Les traitements mis en place par les entreprises dans le cadre de leur gestion commerciale ou de la gestion de leurs impayés les conduisent à collecter des données, parfois sensibles, relatives à des personnes physiques (clients ou prospects). Pour les guider dans la mise en conformité de ces traitements de données, la Cnil a adopté deux référentiels, qui viennent d'être publiés au Journal officiel.
1° Un référentiel « gestion commerciale », s'adressant à l'ensemble des organismes privés et publics qui mettent en place des traitements de données pour la gestion de leur activité commerciale. Il propose des pistes de mise en conformité pour les fichiers « clients » et « prospects » de ces organismes. Il remplace la norme simplifiée n° 48 (NS-048), qui n’a plus de valeur juridique depuis l’entrée en application, le 25 mai 2018, du règlement général sur la protection des données (Règl. UE 2016/679 du 27-4-2016, dit « RGPD »).
Il fournit un cadre pour les traitements dont les finalités sont les suivantes : gestion des contrats (par exemple, gestion des commandes, de la livraison, de l'exécution du service ou de la fourniture du bien, des factures et paiements) ; gestion du programme de fidélité ; tenue de la comptabilité générale et des comptabilités auxiliaires qui peuvent lui être rattachées ; établissement de statistiques financières concernant les clients ; suivi de la relation client pour la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après-vente ; sélection de clients pour réaliser des études sur la qualité des produits ou des enquêtes de consommation (par exemple, des tests de produits, des statistiques de vente réalisées par l'organisme concerné) ; réalisation d'actions de prospection commerciale ; gestion des avis des personnes sur des produits, services ou contenus.
Le référentiel fournit notamment des précisions sur l'encadrement des opérations de transmission des données à des tiers à des fins de prospection commerciale, les durées de conservation des données et le traitement de données sensibles.
2° Le référentiel « gestion des impayés », qui s'adresse aux organismes de droit privé ou public mettant en œuvre un traitement de gestion des impayés avérés dans le cadre des transactions commerciales. À ce titre, le référentiel fournit un cadre aux traitements ayant pour objectif de recenser des impayés et d’identifier les personnes qui en sont à l’origine, afin de pouvoir exclure ces dernières de toute transaction à venir.
Il ne s'applique pas aux traitements mis en œuvre pour détecter un risque d'impayé ou recenser les manquements autres que pécuniaires (comme les incivilités des clients).
Le référentiel fournit notamment un cadre en ce qui concerne l'information due à la personne concernée, renforcée pour tenir compte des conséquences qui peuvent être liées à son inscription dans ce fichier (refus d'une prestation, par exemple). Il offre également des précisions sur la durée de conservation des données, qui devrait notamment être limitée à 48 h après un constat de régularisation.
A noter :
Les référentiels adoptés par la Cnil contiennent des préconisations, sans caractère obligatoire. Les entreprises peuvent choisir de s’en écarter au regard des conditions particulières tenant à leur situation. Ils permettent toutefois d’offrir de la sécurité juridique à ceux qui les suivent.
La Cnil a également publié sur son site internet une liste de réponses aux questions les plus courantes concernant ces deux référentiels (https://www.cnil.fr/fr/questions-reponses-sur-les-referentiels-relatifs-la-gestion-des-activites-commerciales-et-des)