La CNIL (Commission Nationale Informatique et Libertés) a récemment publié au Journal Officiel ses recommandations pour le traitement des données que les entreprises peuvent recueillir sur leurs clients, dans le cadre de la gestion commerciale et de la gestion des impayés.
Les recommandations de la CNIL n’ont pas de caractère obligatoire mais leur respect garantit à l’entreprise sa sécurité juridique. Les entreprises peuvent donc s’en écarter, à condition toutefois de pouvoir justifier leur choix dont elles restent responsables.
Pour rappel :
Le traitement des données des clients doit être conforme au Règlement Général sur la Protection des Données (RGPD) qui vise à protéger les personnes physiques dont les données à caractère personnel font l’objet d’un traitement.
Une donnée ? Il s‘agit de toute information permettant d’identifier une personne physique : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, identifiant d’un salarié, adresse IP, numéro de téléphone, localisation, etc.
Un traitement de données ? Il s’agit de toute opération, telle que collecte, enregistrement, conservation, extraction, etc. Il peut intervenir dans le cadre de la gestion du personnel, le recrutement, la comptabilité, la gestion des clients et des fournisseurs, la lutte contre la fraude, la sécurité ou la surveillance…
Le RGPD repose sur une logique de transparence et de responsabilisation.
C’est au chef d’entreprise ou dirigeant de société de s’assurer que la protection des données personnelles est conforme aux exigences légales, y compris lorsque le traitement des données est effectué par un sous-traitant.
La CNIL dispose d’un pouvoir de contrôle et de sanction (amende pouvant atteindre 4% du chiffre d’affaires annuel).
L’atteinte aux droits des personnes résultant de traitements informatiques est par ailleurs passible de sanctions pénales.
Quelles sont les recommandations de la CNIL pour la gestion commerciale ?
Les recommandations de la CNIL visent ici toutes les actions telles que commandes, livraisons, réclamations, prospection commerciale, programmes de fidélité, comptabilité, statistiques et enquêtes de satisfaction…
Les clients et prospects doivent être informés du traitement dont leurs données font l’objet.
Ils doivent avoir donné leur consentement exprès, de préférence par écrit.
Les données doivent être pertinentes et proportionnées à l’objectif poursuivi. Le traitement des données sensibles (ex. origine ethnique, orientation sexuelle, santé, etc.) n’est pas interdit mais est particulièrement protégé et nécessite un consentement exprès des personnes concernées.
Les données concernant les clients peuvent être conservées pendant toute la durée de la relation commerciale, puis pendant une durée de 3 ans à compter de la fin de la relation commerciale.
A la fin du contrat, les données doivent être supprimées sauf si leur archivage est rendu légalement obligatoire (ex. données comptables ou fiscales) ou justifié par un risque de contentieux.
Cet archivage doit être effectué dans une base de données dédiée ou séparée de la base de données active.
Les données concernant les prospects peuvent être conservées pendant trois ans à compter de leur collecte ou du dernier contact venant du prospect (ce dernier contact peut par exemple être un clic sur le lien figurant dans un courriel).
Quelles sont les recommandations de la CNIL pour la gestion des impayés ?
Les recommandations de la CNIL visent ici les traitements dont l’objectif est de recenser les impayés et d’identifier les débiteurs en vue de les exclure de toute transaction à venir.
Attention : Ces recommandations ne s’appliquent pas aux traitements permettant de détecter un risque d’impayé ou de recenser des manquements autres que pécuniaires (ex. incivilités). Elles ne s’appliquent pas non plus à l’enrichissement d’une base de données collectées par des tiers, ni à la mutualisation de données sur les personnes en situation d’impayé avec des tiers.
L’information des débiteurs doit être renforcée pour tenir compte des conséquences qui peuvent être liées à son inscription dans un fichier d’exclusion (ex. refus de prestation).
Cette information doit porter sur l’existence du traitement et sur les modalités d’inscription dans le fichier des débiteurs, soit au moment de la conclusion du contrat, soit au moment de la collecte des données, ou avant d’effectuer le traitement.
En cas d’impayé, le débiteur doit être informé des modalités de régularisation de son paiement, de présentation de ses observations ou de demande de réexamen de sa situation.
Après régularisation du paiement, les données ne doivent être conservées que 48 heures.
En l’absence de régularisation de l’impayé, le débiteur doit être informé de son inscription dans le fichier d’exclusion. Les données peuvent alors être conservées pendant 5 ans à compter de l’impayé.
***
YTEA AVOCATS CONSEILS vous assiste et vous conseille concernant vos obligations contractuelles à l’égard de vos clients. Nous procédons à la rédaction de vos conditions générales de vente et pouvons vous accompagner quant au respect de vos obligations en tant que responsable de traitement de données personnelles.
*Sources :
Annonceur légal
Délibération CNIL du 23/09/2021, n°2021-130 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045538566#:~:text=Dans%20les%20r%C3%A9sum%C3%A9s-,D%C3%A9lib%C3%A9ration%20n%C2%B0%202021%2D130%20du%2023%20septembre%202021%20portant,impay%C3%A9s%20dans%20une%20transaction%20commerciale
Délibération CNIL du 23/09/2021, n°2021-131
