Délibération nº 2005-276 du 17 novembre 2005 portant modification de la norme simplifiée nº 48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects et portant abrogation des normes simplifiées 11, 17 et 25.
La Commission nationale de l'informatique et des libertés
Décide :
Article 1. Le septième paragraphe du visa de la norme est modifié comme suit : «Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment ses articles 24 et 69, alinéa 8 ;».
Article 2. Après les observations énoncées en préambule, est ajouté un dernier paragraphe ainsi rédigé :
«Enfin, il apparaît utile que la norme lève l'interdiction de transferts de données vers des pays non membres de l'Union européenne et n'accordant pas une protection suffisante pour des transferts courants et ne présentant pas de risques particuliers pour les droits et libertés fondamentaux des personnes. Ces transferts sont donc inclus dans le champ de la présente norme dès lors que ceux-ci répondent au cadre précis fixé par son article 9.»
Article 3. Le paragraphe a de l'article 3 est ainsi rédigé :
» a) L'identité : nom, prénoms, adresse, numéro de téléphone (fixe ou mobile), numéro de télécopie, adresse de courrier électronique, date de naissance, code interne de traitement permettant l'identification du client (ce code interne de traitement est distinct du numéro d'inscription au Répertoire national d'identification des personnes physiques, du numéro de sécurité sociale et du numéro de carte de bancaire) ; «.
Article 4. Parmi les données pouvant être traitées au titre de l'article 3, paragraphe c, est ajoutée la donnée relative à la «vie maritale».
Ce paragraphe est en conséquence ainsi rédigé :
» c) La situation familiale, économique et financière : vie maritale, nombre et âge du ou des enfant(s) au foyer, profession, domaine d'activité, catégorie socioprofessionnelle ; «.
Article 5. L'article 7 est ainsi rédigé :
» Les personnes concernées sont informées, au moment de la collecte de leurs données, de l'identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, et de leurs droits d'accès, de rectification et d'opposition, pour des motifs légitimes, au traitement de leurs données sauf dans les cas où le traitement répond à une obligation légale et, le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne.
Lorsque les données sont utilisées à des fins de prospection, notamment commerciale, les personnes concernées sont informées qu'elles peuvent s'y opposer sans frais et sans justification.
L'envoi de prospection commerciale par voie électronique est subordonné au recueil du consentement préalable des personnes concernées, sauf dans les cas d'une relation client-entreprise préexistante et d'une prospection entre professionnels. Dans ces hypothèses, les personnes doivent avoir été mises en mesure, au moment de la collecte de leurs données, de s'opposer de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales.
Dans le cas d'une collecte via un formulaire, le droit d'opposition ou le recueil du consentement préalable doit s'exprimer par un moyen simple tel que l'apposition d'une case à cocher. «
Article 6. L'article 9 devient l'article 10.
Article 7. L'article 10 devient l'article 11.
Article 8. L'article 11 devient l'article 12.
Article 9. L'article 9 est ainsi rédigé :
» Art. 9. – Transfert de données vers l'étranger.
Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l'Union européenne qui ne sont pas membres de l'Espace économique européen et qui n'ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :
– le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes, notamment par la mise en oeuvre des clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 (décision nº 2001/497/CE), du 27 décembre 2001 (décision nº 2002/16/CE) ou du 27 décembre 2004 (décision nº 2004/915/CE) ou par l'adoption de règles internes d'entreprise ayant fait l'objet d'une décision favorable de la Commission nationale de l'informatique et des libertés ;
– le responsable de traitement a clairement informé les personnes de l'existence d'un transfert de données vers des pays tiers conformément aux dispositions de l'article 32 de la loi informatique et libertés et de l'article 7 de la présente norme ;
– le responsable de traitement s'engage, sur simple demande de la personne concernée, à apporter une information complète sur le ou les pays d'établissement du destinataire des données, la finalité du transfert envisagé, de la ou des catégories de destinataires des données, la nature de la protection accordée aux données transférées.
Les données à caractère personnel susceptibles de faire l'objet d'un transfert vers certains pays situés en dehors de l'Union européenne sont celles prévues à l'article 3 uniquement dans le cadre :
– de la gestion d'un fichier client ;
– de la gestion d'opérations de prospection commerciale réalisées par un sous-traitant établi dans un pays tiers. «
Article 10. La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 17 novembre 2005.
Le président, A. Türk