• Données personnelles

    Modification de la NS 48 : les nouveautés en 10 points.

    La norme simplifiée n°48 de la CNIL, qui vise les traitements de données personnelles relatifs à la gestion des clients et prospects, a été actualisée par délibération du 21 juillet 2016.

    Cette mise à jour vise essentiellement à :

    • intégrer la loi interdisant le démarchage téléphonique des personnes inscrites sur la liste d’opposition,
    • intégrer les dernières recommandations de la CNIL concernant les cookies et les données bancaires,
    • expliciter certains points pour une meilleure compréhension, et afin d’intégrer la jurisprudence de la CNIL.

    Cette norme demeure ainsi un outil de référence pour les responsables de traitement en ce qu’elle tend à rappeler l’ensemble des bonnes pratiques à suivre pour le traitement de données personnelles des clients et prospects.

    Les responsables de traitement ayant effectué une déclaration simplifiée en vertu de la précédente version de la norme n°48 ont un délai de 12 mois pour se mettre en conformité, sans qu’il soit nécessaire de renouveler leur engagement.

    1. Prise en compte de la réglementation sur le démarchage téléphonique :

    Il est désormais précisé que le traitement visé par la norme peut également avoir pour finalité l’actualisation des fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, lequel figure également au rang des destinataires de données.

    La norme rappelle les dispositions de l’article L223-1 du Code de la consommation précisant qu’il est interdit à un professionnel, directement ou par l’intermédiaire d’un tiers agissant pour son compte, de démarcher téléphoniquement un consommateur inscrit sur la liste d’opposition au démarchage téléphonique, sauf relations contractuelles préexistantes. Il est également précisé que la location ou la vente de fichiers contenant les données téléphoniques et coordonnées de consommateurs inscrits sur la liste est interdite.

    1. Données de cartes bancaires :

    La recommandation de la CNIL relative à la conservation des données de cartes bancaires  (n°2013-358 du 14 novembre 2013) est intégrée à la norme par référence. Ainsi, il est rappelé que les données relatives aux cartes bancaires, y compris le cryptogramme visuel, le numéro de la carte et sa date de validité doivent être supprimées dès le paiement effectif, sauf exceptions prévues par la recommandation.

    Les données de carte bancaire (sauf le cryptogramme visuel) peuvent être conservées par le responsable du traitement afin de faciliter les achats ultérieurs, sous réserve d’obtenir le consentement explicite de la personne, par exemple par le biais d’une case à cocher. Le responsable de traitement doit intégrer sur son site internet un moyen simple et gratuit pour le client de revenir sur le consentement ainsi donné.

    1. Cookies et mesures d’audience:

    La recommandation de la CNIL °2913-378 du 5 décembre 2013 est intégrée à la norme par référence. S’agissant de la durée de conservation des cookies et traceurs, ainsi que les données de fréquentation brutes associant un identifiant, elle est portée de 6 à 13 mois, conformément à la recommandation.

    1. Conservation des données :

    Archivage intermédiaire : conformément à sa recommandation de 2005 relative à l’archivage électronique, la CNIL rappelle que les données peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées conformément aux dispositions en vigueur. A cet effet, la norme précise que « il convient de prévoir une base de données d’archives dédiées ou une séparation logique dans la base de données active, après avoir opéré un tric des données pertinentes à archiver ».

    Analyses et statistiques : S’agissant de la conservation des données à des fins d’analyses ou d’élaboration de statistiques agrégées, au-delà de la durée de conservation fixée, il est précisé que ces données doivent être anonymisées de manière irréversible, en procédant à la purge de toutes les données personnelles, y compris les données indirectement identifiantes. Il est renvoyé à l’avis du G29 concernant les techniques d’anonymisation (avis du 10 avril 2014).

