La norme simplifiée n°48 pour la gestion des fichiers clients et prospects a été de nouveau actualisée par la Cnil.
Cette actualisation (1) a pour objectif d’une part de prendre en considération les évolutions du commerce et des méthodes de prospection. D’autre part, elle vise à intégrer les recommandations contenues dans les délibérations de la Cnil adoptées depuis 2012, notamment dans la recommandation relative aux cookies (2) ou l’avis sur la création du téléservice « Bloctel » ayant pour finalité la gestion de la liste d’opposition au démarchage téléphonique (3).
Une mise en conformité de la norme simplifiée n°48 aux évolutions du commerce et des méthodes de prospection
La nouvelle norme simplifiée n°48 apporte un certain nombre d’éclairage sur les durées de conservation que les responsables de traitement devront strictement respecter s’ils souhaitent souscrire à un engagement de conformité à cette norme et ainsi pouvoir bénéficier des avantages de cette procédure simplifiée. La Cnil précise, en reprenant la logique de sa délibération de 2005 (4), les différences entre les archives courantes et les archives intermédiaires. S’agissant des « comptes utilisateurs », la Cnil énumère les conditions de conservation ou de suppression.
En outre, la Cnil étoffe la rédaction de sa nouvelle norme en ajoutant des exemples permettant d’en faciliter la compréhension. Ainsi, elle donne des exemples de ce qui peut être ou non considéré comme un contact émanant d’un prospect. En matière de sécurité, elle précise les conditions de conservation des pièces d’identité, etc.
Ensuite, toujours soucieuse de protéger les consommateurs, la Cnil rappelle les modalités pratiques d’information des personnes, notamment s’agissant des mentions devant figurer sur les questionnaires. A cet égard, elle précise que le terme « questionnaire » doit être entendu au sens large et inclut notamment « les formulaires à compléter sur un site web ».
Dans cette même logique, elle confirme que l’opposition d’une personne à des fins de prospection commerciale doit pouvoir intervenir à tout moment, sans avoir à être motivée.
Enfin, la Cnil a amendé les articles relatifs à la sécurité et aux transferts de données (ne sont dorénavant plus visés les principes Safe Harbor, qui ont été invalidés).
La prise en compte dans la nouvelle norme simplifiée n°48 des obligations liées à la création du téléservice « Bloctel »
La nouvelle norme simplifiée n°48 a défini comme finalité « l’actualisation [des] fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique ».
Par ailleurs, cet organisme figure dorénavant dans la liste des destinataires potentiels des données.
Enfin, s’agissant de l’information des personnes et de l’exercice de leurs droits, la Cnil rappelle expressément les nouvelles conditions applicables à la prospection par voie téléphonique auxquelles devront se conformer les responsables de traitement.
L’intégration des recommandations de la Cnil sur les cookies
Pour ce faire, la Cnil, en renvoyant à sa recommandation de 2013 sur le sujet, a ajouté à la liste des informations collectées et traitées, celles collectées par le biais des cookies et autres traceurs.
Dans sa nouvelle norme simplifiée n°48, la Cnil a aligné les durées de conservation sur celles prévues dans sa recommandation, en consacrant ainsi la durée de conservation de 13 mois, tant au sujet des statistiques de mesures d’audience que des données de fréquentation brutes.
La consécration des recommandations de la Cnil sur les données bancaires
La Cnil ajoute à la liste des données traitées le cryptogramme visuel, tout en précisant que ce dernier ne devra pas être conservé.
La nouvelle norme simplifiée n°48 précise également, conformément aux délibérations de la Cnil, les durées de conservation des données bancaires. Ainsi, en particulier, la Cnil affine la rédaction de la norme sur la possibilité, pour les responsables de traitement, de conserver les données de leurs clients pour la réalisation de transactions ultérieures.
Cette nouvelle délibération abroge la précédente délibération n° 2012-209 du 21 juin 2012 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects.
La Cnil fixe un délai de 12 mois à compter de la publication de la norme à tous les organismes privés et publics ayant effectué une déclaration simplifiée en référence à l’ancienne norme pour se mettre en conformité avec la nouvelle norme simplifiée n°48.
Aussi, il importe, pour les responsables de traitement qui ont fait un engagement de conformité à l’ancienne norme simplifiée, de vérifier qu’ils sont conformes à la nouvelle. Dans le cas contraire, ils devront établir une déclaration normale, le délai accordé étant antérieur à mai 2018, date à laquelle le règlement européen 2016/679 (5) sera effectivement contraignant et dispensera les responsables de traitement de toute formalité.
Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique
(1) Cnil, Délib. 2016-264 du 21-7-2016
(2) Cnil, Délib. 2013-278 du 5-12-2013
(3) Cnil, Délib. 2016-264 du 21-7-2016
(4) Cnil, Délib. 2005-213 du 11-10-2005
(5) Règl. (UE) 2016/679 du 27-4-2016 : JOUE 2016 L 119 p.1.