Traitement des données clients et impayés
RGPD. La Cnil publie ses recommandations pour permettre aux entreprises de respecter le règlement général sur la protection des données.
La Commission nationale informatique et liberté (Cnil) vient de publier au Journal officiel ses recommandations pour le traitement des données que les entreprises peuvent recueillir sur leurs clients, dans le cadre de la gestion commerciale et la gestion des impayés. Les recommandations de la Cnil n’ont pas de caractère obligatoire mais leur respect garantit à l’entreprise sa sécurité juridique. Les entreprises peuvent s’en écarter, à condition de pouvoir justifier leur choix dont elles restent responsables.
PRINCIPES DU RGPD
Le traitement des données doit être conforme au règlement général sur la protection des données (RGPD) qui vise à protéger les personnes physiques dont les données à caractère personnel font l’objet d’un traitement. Il s’agit de toute information permettant d’identifier une personne physique : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, identifiant d’un salarié, adresse IP, numéro de téléphone, localisation, etc. Un traitement de données est constitué par toute opération telle que collecte, enregistrement, conservation, extraction, etc. Il peut intervenir dans le cadre de la gestion du personnel, le recrutement, la comptabilité, la gestion des clients et des fournisseurs, la lutte contre la fraude, la sécurité ou la surveillance. Le RGPD repose sur une logique de transparence et de responsabilisation.
Il n’a plus de déclarations, de demandes d’autorisation ou de formalités préalables à accomplir (seules les entreprises de plus de 250 salariés doivent tenir un registre des traitements de données personnelles). C’est au chef d’entreprise de s’assurer que la protection des données personnelles est conforme aux exigences légales, y compris lorsque le traitement des données est effectué par un sous-traitant. La Cnil dispose d’un pouvoir de contrôle et de sanction (amende pouvant atteindre 4 % du chiffre d’affaires annuel). Les procédures viennent d’être simplifiées face à l’augmentation du nombre de plaintes pour faciliter le contrôle auprès des entreprises autres que les plus importantes (loi 2022-52 du 24 janvier 2022 et décret 2022-517 du 8 avril 2022). L’atteinte aux droits des personnes résultant de traitements informatiques est par ailleurs passible de sanctions pénales.
RECOMMANDATIONS POUR LA GESTION COMMERCIALE
En matière de gestion commerciale, les recommandations de la Cnil visent toutes les actions telles que les commandes, les livraisons, les réclamations, la prospection commerciale, les programmes de fidélité, la comptabilité, les statistiques et enquêtes de satisfaction, etc. Les clients ou prospects doivent être informés du traitement dont leurs données font l’objet. Ils doivent avoir donné leur consentement exprès, de préférence par écrit. Les données doivent être pertinentes et proportionnées à l’objectif poursuivi. Le traitement de données sensibles est particulièrement protégé (origine ethnique, orientation sexuelle, santé, opinions, religion, appartenance syndicale, données génétiques ou biométriques). Le traitement de données sensibles n’est pas interdit dès lors qu’il est effectué avec le consentement des personnes (données de santé pour une application médicale, orientation sexuelle pour un site de rencontres…).
Les données concernant les clients peuvent être conservées pendant toute la durée de la relation commerciale, puis pour une durée de trois ans à compter de la fin de la relation commerciale. À la fin du contrat, les données doivent être supprimées, sauf si leur archivage est rendu légalement obligatoire (données comptables et fiscales par exemple) ou justifié par un risque de contentieux (et dans la limite du délai de prescription). Cet archivage doit être effectué dans une base de données dédiée ou séparée de la base de données active. Les données concernant les prospect s peuvent être conservées pendant trois ans à compter de leur collecte ou du dernier contact venant du prospect (ce dernier contact peut par exemple être le clic sur un lien figurant dans un courriel).
RECOMMANDATIONS POUR LA GESTION DES IMPAYÉS
Les recommandations de la Cnil visent les traitements dont l’objectif est de recenser les impayés et d’identifier les débiteurs en vue de les exclure de toute transaction à venir. Elles ne s’appliquent pas aux traitements permettant de détecter un risque d’impayé (« scoring ») ou de recenser les manquements autres que pécuniaires (comportements abusifs ou incivilités des clients par exemple). Elles ne s’appliquent pas à l’enrichissement d’une base de données collectées par des tiers, ni à la mutualisation de données sur les personnes en situation d’impayé avec des tiers.
L’information des débiteurs doit être renforcée pour tenir compte des conséquences qui peuvent être liées à son inscription dans un fichier d’exclusion (refus de prestation, par exemple). L’information doit porter sur l’existence du traitement et sur les modalités d’inscription dans le fichier des débiteurs, soit au moment de la conclusion du contrat, soit au moment de la collecte des données ou avant d’effectuer le traitement. En cas d’impayé, le débiteur doit être informé des modalités de régularisation de son paiement, de présentation de ses observations ou de demande de réexamen de sa situation. Après régularisation du paiement, les données ne doivent être conservées que 48 heures. En l’absence de régularisation de l’impayé, le débiteur doit être informé de son inscription dans le fichier d’exclusion. Les données peuvent alors être conservées pendant cinq ans à compter de l’impayé.