Cadre juridique pour l’utilisation des données clients

Le volume et la richesse des données clients ne cessent de progresser. L’exploitation de ces données se diversifient, la gouvernance de son traitement évolue, des règles de transparence existent. Pour harmoniser les pratiques au sein de l’Union Européenne, un règlement européen sur la protection des données à caractère personnel a été publié au Journal Officiel le 4 mai 2016. Avec l’expertise de Daniel Lasserre, avocat spécialisé du Cabinet Exeme, ce webséminaire fait le tour des nouvelles obligations, des droits des personnes élargis, des pouvoirs de sanction renforcés avant la mise en application au 25 mai 2018.

Le webséminaire en replay

Le programme

Le webséminaire revient sur un court historique des réglementations en matière de protection des données personnelles puis aborde les objectifs, les grands principes du nouveau règlement. Des zooms précis sur certains articles permettent d’aborder les nouvelles obligations majeures et des préconisations pour leur mise en oeuvre.

Les intervenants

Daniel Lasserre est avocat associé au Cabinet Exeme. Sépcialisé dans le droit commercial, il exerce son activité dans les domaines du droit des affaires dans le domaine des nouvelles technologies et en droit pénal. Son mail : d.lasserre@exeme-avocats.com

Les ressources

Retrouvez le rediffusion du webséminaire sur Youtube ainsi qu’un résumé de l’intervention avec les points à retenir et une foire aux questions.

Le webséminaire est en replay sur https://monatourisme.adobeconnect.com/pmjrkytnlhge/

Trois points de résumé pour poser le cadre :

  • Je ne suis plus dans un régime déclaratif mais dans un régime de responsabilisation
  • Je suis dans l’obligation de préciser explicitement l’usage ou les usages des données récoltées auprès des usagers
  • Je suis dans l’obligation de mettre en place une gouvernance et une normalisation pour la collecte, le traitement, l’exploitation des données

Où en est-on ? 

92 % des dirigeants du secteur privé ne se sentent pas prêts à mettre en place cette réglementation dans les temps.
Au niveaux des collectivités, si ⅔ des régions et ⅓ des collectivités de grandes tailles (départements et métropoles) déclarent travailler sur ces thématiques et déployer les moyens sur la mise en oeuvre, ce sont seulement 10 % des collectivités locales et 2 % des communes qui se sentent armées pour y faire face.

Les grands principes du règlement : 

  • responsabiliser les acteurs traitant des données
  • renforcer le droit des personnes (exemple : droit à la portabilité des données, protection des mineurs…)
  • crédibiliser le régularisation de la gestion des données notamment transfrontalière

Les grandes mesures : 

  • consentement clair et explicite des usagers pour la collecte de leurs données
  • préciser à quelles fins ces données sont collectées
  • préciser clairemement les usages direct et indirect ?
  • droit de modification, suppression
  • responsabilisation sur la sécurité des données conservées
  • Le texte tend à favoriser les pseudonymes pour l’anonymat. On parle de pseudonymisation et d’anonymisationLes articles 5 et 6 renforcent les principes relatifs au traitement des données à caractère personnel déjà abordés dans les précédentes règlementations

Zoom sur de nouvelles obligations :

  • Signalement de toute anomalie détectée dans un délai maximum de 72h après la détection du problème
  • Création et identification d’un délégué à la protection des données qui doit gérer les données bien sûr mais aussi les relations entre les gestionnaires des données (sous-traitants inclus) et les autorités de surveillance

Le rôle du « CIL » (Correspondant Informatique et Libertés) :

  • faire l’inventaire des données personnelles : quelles données, comment sont-elles traitées, à quelles fins sont-elle utilisées ?
  • identifier les procédures en cours sur le traitement des données personnels et les auditer
  • identifier les risques face aux pratiques ne correspondant plus au règlement et solliciter une étude d’impact par rapport aux risques identifiés
  • création d’un registre pour voir le suivi des données et ses usages

Les résultats de cette étude d’impact doivent être déclarés à la CNIL quand ces derniers ne sont pas conformes. Cette étude doit être externalisée pour rester indépendant. Les éléments relatifs à l’étude d’impact sont détaillés dans les Chapitres 5 et 6 de la réglementation

A terme, il est également possible, voire conseillée, de formaliser un code de conduite justifiant et certifiant le process de la gestion de ces données.

