La déclaration des données personnelles de vos clients, une problématique en plein développement

DISCLAIMER 2018 : cet article n’est désormais plus à jour. Il convient de vous référer à l’article suivant : http://www.pacaud-avocat.fr/reglement-donnees-personnelles-impact/

Toutes les jeunes entreprises ayant vocation à contractualiser avec des personnes physiques vont rapidement procéder à la collecte de données de leurs clients, qu’il s’agisse, par exemple, de données de contact dans le cadre d’une landing page, de données de paiement lors d’une commande en ligne, ou d’un fichier marketing.

Ces données sont des données personnelles.

La CNIL est particulièrement vigilante quant au respect des règles applicables à ces données (voir également)

L’article 2 de la Loi Informatique et Libertés définit les données personnelles de la manière suivante :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

La collecte et le traitement de ces données à des fins commerciales, qu’il s’agisse de leur stockage ou de leur utilisation, répond à des règles précises qu’il est nécessaire de connaître en amont, afin de les intégrer à vos process internes.

L’article susmentionné définit le traitement de la manière suivante :

« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Dès que vous aurez à connaître des informations de vos clients, en tant que responsable de traitement, vous entrerez dans le champ de ces règles.

Il convient d’en tenir compte dès lors que les sanctions du non-respect de ces règles sont en effet conséquentes, à la fois sur le plan juridique mais également pour l’image de votre entreprise vis-à-vis de vos clients.

L’article L226-16 du Code Pénal prévoit notamment que :

« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. »

D’une manière générale, le non-respect des règles énoncées ci-après est soumis à des sanctions identiques.

En outre, le non-respect de ces règles, rendu public par un de vos clients, pourrait sensiblement dégrader la confiance de vos clients. La CNIL prévoit par ailleurs des sanctions de publicité du non-respect des règles, dans certaines situations.

La déclaration

Dans un premier temps, il convient d’identifier le type de traitement concerné. A cette fin, le site internet de la CNIL est particulièrement complet.

La CNIL met à disposition un système de normes simplifiées (fichiers client, gestion du personnel, traitements statistiques, certains fichiers financiers …), permettant de déclarer un fichier de données de manière rapide et quasi-automatique.

Il existe également des dispenses de déclaration pour les traitements les plus classiques (fichiers de communication non commerciale, fichiers de fournisseurs, archives …).

A l’exception de quelques cas limités de données sensibles (données de santé, biométriques, de sécurité sociale …), si votre traitement n’entre pas dans ces deux régimes, la déclaration normale s’appliquera.

Dans tous les cas, l’identification de votre type de traitement est fondamentale pour choisir la procédure adéquate.

La localisation géographique de vos données

Il conviendra également de connaître la circulation de votre fichier de données. En effet, si vos données sortent de l’Union Européenne, il sera nécessaire de vous assurer que les règles du pays concernées sont compatibles et équivalentes avec celles applicables sur le territoire européen. Les règles applicables varient selon le pays concerné – nous vous conseillons de faire appel à un avocat spécialisé ou un correspondant informatique et libertés afin de sécuriser votre position.

Les droits des titulaires des personnes physiques

La Loi Informatique et Libertés garantit aux personnes physiques plusieurs droits sur les données qui ont pu être collectées :

• Droit d’accès aux données,
• Droit de rectification des données,
• Droit d’opposition à figurer au sein d’un fichier,
• Droit au déréférencement, pour les moteurs de recherches.

Vos conditions d’utilisation ou de vente devront informer vos clients de ces droits et prévoir l’application pratique de ces droits (moyen de contact, délai de réponse).

En outre, vous devez informer vos clients :

• du détail de ce qui est collecté ainsi que la manière dont les données sont collectées (cookies, formulaires…),
• de l’usage qui sera fait de leur données (traitement interne, revente, usage pour améliorer le service client…), cet usage étant strictement limité à ce qui a été accepté par la personne physique.

Vos clients devront également être informés si les données personnelles quittent l’Union Européenne.

Il est en général conseillé de prévoir une adresse mail spécifique permettant à vos clients de vous contacter pour leur permettre d’appliquer leurs droits.

Une réponse doit être apportée au client dans un délai de deux mois. Si cela n’est pas le cas, la CNIL pourra être saisie par la personne physique.

Les données personnelles sont donc une problématique quotidienne pour les entreprises en contact avec une clientèle de consommateurs. La CNIL dispose de pouvoirs conséquents pour s’assurer du respect des règles applicables, et vos clients sont de plus en plus sensibles à l’usage qui est effectué de leurs données.

En conséquence, le respect de ces normes par votre entreprise est désormais fondamental. Cela vous permettra de limiter les risques juridiques et donc de vous focaliser sur votre cœur de métier.