’agissant des clients, une conservation de leurs données à des fins probatoires peut être réalisée au-delà de la période de la relation commerciale sous réserve que cette conservation se fasse sous forme d’archive intermédiaire. Cet archivage devra nécessairement faire l’objet d’une politique d’archivage.
Une conservation des données à des fins d’analyses ou d’élaboration de statistiques agrégées, au-delà de la relation commerciale, reste également possible sous réserve que les données soient anonymisées de manière irréversible.
- S’agissant des données relatives aux prospects non-clients, elles ne peuvent être conservées plus de trois ans à compter de leur collecte ou du dernier contact émanant du prospect. La NS-48 apporte une précision intéressante puisque elle intègre le clic sur un lien hypertexte contenu dans un courriel comme exemple de contact. Elle précise néanmoins que l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect.
- S’agissant de la conservation des données de cartes bancaires, leur conservation peut désormais être différée à la réception du bien, augmentée, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement.
Si les données sont conservées plus longtemps, un consentement via un acte de volonté explicite, recueilli par exemple par l’intermédiaire d’une case à cocher, non pré-cochée par défaut est nécessaire.
La CNIL recommande en outre l’insertion sur les sites marchands d’un moyen simple et gratuit de revenir sur le consentement donné pour la conservation des données de la carte, afin de faciliter les achats ultérieurs.
- Enfin, concernant les statistiques de mesure d’audience ainsi que les données de fréquentation, la nouvelle NS-48 prévoit que les informations stockées dans le terminal des utilisateurs peuvent désormais être conservées pendant une durée n’excédant pas treize mois (contre 6 mois auparavant).
Enfin, lorsque l’utilisation d’un service en ligne donne lieu à la création d’un compte utilisateur, les données doivent être effacées dès que le compte est supprimé.
En pratique, se posait régulièrement la question des comptes n’enregistrant aucune activité. A ce sujet, la CNIL précise que lorsque le compte n’est plus utilisés depuis un certain laps de temps par l’utilisateur, il appartient au responsable de traitement de prévoir un délai pour déterminer la durée à partir de laquelle le compte doit être considéré comme un compte inactif. Au terme de ce délai, les données devront être supprimées après en avoir averti l’utilisateur et lui avoir donné la possibilité de manifester sa volonté contraire.
A titre indicatif, la CNIL précise qu’une durée de deux ans semble par exemple appropriée pour un compte créé sur un site de rencontres.
Si cette nouvelle NS-48 ne se révèle pas fondamentalement inédite, elle a le mérite de mettre à jour les engagements des responsables de traitement au regard des nouvelles dispositions du code de la consommation et du code des postes et des communications électroniques en matière de démarchage et de la doctrine de la CNIL en matière de durée de conservation et de recours aux outils de traçabilité en ligne.
Le délai de mise en conformité avec ce nouveau cadre s’éteindra le 14 septembre 2017, soit la veille de l’entrée en application du nouveau règlement européen en matière de protection des données personnelles.