Traitement de données à caractère personnel

Ainsi que l’indique l’article 2 de la loi Informatique et Libertés, « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». 

Le traitement de données à caractère personnel conduit à revenir successivement sur :

• la collecte,
• le stockage
• et la gestion

des données à caractère personnel.

I. Pour ce qui concerne la collecte de données à caractère personnel :

I.1°) Le fichier ou traitement de données personnelles doit le plus souvent faire l’objet d’une déclaration CNIL

Quatre cas doivent être distingués :

Cas n°1 (dispense de déclaration) : certains fichiers font l’objet de dispenses de formalités ; le site de la CNIL établit une longue liste de cas de dispense. Dans ce cas, les fichiers ou traitements contenant des données personnelles sont alors purement et simplement dispensés de formalités déclaratives, le plus souvent parce qu’ils ne portent pas atteinte à la vie privée ou aux libertés. Lorsque les fichiers ou traitements contenant des données personnelles ne correspondent pas à un cas de dispense, ils doivent alors faire l’objet d’une déclaration auprès de la CNIL, voire d’une autorisation.

Cas n°2 (déclaration simplifiée) : il s’agit d’une formalité simple (norme simplifiéen°48) ; lorsque les fichiers ou traitements contenant des données personnelles ne correspondent pas à un cas de déclaration simplifiée, ils doivent alors faire l’objet d’une déclaration normale voire d’une demande d’autorisation auprès de la CNIL.

Cas n°3 (déclaration normale) : Le régime de droit commun est la déclaration normale, lorsque le fichier ne relève pas d’une procédure particulière (art. 22 de la loi "Informatique et Libertés"). Le traitement peut être mis en œuvre dès réception d’un message du CIL confirmant l’enregistrement du traitement dans le registre des traitements du CNRS. Ce message atteste de l’accomplissement des formalités de déclaration, mais n’exonère pas le responsable du traitement des autres obligations prévues par la loi (respect de la finalité du fichier, sécurité et confidentialité, respect des droits des personnes...).

Cas n°4 (autorisation) : Certains traitements peuvent relever d’un régime d’autorisation ou de demande d’avis. Il s’agit de régimes plus protecteurs, qui s’appliquent aux données et finalités de traitement considérées comme « sensibles » ou comportant des risques pour la vie privée ou les libertés. Pour mémoire, les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l'autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000 € d'amende.

I.2°) Le responsable d’un fichier doit  permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits

Pour cela, le responsable d’un fichier doit leur communiquer :

a) l'identité du responsable du fichier clients ;

b) la finalité du fichier clients (prospection, gestion d’abonnement, gestion des commandes, etc.) ;

c) le caractère obligatoire ou facultatif des réponses demandées au client lorsqu’il remplit par exemple un formulaire, et les conséquences éventuelles, à son égard, d'un défaut de réponse (ce qui est généralement matérialisé par des astérisques) ;

d) la ou les personnes destinataires des données (on pense ici notamment à la tête de réseau, si elle doit pouvoir utiliser les datas des clients pour la communication du réseau) ;

e) les droits du client à l’égard du fichier clients (notamment son droit d’accès, d’opposition, de rectification, etc.) ;

f) si tel est le cas, le fait que les données seront transférées dans un Etat non membre de la Communauté européenne.

Il importe également d’avoir ainsi recueilli le consentement de la personne à la collecte et au traitement des données, et de pouvoir en justifier.

Trois types de sanctions existent :

• les sanctions financières que la CNIL peut prononcer : 150.000 euros pour un premier manquement, et 300.000 euros en cas de récidive (pour une entreprise, la sanction maximale est de 5% de son CA HT dans la limite de 300.000 euros) ;
• l’amende pénale qui peut s’élever à 1,5 millions d’euros ;
• l’impossibilité de céder le fichier clients (ce qui peut avoir un impact fort dans le cadre de la cession d’une enseigne, lorsqu’elle a beaucoup investi sur sa communication digitale et le CRM). Une cession de fichier clients constitué sans respect des règles CNIL peut être annulée (obligeant le cédant à rembourser le cessionnaire notamment).

II. Pour ce qui concerne le stockage de données à caractère personnel le responsable d’un fichier doit  respecter la durée de conservation des informations.

II.1°) Le responsable d’un fichier doit garantir l’intégrité du fichier, en adoptant des mesures de sécurité physique et en garantissant la confidentialité des données

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende.

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des « tiers autorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende.

II.2°) La durée de péremption doit être respectée

Les données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier.

Durée de la norme simplifiée n°48 :

• client : 3 ans à compter de la fin de la relation commerciale (date d’achat, expiration de garantie, terme d’un contrat, dernier contact avec le client)
• prospect : 3 ans à compter de la collecte ou du dernier contact émanant du prospect (avec possibilité de relance  à l’arrivée du terme)
• cartes bancaire (hors cryptogramme visuel) : 13 mois suivant la date de débit (ou 15 mois si débit différé) – possibilité de conservation plus longue avec accord exprès du client, sans précochage
• cookies et traceurs : 13 mois (mesure d’audience : 6 mois)
• pièces d’identité : 1 an en cas d’exercice du droit d’accès ou de rectification et 3 ans en cas d’exercice du droit d’opposition

Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende. 

III. Pour ce qui concerne la gestion de données à caractère personnel

III.1°) Le responsable d’un fichier doit garantir les droits de la personne dont les données ont été collectées

La personne dont les données ont été collectées dispose d’un droit d’accès, de rectification et d’opposition.

Droit d’accès : la personne dont les données ont été collectées peut demander directement au responsable d'un fichier s'il détient des informations la concernant (site web, magasin, banque...), et demander à ce que lui communique l’intégralité de ces données. L'exercice du droit d’accès permet de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.

Droit de rectification : la personne dont les données ont été collectées peut demander la rectification des informations inexactes la concernant. Le droit de rectification complète le droit d’accès. Il permet d’éviter qu’un organisme ne traite ou ne diffuse de fausses informations sur la personne dont les données ont été collectées. 

Droit d’opposition : la personne dont les données ont été collectées a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier. En matière de prospection, notamment commerciale, ce droit peut s'exercer sans avoir à justifier d'un motif légitime ; dans ce cas, la personne dont les données ont été collectées peut s’opposer à ce que les données la concernant soient diffusées, transmises ou conservées.

III.2°) Le responsable d’un fichier doit optimiser sa relation avec les tiers

La question de la propriété du fichier est une question souvent posée, mais c’est une « fausse » question.

En effet, la question centrale n’est pas tant de savoir qui « détient » les données du client, mais qui peut utiliser ces données, puisqu’en définitive, en dehors du cas dans lequel l’entreprise cède son fichier clients (ou dans le cas où l’entreprise elle-même est cédée), cette question de propriété n’est finalement pas très importante.

Ce qui compte, en définitive, c’est de prévoir dans les rapports avec son réseau (donc dans le contrat), qui peut utiliser les données et comment. A défaut, le risque est que la propriété du fichier clients constitué par l’adhérent lui soit attribuée (sans que la tête de réseau puisse y accéder ou l’utiliser).

Il est recommandé, pour éviter toute discussion, de bien prévoir dans les contrats comment les données des clients seront remontées à la tête de réseau et que la tête de réseau pourra les utiliser (à la fois pendant le contrat et après).

Cela nécessite bien évidemment que la collecte des données en amont, par l’adhérent du réseau, ait été faite correctement, c’est-à-dire notamment en informant le client du fait que ses données seront utilisées par la tête de réseau.