Expertises judiciaires ICE et Audit
Contrat
Call center externalisé : qui est responsable de la sécurité des données personnelles ?
Composante essentielle de la gestion de la relation clientèle (GRC), surtout lorsqu’elle est équipée du Couplage Téléphonie et Informatique (CTI), le centre d’appel téléphonique ou centre de relation clients (ou encore Call Center) ne résiste pas à l’attrait économique de l’externalisation, surtout s’il est délocalisé. Au-delà des aspects contractuels communs à toute opération d’externalisation de cette nature, qui impose de gérer avec précaution les questions liées aux niveaux de services et indicateurs de qualité (1), à la responsabilité, à la réversibilité ou encore au droit applicable, le recours à un centre de relation clients externalisé impose de s’attarder sur le sort des données à caractère personnel collectées, source de risque. Il ne fait aucun doute qu’en sa qualité de « personne responsable du traitement » (2), l’infogéré sera tenu des formalités déclaratives imposées par la loi et du respect des obligations qu’elle contient. En plus des sanctions pénales, la loi du 6 août 2004 permet à la Cnil de prononcer des sanctions pécuniaires. L’infogérant est dans ce contexte qualifié de « sous-traitant », ce qui rend nécessaire la conclusion d’un contrat conforme aux exigences légales posées par la loi Informatique et libertés. Le contrat doit en particulier indiquer que l’infogérant agit sous l’autorité du responsable du traitement et sur instructions de ce dernier et qu’il ne peut agir sur le traitement, en dehors de ce cadre. Il doit aussi indiquer les obligations incombant à l’infogérant en matière de protection de la sécurité et de la confidentialité. Il convient en outre, toujours conformément à la loi Informatique et libertés, de vérifier que l’infogérant présente les garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité nécessaires à la préservation des données collectées et traitées dans le cadre du Call Center. Si par ailleurs, l’infogérant n’est pas situé sur le territoire national ou sur celui de l’Union européenne, la problématique d’un possible flux transfrontière de données à caractère personnel, nécessitera aussi une attention toute particulière.
(1) La norme NFX50-798 spécifie les engagements de service des centres de relation clients
(2) Au sens de la loi Informatique, fichiers et libertés
Paru dans la JTIT n°56/2006 p.2
(Mise en ligne Septembre 2006)