Récapitulatif :

  • désigner un pilote
  • cartographier la gestion de mes données
  • prioriser les ajustements face aux manquements identifiés
  • gérer les risques
  • organiser les processus interne
  • documenter la conformité (tenir à jour un registre)

Une foire aux questions

La conservation des données peut être de 2, 3, 5 ans… mais 10 ans ça marche aussi ? Est-ce suffisant de l’annoncer avant ?
Le texte impose de préciser la durée de conservation des données et il est de la responsabilité du gestionnaire de données de justifier pourquoi une telle durée de conservation.

Lorsque les OT ont de simples appels téléphoniques de clients qui souhaitent recevoir de la documentation, il faudrait leur demander leur autorisation de conserver leurs données (adresses, nom, email…) durant tant de temps ? et si on veut leur envoyer une newsletter, il faut leur demander aussi leur feu vert ?
Il faut apporter la preuve du consentement à la collecte de ces données. L’échange téléphonique seul ne permet pas de prouver ce consentement.

Un client nous a donné ses coordonnées pour l’envoi de documentation, à présent nous souhaitons envoyer une newsletter, peut-on les utiliser ? en notifiant qu’ils peuvent se désabonner ?
Schématiquement, cela veut dire que vous leur envoyez la documentation par mail et que sur ce mail il y a la proposition d’inscription avec toutes les explications de l’usage des données. Le « client » doit alors valider son consentement

Et plus largement pour les informations enregistrées dans la base Sirtaqui (ou autre outill partagé de GRC), qui est responsable ? qui doit informer les clients collectés ?…
Une des nouvelles obligations est la création d’un responsable des traitements et de la protection des données clients. Dans ce cadre là, c’est une gouvernance à repenser selon qui est propriétaire et responsable des données collectées.

Lors d’une formation Sirtaqui en Webmarketing, on nous a dit que nos fichier prospects devaient être déclarés (ou enregistrés ?) à la CNIL. Est-ce toujours d’actualité ?La déclaration est obligatoire jusqu’au 25 mai 2018, date de mise en application de ce nouveau règlement. Après, le régime sera donc différent et les déclarations obsolètes (en l’état actuel du règlement)

Peut-on annoncer par courriel ou par lettre à notre « client » qu’il est enregistré dans nos fichiers et qu’il a le droit de nous informer qu’il ne le souhaite pas. Ou devons-nous attendre son autorisation claire ?
Cela ne peut pas être qu’une information. Ce courriel ou lettre doit donc intégrer un formulaire de consentement. Le règlement reste peu clair à ce jour sur la façon de traiter les fichiers antérieurs pour se mettre dans les règles au 25 mai 2018.

Comme toute mise en place d’une démarche qualité (ISO ou autre…), peut-on se faire accompagner par un cabinet ? Avez-vous des noms de cabinets compétents ?
Il existe en effet des cabinets qui se spécialisent sur ces questions avec des juristes, des informaticiens. Une partie de l’accompagnement est possible avec des juristes afin de cibler tous les points de vigilance et les actions à mettre en oeuvre. Une deuxième étape se concentre sur l’analyse des risques, l’étude d’impact éventuelle et la mise en place de procédure.

Sur la durée d’utilisation des données : lors de l’abonnement d’un internaute à la newsletter, je dois préciser clairement pourquoi j’utilise ses données, je lui indique qu’il peut modifier son abonnement ou encore se désabonner à tout moment mais je ne peux pas lui donner une durée d’utilisation des données dans ce cas.
La durée est contrainte par l’acceptation du client. Doit-on lui proposer plusieurs durées, y aura t-il un délai maximum à respecter, cela doit-il être défini dans les procédures internes et le code de conduite de l’entreprise ? Cela reste en suspend.

 

Et pour aller plus loin

> Le Règlement européen

Les textes officiels européens sur la protection des données en date du 27 avril 2016 applicable au 25 mai 2018

Lire l'article

Les ressources de la CNIL sur le règlement européen

Des recherches du CNRS sur la Pseudonymisation et anonymisation

Les autres réglementations sur les données personnelles