A
u milieu de la torpeur estivale de l’an dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié une mise à jour de sa déclaration simplifiée relative aux traitements des données de clients et de prospects (ou « Norme simplifiée 48 »). Le délai de mise en conformité avec cette nouvelle disposition expirera le 13 juillet prochain et impose aux entreprises d’analyser en détail la mise en œuvre de leurs traitements de données internes.
1. Le régime de la déclaration simplifiée
Si la loi n°78-17 dite « loi informatique et liberté » a pour objectif premier la protection des individus contre les dérives potentielles des traitements mis en œuvre par l’Etat ou les entreprises privées, elle a su préserver la nécessité pragmatique de faciliter les traitements les plus communs de la vie des affaires. Ainsi, par application de l’Article 24 de cette loi, la CNIL peut établir des normes, dites simplifiées, « pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés. »
Ces normes simplifiées prennent la forme d’un engagement de conformité au contenu de la norme par l’entité mettant en œuvre les traitements de données à caractère personnel (le responsable de traitement).
Dans la mesure où ces normes sont, en principe, édictées après consultation des acteurs concernés avec la CNIL, elles reflètent souvent un consensus équilibré satisfaisant une vaste majorité des traitements mis en œuvre et permettent d’atteindre un double objectif :
- pour la CNIL : le désengorgement (relatif) de ses services qui peuvent ainsi se focaliser sur les traitements ou innovation techniques posant des problèmes majeurs ; et
- pour les entreprises : le développement d’une conformité technique intégrée dès le développement des outils, plutôt que de devoir justifier d’une réalité technique devant la CNIL.
2. Les changements opérés par la nouvelle norme
La précédente Norme Simplifiée n°48 avait été publiée en 2005, à la suite de l’adoption de la loi pour la confiance dans l’économie numérique. Cependant, le développement des pratiques commerciales et marketing, ainsi que l’internationalisation des échanges, rendait ce texte moins adapté au plus grand nombre.
a. Les données et traitements visés
Si, de prime abord, il serait légitime de se féliciter de l’élargissement du périmètre de la Norme Simplifiée 48, cette opération a également apporté son lot de contradiction.
Les nouvelles opérations prises en compte
- La fidélisation, les sondages, les tests produits, l’organisation de jeux concours, loteries ou opération promotionnelles non soumises à agreement de l’ARJEL (et les données qui s’y rapportent) et la réalisation d’opérations de sollicitations viennent remplacer la « sollicitation » et compléter la prospection.
- La gestion des impayés et des contentieux, sous réserve du respect de la loi CNIL. Dans la mesure où de telles opérations semblent constituer le bout de chaine de la gestion de la commande client, objet premier de la Norme Simplifiée, la portée de cet ajout semble être dans un but purement pédagogique.
- Les données relatives à la sélection de personnes pour réaliser des actions de fidélisation et de prospection. Il s’agit ici de la segmentation des bases de données à l’exclusion des suggestions de catégories qui pourraient être opérées par des sous traitant ou consultant en marketing n’accédant pas aux données elles-mêmes.
- Les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus notamment leur pseudonyme : cette catégorie prend en marche le train de la sociabilisation sur internet des rapports entre entreprises et consommateurs.
Les curiosités maintenues
L’élaboration de statistiques commerciales. Dans la mesure où des pures statistiques concerneraient des données agrégées et anonymisées, elles ne rentreraient pas dans le champ d’application de la CNIL. Il faut donc comprendre de ce maintien sans plus de précision que sont visées les statistiques commerciales personnalisées pour des utilisateurs identifiés ou identifiables.
On notera également que la Norme Simplifiée 48 encadre également l’accès aux données des clients et prospects :
- par les sous-traitants, sous réserve, et c’est une nouveauté, que le contrat liant le responsable de traitement aux sous-traitant mentionne expressément les objectifs de sécurité devant être atteint. Auparavant, l’obligation légale se limitait à un rappel des « obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données » (article 25 de la loi CNIL), mais ne devait pas fixer les objectifs ; et
- par les « partenaires, sociétés extérieures ou les filiales d’un même groupe de société » sous réserve de l’information des personnes. C’est sans doute là l’innovation majeure de la Norme Simplifié, dans la mesure où aucun document contractuel n’est requis pour cette communication, ce qui accroit la souplesse des traitements.
b. Les durées de conservation
Les durées de conservation, précédemment fixée au maximum à un an après le dernier contact de la part du prospect ou après deux sollicitations successives restées sans réponse, ont été revues à la hausse, soit trois ans :
- après la fin de la relation commerciale pour les clients, ou
- après leur collecte pour les prospects. La CNIL prévoit la possibilité d’envoyer un ultime courrier de relance au terme de ce délai avant archivage des données. Seule une réponse « positive et explicite » de la personne pourrait relancer un nouveau délai de trois ans, à l’exception d’une réponse implicite à la relance, comme un acte d’achat, par exemple, qui transformerait le prospect en client.