    Dernier contact : pour mémoire, la norme prévoit que les données relatives à un prospect non client peuvent être conservées pendant un délai de 3 ans à compter de leur collecte par le responsable de traitement ou du « dernier contact » émanant du prospect. Cette notion de « dernier contact » était cependant floue. La norme vient donc la préciser par des exemples directement tirés de la jurisprudence de la CNIL. Ainsi, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel constitue un dernier contact, tandis que l’ouverture d’un simple courriel ne l’est pas.

    Compte inactif : lorsque le compte en ligne d’un utilisateur est supprimé, les données associées doivent aussitôt être effacées, sous réserve des données dont la conservation est justifiée par la nécessaire preuve d’un droit ou d’un contrat, ou en vertu d’une obligation légale.

    Les comptes qui ne sont plus utilisés depuis un certain laps de temps doivent également être supprimés. Il appartient au responsable de traitement de déterminer ce laps de temps, conformément aux règles légales établies en matière de durée de conservation. La norme précise cependant, à titre d’exemple, qu’un délai d’inactivité de 2 ans peut être approprié pour un site de rencontres.

    Droit d’opposition : s’agissant de la gestion du droit d’opposition, il est précisé que seules les données nécessaires à la prise en compte du droit d’opposition doivent être conservées.

    1. Information des personnes :

    Rien de nouveau, mais la CNIL vient ajouter quelques précisions pour expliciter le devoir d’information. Ainsi, il est rappelé que l’information prévue par l’article 32 de la loi Informatique et Libertés qui doit être portée à la connaissance des personnes au moment de la collecte de leurs données doit notamment figurer sur tout questionnaire qui permettrait de recueillir les données, en ce compris par exemple les formulaires à compléter sur un site web.

    1. Habilitation des personnes :

    Il est précisé que seul le personnel « habilité » est autorisé à accéder aux données personnelles. Cette précision renvoie à la doctrine de la CNIL et aux bonnes pratiques en matière informatique qui veulent qu’une politique d’habilitation soit formalisée.

    1. Consentement et prospection électronique :

    La norme rappelle le principe de consentement préalable à recevoir de la prospection par voie électronique (opt-in), en élargissant la liste des dispositifs concernés puisque sont notamment visés les SMS, MMS, automate d’appel, courrier électronique, fax, ainsi que le bluetooth. Il est précisé que ce consentement correspond à une action positive et spécifique de l’utilisateur (par exemple une case à cocher dédiée).

    Il est également rappelé que pour les cas dans lesquels un consentement explicite n’est pas requis, la personne doit cependant pouvoir exercer son droit d’opposition (opt-out), ce au moment de la collecte de ses données, ce qui n’est pas toujours respecté en pratique. Il faut donc comprendre par exemple que lorsqu’un responsable de traitement envisage d’utiliser les données d’un client à des fins de prospection électronique pour des produits ou services analogues, il n’a pas besoin de recueillir le consentement exprès de son client (opt-in) mais il doit permettre au client de s’y opposer au moment de la collecte de ses données (opt-out via une case à cocher).

    1. Marketing et pratiques commerciales déloyales :

    La norme vient poser le principe selon lequel la participation à un jeu-concours, une loterie, l’achat d’un bien, le bénéfice d’une réduction ou la fourniture d’un service, ne peut être conditionné à la réception de prospection directe.

    Cette position est conforme aux dernières recommandations de la Commission Européenne relatives à la Directive sur les pratiques commerciales déloyales.

    1. Sécurité :

    La norme précise que les mots de passe ne doivent pas être stockés en clair. S’agissant de la collecte des pièces d’identité, il est précisé, au rang des mesures de sécurité spécifiques qui l’encadrent, que seul le recto de la pièce d’identité doit être fourni et que la photocopie doit être en noir et blanc.

    1. Transferts de données hors UE :

    La référence au Safe Harbor est supprimée suite à son invalidation, au profit d’une mention plus générale visant les pays reconnus comme assurant un niveau de protection adéquat en vertu de la législation interne ou des engagements internationaux.

    Mélanie DEFOORT

    Avocat