Une « norme simplifiée » permet au responsable de traitement qui remplit strictement les conditions énumérées dans cette norme de pouvoir, pour déclarer un traitement, se contenter de remplir une déclaration dite « simplifiée », au titre de laquelle, sans rentrer dans le détail du traitement opéré, il atteste simplement qu’il se conforme aux conditions de la norme concernée. Cette procédure permet ainsi aux entreprises de satisfaire à leurs obligations déclaratives de manière extrêmement simple et rapide.
La norme n°48 permet de bénéficier de cette procédure simplifiée pour les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et prospects qui satisfont les termes et conditions qui y sont énumérés.
Cette norme, initialement adoptée en 2005, vient d’être actualisée par la CNIL et publiée le 13 juillet dernier, après plusieurs mois de concertation avec des représentants des professionnels, des correspondants informatique et libertés et des consommateurs, avec l’objectif affiché d’assurer un plus grand équilibre entre les besoins des professionnels et le respect de la vie privée et des droits des clients et prospects. De fait, l’évolution du commerce en ligne et des méthodes de prospection des commerçants rendait une telle actualisation indispensable tant pour les professionnels que pour les clients.
En faveur des professionnels : La nouvelle norme n°48 étend le champ des finalités de traitements susceptibles de bénéficier de la procédure simplifiée. En effet, de nombreuses finalités de traitements pourtant courantes ne figuraient jusqu’alors pas dans la norme initiale et excluaient d’office certains professionnels du bénéfice de cette norme. Ont ainsi été ajoutées les finalités suivantes : réalisation d’enquêtes de satisfaction, gestions des réclamations et services après-vente, organisation de jeux-concours, loteries et opérations promotionnelles, gestion des demandes de droit d’accès, de rectification et d’opposition, gestion des avis de clients sur les produits et services.
De même, de nouvelles données peuvent désormais être traitées par les professionnels sans basculer pour autant dans la procédure (plus longue) de la déclaration dite « normale ». Par exemple, la collecte des données de connexion à des fins de mesure d’audience est désormais permise par la norme, sous réserve d’une information claire et complète délivrée par l’éditeur du site et du respect du droit d’accès et d’opposition des internautes. De même, une copie de la pièce d’identité peut également être conservée mais uniquement aux fins de preuve de l’exercice d’un droit d’accès ou pour répondre à une obligation légale, toute autre finalité faisant perdre le bénéfice de la norme. Enfin, à titre plus anecdotique, peuvent également être collectées des informations sur la vie maritale des clients. Naturellement, en application de l’article 6 de la Loi Informatiques et Libertés du 6 janvier 1978, telle que modifiée, ces informations ne pourront en principe être traitées que si elles sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ».
En ce qui concerne les destinataires des données, la norme prévoit de manière explicite qu’outre les sous-traitants, les partenaires, sociétés extérieures ou filiales d’un même groupe peuvent avoir également accès aux données, sous réserve naturellement de l’obtention du consentement préalable des personnes concernées. La norme précédente semblait limiter cette possibilité aux seuls sous-traitants.
Enfin, le transfert de données en dehors de l’Union européenne n’exclut plus directement le traitement de l’application de la norme, sous réserve du respect des formalités prévues par la loi visant à assurer la sécurité du transfert (Safe Harbor, contrat de transfert, BCR, exceptions de l’article 69 de la Loi Informatique et Libertés).
En faveur des clients : Un certain nombre de points ont été utilement précisés et/ou clarifiés par la CNIL, dans le sens d’une plus grande protection des clients.
Ainsi, les conditions dans lesquelles les données relatives aux impayés ou crédits souscrits sont précisées.
La durée de conservation des données est désormais clairement précisée, ce qui devrait éviter les débats classiques sur la détermination de «la durée strictement nécessaire à la gestion de la relation commerciale » visée dans la norme précédente. La CNIL indique désormais expressément que les données de clients ou prospects peuvent être conservées pendant un délai de 3 ans à compter de la fin de la relation commerciale ou, pour les prospects, à compter de leur collecte ou du dernier contact émanant du prospect. Au terme de ce délai, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer ou non à être sollicitée. En cas de réponse négative, les données devront être soit supprimées soit archivées. Les mécanismes de prospection sont donc à présent clairement précisés, mettant ainsi un terme à un certain nombre d’interrogations pratiques sur la durée de conservation et la gestion de la « fin » des relations avec le client ou prospect.
La CNIL vient également préciser la durée de conservation des données relatives aux pièces d’identité (1 an), aux cartes bancaires (13 mois ou plus longtemps avec l’accord du client), aux statistiques d’audience et cookies (6 mois), etc.
Les modalités pratiques d’information des personnes ont été précisées, notamment en matière de recueil du consentement et de droit d’opposition, effectuant ainsi une synthèse utile des différentes réglementations en vigueur.
Enfin, les mesures de sécurité devant être prises pour assurer la confidentialité des données ont été précisées.
A noter que les dispositions de cette norme ne sont pas applicables aux établissements bancaires ou assimilés, aux entreprises d’assurances, de santé ou d’éducation. Par ailleurs, les organismes publics ou privés qui ont effectué une déclaration simplifiée sous le cadre de l’ancienne norme simplifiée n°48, n’ont pas à effectuer une nouvelle déclaration. Ils devront toutefois s’assurer qu’ils respectent bien les termes de la nouvelle norme. Si tel n’est pas/plus le cas, ils disposent d’un délai d’un an jusqu’au 13 juillet 2013 pour se mettre en conformité. Il est à parier que la CNIL diligentera alors quelques contrôles pour vérifier à compter de cette date que les entreprises concernées se seront mises en conformité avec ces nouvelles exigences ou précisions.
Florence Chafiol - Associée
Chloé Minet - Avocat senior