Délibération nº 2005-112 du 7 juin 2005 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects et portant abrogation des normes simplifiées 11, 17 et 25.
La Commission nationale de l'informatique et des libertés,
Vu la convention nº 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive nº 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi nº 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;
Vu le code des postes et des communications électroniques, et notamment son article L. 34-5 ;
Vu le code de la consommation, et notamment ses articles L. 121-20-5 et L. 134-2 ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 24 ;
Vu les délibérations nº 80-021 du 24 juin 1980, nº 81-16 du 17 février 1981 et nº 81-117 du 1er décembre 1981, modifiées respectivement par les délibérations nº 96-101, nº 96-102 et nº 96-103 du 19 novembre 1996 (normes simplifiées 11, 17 et 25) ;
Après avoir entendu M. Bernard Peyrat, commissaire, en son rapport et Mme Charlotte Marie Pitrat, commissaire adjoint du Gouvernement, en ses observations,
Formule les observations suivantes :
En vertu de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Les traitements informatisés relatifs à la gestion des fichiers de clients et de prospects sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
La Commission a adopté plusieurs normes simplifiées relatives à la gestion des fichiers de clients et de prospects, à savoir la norme simplifiée nº 11 relative à la gestion des clients actuels et potentiels, la norme simplifiée nº 17 concernant la gestion des fichiers de clientèle des entreprises dont l'objet social inclut la vente par correspondance et la norme simplifiée nº 25 concernant la gestion des fichiers de destinataires d'une publication périodique de presse.
Ces normes simplifiées ont fait l'objet d'une modification en 1996 afin d'envisager la collecte de données par des supports télématiques.
En raison de l'utilisation de plus en plus courante de l'internet, il est apparu nécessaire d'adopter une nouvelle norme simplifiée envisageant la collecte de données par internet ainsi que la prospection par voie électronique. Cette norme regroupe dans son champ d'application les traitements relevant des normes nº 11, 17 et 25. Elle permet aux responsables de traitement d'effectuer une déclaration simplifiée, dans les conditions qu'elle précise, pour les traitements relatifs aux personnes avec lesquelles des relations contractuelles sont nouées, les clients et les clients potentiels, simples prospects, à l'exclusion de ceux mis en oeuvre par les établissements bancaires ou assimilés, les entreprises d'assurances, de santé et d'éducation,
Décide :
Article 1. Peut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion des fichiers de clients et de prospects qui répond aux conditions suivantes.
Article 2. Finalités des traitements.
Le traitement peut avoir tout ou partie des finalités suivantes :
– effectuer les opérations relatives à la gestion des clients concernant :
– les contrats ;
– les commandes ;
– les livraisons ;
– les factures ;
– la comptabilité et en particulier la gestion des comptes clients ;
– la gestion d'un programme de fidélité à l'exclusion des programmes communs à plusieurs sociétés ;
– effectuer des opérations relatives à la prospection :
– constitution et gestion d'un fichier de prospects (ce qui inclut notamment les opérations techniques comme la normalisation, l'enrichissement et la déduplication) ;
– la sélection de clients pour réaliser des actions de prospection et de promotion ;
– la cession, la location ou l'échange du fichier de clients et de prospects ;
– l'élaboration de statistiques commerciales ;
– l'envoi de sollicitations.
Article 3. Données traitées.
Les données susceptibles d'être traitées pour la réalisation des finalités décrites à l'article 2 sont :
a) L'identité : nom, prénoms, adresse, numéro de téléphone (fixe ou mobile), numéro de télécopie, adresse de courrier électronique, date de naissance, code interne de traitement permettant l'identification du client (ce code interne de traitement ne peut être le numéro d'inscription au répertoire national d'identification des personnes physiques, le numéro de sécurité sociale ni le numéro de carte bancaire) ;
b) Les données relatives aux moyens de paiement : relevé d'identité postale ou bancaire, numéro de la transaction, numéro de chèque, numéro de carte bancaire ;
c) La situation familiale, économique et financière : nombre et âge du ou des enfant(s) au foyer, profession, domaine d'activité, catégorie socio-professionnelle ;
d) Les données relatives à la relation commerciale : demandes de documentation, demandes d'essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats, retour des produits, origine de la vente (vendeur, représentant) ou de la commande, correspondances avec le client et service après-vente ;
e) Les données relatives aux règlements des factures : modalités de règlements, remises consenties, informations relatives aux crédits souscrits (montant et durée, nom de l'organisme prêteur), reçus, impayés, soldes.
Article 4. L'utilisation d'un service de communication au public en ligne.
La présente norme s'applique dans le cas où est utilisé un service de communication au public en ligne pour réaliser les finalités définies à l'article 2.
Dans ce cas, pourront être exploitées des données de connexion (date, heure, adresse Internet, protocole de l'ordinateur du visiteur, page consultée) à des seules fins statistiques d'estimation de la fréquentation du site.
Lorsque le responsable du service de communication au public en ligne utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l'équipement terminal de connexion de l'utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, active X), les utilisateurs sont informés de la finalité de l'utilisation de ces procédés et des moyens dont ils disposent pour s'y opposer.
Article 5. Les destinataires et les personnes habilitées à traiter les données.