En ce qui concerne les cookies de mesure d’audience (ou « analytics »), cependant, le raisonnement de la CNIL reprend sa position hostile au procédé. Ainsi, la durée de conservation est strictement limitée à six mois et, c’est là où le bas blesse, « les nouvelles visites ne doivent pas prolonger la durée de vie de ces information ».
A suivre la CNIL, il conviendrait donc, pour bénéficier de la Norme Simplifiée, de remplacer tout cookies d’analytics après une période ferme, non renouvelable, extrêmement courte et sans possibilité pour le responsable de traitement de pouvoir réconcilier le suivi de son audience.
En outre, les individus doivent pouvoir s’opposer de façon « aisée » à l’analyse de leur navigation, non sous forme d’analytics, mais d’analyse comportementale. Une telle prescription risque de disqualifier une vaste majorité des e-commerçants.
Enfin, la section sur les durées de conservation inclut également un rappel sur les conditions dans lesquelles les e-commerçants souhaitant bénéficier de la Norme Simplifiée peuvent mettre en place un système de mémorisation des coordonnées bancaires des clients (pour un achat rapide ou ultérieur) :
- nécessité de l’information sur cette finalité,
- recueil d’un consentement explicite par une case à cocher non « pré-cochée »,
- interdiction formelle de mémorisation du cryptogramme visuelle,
- suppression des données bancaires dès l’expiration de la carte mémorisée.
c. L’information et les droits des personnes
Si l’obligation d’information des personnes est la pierre angulaire de la loi CNIL, la Norme Simplifiée conditionne sa protection automatique à une spécificité qui ne réjouira pas les professionnelles.
Auparavant, la doctrine s’accordait à reconnaître que proposer un droit d’opposition dès l’inscription à un service relevait d’un manque de sens pratique (pourquoi s’inscrire à une newsletter si c’est pour s’en désinscrire à la ligne suivante ?). Le consensus sur la loi CNI était donc que ce droit d’opposition devait être indiqué comme existant et ses modalités détaillées dès la collecte puis proposé par la suite, notamment dans les newsletters.
La Norme Simplifiée va à l’encontre de cette logique en imposant un droit d’opposition effectif dès la collecte : « dans le cas d’une collecte via un formulaire, le droit d’opposition ou le recueil du consentement préalable doit pouvoir s’exprimer par un moyen simple et spécifique, tel qu’une case à cocher. Les mentions d’information et les modes d’expression de l’opposition ou du recueil du consentement doivent être lisibles, en langage clair et figurer sur les formulaires de collecte. »
d. Les transferts en dehors de l’Union européenne
Sous le régime antérieur, aucune disposition ne prévoyait la possibilité de transférer les données relatives aux clients et prospects en dehors de l’Union. Les responsables de traitements devaient donc notifier leur modalité de transfert (clauses types, règles internes, safe harbor) et attendre une réponse de la CNIL avant de les initier. En outre, le rattachement d’une modalité de transfert à un engagement de conformité en norme simplifié pouvait parfois désorienter les services de la CNIL qui demandaient le cas échéant de remplir une déclaration normale aux seules fins d’y adjoindre le document de transfert. Une telle procédure ralentissait le processus de transfert et créait une instabilité juridique pour les responsables de traitements.
Dorénavant, les modalités de transfert doivent avoir été mises en place, mais leur notification à la CNIL et son approbation ne sont plus un pré-requis.
En conséquence, le grand ménage de printemps s’impose avant l’été et il incombe à toute société de faire le point avec ses équipes techniques, marketing et ses conseils juridiques pour analyser dans quelle mesure les infrastructures mises en place correspondent aux nouvelles prescriptions de la CNIL et, le cas échéant, modifier l’état de leurs déclarations et effectuer des demandes ad hoc.
Cependant, il y a fort à parier que toute déviation par rapport à la Norme Simplifiée fera l’objet d’une attention toute particulière de la CNIL.