Cnil : du respect des formalités

Publié par le

Le 28 juin dernier, la Cnil a condamné, pour la première fois, une entreprise à une amende de plus de 45 000 €. Une condamnation qui s'inscrit dans son choix tant d'exercer ses pouvoirs, lui permettant de prononcer des sanctions financières pouvant aller jusqu'à 300 000 €, que de renforcer ses contrôles. Des contrôles, qu'elle a, d'ores et déjà, commencé à mener dans le secteur de la vente à distance.

  • Imprimer


Si tous les acteurs de ce secteur – qu'il s'agisse des responsables fichiers, des informaticiens ou des créatifs – connaissent la loi Informatique Fichiers et Libertés, encore faut-il, qu'aujourd'hui, ils s'assurent de son respect. Leur première vérification devra être celle des déclarations, puisque cette problématique reste, en effet, un des axes majeurs des contrôles.

Déclaration simplifiée et fichiers clients

Bien que la loi du 6 août 2004 a prévu des dispenses de déclaration, il n'en demeure pas moins vrai que le secteur de la vente à distance reste toujours dans l'obligation de déclarer ses fichiers. Ces formalités déclaratives entraînent des particularités non négligeables pour les entreprises de vente à distance puisque, en fonction des logiciels utilisés, des données ou des traitements effectués, des demandes d'autorisation doivent être effectuées auprès de la Cnil. En effet, de simples interconnexions de fichiers, des scorings ou bien encore des flux transfrontières aux fins, par exemple, de confier les appels clients à un prestataire de services situé hors de la Communauté européenne, peuvent imposer des choix déclaratifs particuliers. Or, la Cnil a adopté une délibération, n°2005-112, le 7 juin 2005, portant création d'une norme simplifiée sur les fichiers de clients et de prospects. Désormais, ces traitements pourront faire l'objet d'un engagement de conformité à cette norme simplifiée. L'attrait de cette norme réside dans la possibilité pour les entreprises de vente à distance d'éviter des procédures de formalités déclaratives lourdes, en cas notamment de cession, location, échange de fichiers ou bien de flux transfrontières… Cette norme s'intéresse également directement à l'Internet, puisque les sites ayant pour finalité la gestion clientèle et commerciale pourront être déclarés selon ces formalités. Le choix offert par la Cnil de signaler un fichier clients, par déclaration simplifiée, ne doit toutefois pas faire oublier aux entreprises qu'en élisant ce mode déclaratif, elles s'engagent à respecter chacun des termes de la norme. Dès lors, les finalités, traitements, données ou bien encore les destinataires de ces données ne pourront être que ceux expressément visés dans la norme. A défaut, des sanctions pénales particulièrement graves existent, puisque des peines d'emprisonnement peuvent être prononcées.

Site web et crédit

Deux autres nouveautés méritent d'être soulignées côté déclaratif. La première concerne la dispense de déclaration des sites internet. Toutefois, seuls certains sites sont dispensés sachant que, là aussi, la nuance pour savoir si un site web doit être déclaré ou non est plutôt ténue. En effet, si un site vitrine collectant ou diffusant des données dans un but de communication est dispensé de déclaration, ceci n'est plus le cas pour les sites commerciaux de biens ou de services. Dès lors, là encore, seul un audit extrêmement précis des sites web, mais également des traitements effectués ou envisagés, pourra permettre d'identifier le cadre légal de déclaration. La deuxième nouveauté touche indirectement le secteur de la vente à distance, puisqu'elle concerne la gestion des crédits ou des prêts des établissements de crédit. Désormais, la Cnil facilite les formalités déclaratives, puisqu'elle a édicté une autorisation unique s'agissant des techniques de score, d'évaluation et de sélection de risques. Ces traitements peuvent faire l'objet d'un engagement de conformité par référence à une décision unique, sans qu'une demande d'autorisation en tant que telle ne soit effectuée par l'établissement de crédit auprès de la Cnil. Néanmoins, cette disposition, si elle précise strictement les caractéristiques du traitement luimême, impose aux entreprises d'autres contraintes, comme, par exemple, l'obligation de disposer de procédures écrites, détaillées et destinées aux personnels du réseau commercial aux fins d'expliciter clairement l'utilisation du score.

Brigitte Misse

Autres articles

19 sites e-commerce sanctionnés par la DGCCRF !
19 sites e-commerce sanctionnés par la DGCCRF !

19 sites e-commerce sanctionnés par la DGCCRF !

Par

En ce debut 2017 ce nest pas moins de 19 sites marchands qui ont ete condamnes par la DGCCRF des amendes administratives pour un total de 24 [...]

Laboratoire de l'expérience client : Prospective
Laboratoire de l'expérience client : Prospective

Laboratoire de l'expérience client : Prospective

Par

Organise par Publicis et les Echos du 30 juin au juillet 2016 Viva Technology rassemblait dans un meme lieu pas moins de 000 startups et une [...]