La Cnil a adopté deux nouveaux référentiels afin de guider les organismes concernés dans la mise en conformité de leurs activités de gestion commerciale et de gestion de leurs impayés.
1) Référentiel sur la gestion commerciale
Ce référentiel « gestion commerciale » s’adresse à l’ensemble des organismes privés et publics qui mettent en place des traitements de données pour la gestion de leurs activités commerciales. Il remplace la norme simplifiée n° 48, qui n’a plus de valeur juridique depuis l’entrée en application du règlement général sur la protection des données (RGPD).
Le référentiel fournit un cadre pour les traitements tels que la gestion des contrats (exemple : la gestion des commandes, de la livraison, de l’exécution du service ou de la fourniture du bien ou encore la gestion des factures et paiements), la gestion de programmes de fidélité, le suivi de la relation client pour la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente, ou encore la réalisation d’actions de prospection commerciale.
Le référentiel actualise et consolide la doctrine de la Cnil sur la gestion des fichiers de clients et prospects. Parmi les principales évolutions figurent :
- l’encadrement des opérations de transmission de données à des tiers à des fins de prospection commerciale : le référentiel identifie les bases légales possibles pour de telles opérations conformément au cadre juridique applicable et rappelle les obligations de chaque acteur (information, recueil préalable du consentement des personnes, etc.) ;
- l’ajout de précisions concernant les durées de conservation notamment pour les données collectées dans le cadre de l’exercice des droits par les personnes ;
- l’ajout de précisions concernant le traitement de données sensibles.
2) Référentiel sur la gestion des impayés
Ce référentiel encadre la mise en œuvre par les organismes de droit privé ou public d’un traitement de gestion des impayés avérés (ceux pour lesquels il n’existe aucun doute) et les créances pécuniaires. À ce titre, le référentiel fournit un cadre aux traitements ayant pour objectif de recenser des impayés et d’identifier les personnes qui en sont à l’origine afin de pouvoir exclure ces dernières de toute transaction à venir.
Les traitements encadrés par le référentiel « gestion des impayés » peuvent avoir pour conséquence de priver une personne du bénéfice d’une prestation, ce qui implique la mise en œuvre de garanties particulières, telles que :
- une information renforcée des personnes concernées, en plusieurs étapes (au moment de la conclusion du contrat, lorsque l’impayé survient ainsi qu’au moment de l’inscription sur la liste d’exclusion) ;
- une durée limitée de conservation des données relatives à la personne concernée, c’est-à-dire un délai de suppression de 48 h maximum après le constat de régularisation et de 5 ans à compter de la survenance de l’impayé, dans le cas où il n’y a pas de régularisation.
Présenté par Me. Antoine Jacquemart
Droit de la propriété intellectuelle, droit du numérique & droit des marques