Publication de la nouvelle norme simplifiée 48 de la Cnil

La Cnil a modifié cet été sa norme simplifiée 48 sur les traitements de données à caractère personnel relatifs à la gestion de clients et de prospects [1]. Elle vient d’être publiée au Journal Officiel en date du 16 septembre 2016.

Pour mémoire, tout traitement de données à caractère personnel doit par principe faire l’objet d’une déclaration préalable auprès de la Cnil.

Les traitements de données mis en œuvre dans le cadre de la gestion des clients et prospects n’échappent pas à cette règle (base de données clients, liste de diffusion d’une newsletter, historique des commandes, suivi des participants à un jeu-concours,…).

La déclaration simplifiée de traitement de données

Néanmoins, pour les traitements ne présentant pas de risque particulier pour les droits et libertés des personnes, la Cnil peut élaborer des normes simplifiées.

Il s’agit de délibérations de la Cnil qui visent à permettre aux organismes mettant en place un traitement de données à caractère personnel conforme à cette norme d’effectuer, non pas une déclaration normale pour leurs traitements auprès de la Cnil, mais un simple engagement de conformité à ladite norme simplifiée, aussi désignée sous l’appellation « déclaration simplifiée ».

Pour résumer : si je mets en place un traitement de données à caractère personnel strictement conforme aux précisions figurant dans une norme simplifiée élaborée par la Cnil, alors je peux faire un simple engagement de conformité à la norme simplifiée en question et je n’ai pas besoin de procéder à une déclaration dite « normale ».

La norme simplifiée 48 a été adoptée en 2005 [2], puis modifiée en 2012 [3] et vient une fois encore d’être actualisée afin de tenir compte des évolutions législatives et réglementaires applicables en matière de gestion des clients et prospects.

Traitements de données personnelles concernés par la norme simplifiée 48 de la CNIL

Ainsi, à ce jour, la norme simplifiée 48 vise notamment les traitements de données personnelles ayant pour finalités :

  • la gestion des clients (commande, contrat, livraison, facture, règlement, comptabilité, impayés et contentieux),
  • la prospection (en ce incluant les opérations de ciblage et de segmentation mais également les opérations techniques associées),
  • les opérations de fidélisation,
  • l’élaboration de statistiques commerciales,
  • la cession, la location ou l’échange de fichiers de clients et de prospects,
  • l’organisation de jeux concours, de loteries ou de toute opération promotionnelle,
  • la gestion des demandes de droit d’accès, de rectification et d’opposition,
  • la gestion des impayés et du contentieux,
  • et la gestion des avis des personnes sur des produits, services ou contenus.

Sont en revanche exclus du champ de cette norme :

  • les traitements mis en œuvre par les établissements bancaires ou assimilés, les entreprises d’assurances, de santé et d’éducation,
  • les traitements relatifs à l’organisation de jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de Régulation des Jeux en Ligne
  • et les traitements susceptibles d’exclure des personnes au bénéfice d’un droit, d’une prestation ou d’un contrat.
  • De même, les traitements susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ou des données relatives à des infractions ne peuvent pas être régis par cette norme simplifiée.

Modalités et exemples concernant les traitements visés par la norme simplifiée 48 de la CNIL

Outre les précisions relatives à son champ d’application, la norme simplifiée 48, construite comme toutes les autres normes simplifiées de la Cnil, liste :

  • les informations susceptibles de faire l’objet du traitement ;
  • les personnes ou organismes pouvant être destinataires des données (le détail des destinataires incluant désormais l’organisme en charge de la gestion de la liste nationale d’opposition au démarchage téléphonique, effectivement en place depuis le mois de juin 2016 [4]) ;
  • la durée de conservation des données (des précisions opportunes sont apportées sur ce point dans la nouvelle version de la norme s’agissant de la durée de conservation des données des clients, des prospects, des informations de carte bancaire, des cookies, etc.) ;
  • les modalités d’information, voire de recueil du consentement, et d’opposition des personnes concernées s’agissant du traitement de leurs données, des opérations de prospection pouvant être effectuées mais également des cookies et autres traceurs pouvant être utilisés dans le cadre de l’utilisation d’un site web ;
  • les mesures à déployer pour assurer la sécurité et la confidentialité des données (notamment pour ce qui concerne l’utilisation de moyens de paiement à distance) ;
  • les précautions à prendre en cas de flux transfrontières de données.

 

Par ailleurs, la Cnil profite de cette mise à jour de la norme simplifiée 48 pour y apporter des précisions pratiques et des exemples afin de faciliter sa lecture et sa compréhension.

Les organismes privés et publics ayant effectué une déclaration simplifiée en référence à la norme simplifiée 48 qui ne respectent pas les conditions fixées par la présente délibération disposent d’un délai de douze mois à compter de la publication de celle-ci (cf. publication au journal officiel en date du 14 septembre 2016) pour mettre leur traitement en conformité. Il n’est pas nécessaire que ces organismes procèdent à un nouvel engagement de conformité à la présente norme.

 

A l’inverse, les organismes qui ne respectent pas strictement les précisions figurant dans cette norme simplifiée doivent procéder à une déclaration normale auprès de la Cnil.

Il est tout de même précisé que plus un traitement de données clients / prospects sera éloigné de cette norme simplifiée (qui en pratique représente la doctrine de la Cnil sur ce type de traitements), plus il existe un risque que le traitement mis en œuvre soit considéré comme non conforme aux principes résultants des dispositions légales et réglementaires applicables (cf. durée de conservation proportionnée, pertinence, adéquation et non excessivité des données, encadrement des transferts de données vers l’étranger,…).

 

Cette actualisation de la norme simplifiée 48 doit ainsi être l’occasion pour tout responsable de traitement de se pencher sur ses pratiques en matière de gestion des fichiers clients et prospects afin :
(i) de vérifier si ses traitements sont conformes aux recommandations de la Cnil et
(ii) d’effectuer les opérations de mise en conformité et formalités adéquates auprès de la Cnil (engagement de conformité à la norme simplifiée 48 ou déclaration normale).

Références

[1] Cnil, Délib.2016-264 du 21-7-2016.

[2] Cnil, Délib.2005-112 du 7-6-2005.

[3] Cnil, Délib.2012-209 du 21-6-2012.

[4] Cf. liste Opposetel.

CNIL Norme simplifiée NS-048 (déclarer un fichier)