webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Plus que 10 mois pour mettre en conformité ses fichiers clients et prospects !

Le 14 septembre 2016 a été publiée au Journal Officiel une nouvelle délibération de la CNIL modifiant la norme simplifiée n°48 qui fixe un cadre juridique pour les traitements de données relatifs à la gestion de clients et de prospects («NS-48 »).

Le 14 septembre 2016 a été publiée au Journal Officiel une nouvelle délibération de la CNIL modifiant la norme simplifiée n°48 qui fixe un cadre juridique pour les traitements de données relatifs à la gestion de clients et de prospects («NS-48 »).

Toutes les entreprises ayant déclaré leurs fichiers clients en référence à la NS-48, avant sa modification, disposent désormais d’un délai de 12 mois à compter de sa publication pour se mettre en conformité, sans qu’il soit nécessaire de réaliser une nouvelle formalité auprès de la CNIL. Entre nouvelles contraintes et nouvelles opportunités, retour sur les nouveautés majeures !


1. La prise en compte de la liste d’opposition au démarchage téléphonique

Depuis le 1er juin 2016, les consommateurs qui ne souhaitent pas faire l’objet de prospection commerciale par voie téléphonique peuvent s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique prévue par les articles L. 223-1 et suivants du code de la consommation. Ce nouveau droit a été sérieusement pris en compte par la CNIL et a notamment justifié la modification de la NS-48.

Ainsi, la NS-48 prévoit explicitement l’interdiction de démarcher téléphoniquement un consommateur inscrit sur la liste d’opposition, sauf en cas de relations contractuelles préexistantes.

En conséquence, si le démarchage des clients reste possible, celui des prospects devra préalablement faire l’objet d’une vérification de la liste d’opposition. Il en sera de même pour toute opération de location ou de vente des fichiers contenant des données téléphoniques.

En pratique, les entreprises devront –  avant chaque opération de prospection par voie téléphonique – soumettre leur fichier prospects non-clients à l’organisme en charge de la liste d’opposition, afin que celui-ci le purge des données relatives aux personnes ayant manifesté leur opposition.


2. Elargissement des finalités de traitement et des données collectées relatives aux moyens de paiement

D’une part, la nouvelle NS-48 prévoit un élargissement des finalités pouvant être poursuivie dans le cadre d’un fichier clients et prospect. Effectivement, a été intégrée la possibilité de réaliser une sélection de clients pour réaliser des études, sondages et tests produits.

Par ailleurs, la CNIL a prévu d’intégrer aux finalités de traitement des données clients/prospect, l’actualisation des fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, à savoir Bloctel.

Cet organisme a également été intégré à la liste des personnes habilitées à traiter les données et destinataires des informations.

D’autre part, la nouvelle délibération de la CNIL prévoit de nouvelles catégories de données pouvant être collectées : les cookies et autres traceurs dès lors que leur traitement est réalisé dans le respect de sa délibération n° 2013-378 du 5 décembre 2013.


3. Les durées de conservation

L’une des modifications majeures de cette nouvelle NS-48 et à laquelle les entreprises devront être particulièrement vigilantes concerne les durées de conservation.

Si jusqu’alors, il était possible de conserver les données des clients pendant toute la durée de la relation commerciale et les données des prospects non-clients pendant un délai de trois ans à compter de leur collecte ou du dernier contact émanant du prospect, la CNIL a apporté de nouveaux éclairages.

  • S’agissant des clients, une conservation de leurs données à des fins probatoires peut être réalisée au-delà de la période de la relation commerciale sous réserve que cette conservation se fasse sous forme d’archive intermédiaire. Cet archivage devra nécessairement faire l’objet d’une politique d’archivage.

    Une conservation des données à des fins d’analyses ou d’élaboration de statistiques agrégées, au-delà de la relation commerciale, reste également possible sous réserve que les données soient anonymisées de manière irréversible.
  • S’agissant des données relatives aux prospects non-clients, elles ne peuvent être conservées plus de trois ans à compter de leur collecte ou du dernier contact émanant du prospect. La NS-48 apporte une précision intéressante puisque elle intègre le clic sur un lien hypertexte contenu dans un courriel  comme exemple de contact. Elle précise néanmoins que l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect.
  • S’agissant de la conservation des données de cartes bancaires, leur conservation peut désormais être différée à la  réception du bien, augmentée, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement.

    Si les données sont conservées plus longtemps, un consentement via un acte de volonté explicite, recueilli par exemple par l’intermédiaire d’une case à cocher, non pré-cochée par défaut est nécessaire.

    La CNIL recommande en outre l’insertion sur les sites marchands d’un moyen simple et gratuit de revenir sur le consentement donné pour la conservation des données de la carte, afin de faciliter les achats ultérieurs.
  • Enfin, concernant les statistiques de mesure d’audience ainsi que les données de fréquentation, la nouvelle NS-48 prévoit que les informations stockées dans le terminal des utilisateurs peuvent désormais être conservées pendant une durée n’excédant pas treize mois (contre 6 mois auparavant).

Enfin, lorsque l’utilisation d’un service en ligne donne lieu à la création d’un compte utilisateur, les données doivent être effacées dès que le compte est supprimé.

En pratique, se posait régulièrement la question des comptes n’enregistrant aucune activité. A ce sujet, la CNIL précise que lorsque le compte n’est plus utilisés depuis un certain laps de temps par l’utilisateur, il appartient au responsable de traitement de prévoir un délai pour déterminer la durée à partir de laquelle le compte doit être considéré comme un compte inactif. Au terme de ce délai, les données devront être supprimées après en avoir averti l’utilisateur et lui avoir donné la possibilité de manifester sa volonté contraire.

A titre indicatif, la CNIL précise qu’une durée de deux ans semble par exemple appropriée pour un compte créé sur un site de rencontres.

Si cette nouvelle NS-48 ne se révèle pas fondamentalement inédite, elle a le mérite de mettre à jour les engagements des responsables de traitement au regard des nouvelles dispositions du code de la consommation et du code des postes et des communications électroniques en matière de démarchage et de la doctrine de la CNIL en matière de durée de conservation et de recours aux outils de traçabilité en ligne.

Le délai de mise en conformité avec ce nouveau cadre s’éteindra le 14 septembre 2017, soit la veille de l’entrée en application du nouveau règlement européen en matière de protection des données personnelles.

VOIR AUSSI

Statut du DPO salarié : quelques précisions

Question écrite n°02896 de M. Raynal – JO Sénat du 25 janvier 2018

- Vu : 730

Le délégué à la protection des données ne bénéficie pas du statut de salarié protégé au sens du droit du travail. Cependant, il bénéficie d’une protection dans l’exercice de ses fonctions, garantie par le RGPD entré en application le 25 mai 2018.

> Lire la suite

Transparence et vigilance en matière de cookies sur les sites internet

CE, 10ème - 9ème ch. réunies, 6 juin 2018, n°412589

- Vu : 410

L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 3752
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 3188
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 3009
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 1731
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©