Peuvent seuls, dans les limites de leurs attributions respectives, avoir accès aux données à caractère personnel :
– les personnels chargés du service commercial et des services administratifs ;
– les supérieurs hiérarchiques de ces personnels ;
– les services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle…) ;
– les entreprises extérieures liées contractuellement pour l'exécution d'un contrat.
Ces personnes assurent la stricte confidentialité des données à caractère personnel en leur possession.
Peuvent être destinataires des données, dans les limites de leurs attributions respectives :
– les organismes publics, exclusivement pour répondre aux obligations légales ;
– les auxiliaires de justice et les officiers ministériels dans le cadre de leur mission de recouvrement de créances ;
– les organismes chargés d'effectuer les recouvrements de créances.
Sous réserve des dispositions de l'article 7 de la présente délibération, les données relatives à l'identité (à l'exclusion du code interne de traitement permettant l'identification du client) ainsi que les informations relatives à la situation familiale, économique et financière peuvent être cédées, louées ou échangées, dès lors que les organismes destinataires s'engagent à ne les exploiter que pour s'adresser directement aux intéressés, pour des finalités exclusivement commerciales.
Les données relatives à la relation commerciale susceptibles, eu égard au type de documentation demandé, à la nature du produit acheté, du service ou de l'abonnement souscrit, de faire apparaître indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes ou qui sont relatives à la vie sexuelle de celles-ci ne peuvent être cédées, louées ou échangées qu'après avoir recueilli le consentement exprès de la personne concernée.
Article 6. Durée de la conservation.
Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale à l'exception de celles nécessaires à l'établissement de la preuve d'un droit ou d'un contrat qui peuvent être archivées conformément aux dispositions du code de commerce relatives à la durée de conservation des livres et documents créés à l'occasion d'activités commerciales et du code de la consommation relatives à la conservation des contrats conclus par voie électronique, en l'occurence dix ans.
Les données à caractère personnel relatives aux prospects ne peuvent être conservées que pour la durée pendant laquelle elles sont nécessaires à la réalisation des opérations de prospection. La commission recommande que les données collectées auprès de prospects soient supprimées au maximum un an après le dernier contact de leur part ou lorsqu'ils n'ont pas répondu à deux sollicitations successives.
Article 7. Information des personnes concernées.
Les personnes concernées sont informées, au moment de la collecte de leurs données, de l'identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données et de leurs droits d'accès, de rectification et d'opposition, pour des motifs légitimes, au traitement de leurs données, sauf dans les cas où le traitement répond à une obligation légale.
Lorsque les données sont utilisées à des fins de prospection, notamment commerciale, les personnes concernées sont informées qu'elles peuvent s'y opposer sans frais et sans justification.
L'envoi de prospection commerciale par voie électronique est subordonnée au recueil du consentement préalable des personnes concernées, sauf dans les cas d'une relation client-entreprise préexistante et d'une prospection entre professionnels. Dans ces hypothèses, les personnes doivent avoir été mises en mesure, au moment de la collecte de leurs données, de s'opposer de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales.
Dans le cas d'une collecte via un formulaire, le droit d'opposition ou le recueil du consentement préalable doit s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.
Article 8. Sécurités.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données visées à l'article 3 et, notamment, empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.
Dans le cas de l'utilisation d'un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre tout accès non autorisé au système de traitement automatisé de données.
Lorsqu'un moyen de paiement à distance est utilisé, le responsable de traitement doit prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des sytèmes de paiement sécurisés conformes à l'état de l'art et à la réglementation applicable.
Article 9. Exclusion du bénéfice de la norme simplifiée.
Tout traitement non conforme aux dispositions des articles 2 à 8 de la présente décision ne peut faire l'objet d'une déclaration simplifiée auprès de la CNIL en référence à la présente norme.
Les traitements qui, du fait de leur nature, de leur portée ou de leurs finalités, sont susceptibles d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat ne peuvent faire l'objet d'une déclaration simplifiée en référence à la présente norme, conformément aux dispositions de l'article 25, I, 4°, de la loi du 6 janvier 1978 modifiée.
Ne peut également prétendre au bénéfice de la déclaration simplifiée en référence à la présente norme le traitement comportant la transmission de données visées à l'article 3 vers des pays tiers à l'Union européenne, y compris lorsque cette transmission est réalisée dans le cadre d'opérations de sous-traitance.
Les dispositions de la présente norme ne sont pas applicables aux secteurs d'activités suivants : établissements bancaires ou assimilés, entreprises d'assurances, santé et éducation.
Article 10. Les normes simplifiées nº 11, 17 et 25 établies respectivement par les délibérations nº 80-021 du 24 juin 1980, nº 81-16 du 17 février 1981 et nº 81-117 du 1er décembre 1981, modifiées par les délibérations nº 96-101, nº 96-102 et nº 96-103 du 19 novembre 1996, sont abrogées.
Pour les entreprises ou organismes privés et publics, la déclaration simplifiée effectuée en référence à la présente norme remplace les déclarations simplifiées effectuées en référence aux normes simplifiées nº 11, 17 et 25.
Article 11. La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 7 juin 2005.
Le président, A. Türk