Actualité : point de droit

Déclaration obligatoire des fichiers clients à la CNIL

Le 27/06/2013, par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

Formalités requises, procédure à suivre, identification de la déclaration à remplir, et sanctions encourues en l'absence de déclaration d'un fichier.

Par principe, tout fichier ou traitement informatique contenant des données personnelles doit faire l'objet d'une déclaration à la Commission nationale informatique et libertés (CNIL). Toutefois, les professionnels sont dispensés de formalités déclaratives lorsque les informations collectées ne portent pas attente à la vie privée ni aux libertés.

De plus, pour simplifier les démarches des entreprises, la Commission adopte régulièrement des normes simplifiées, permettant aux entreprises qui se conforment à ces règles, d'effectuer une déclaration simplifiée. Tel est le cas en matière de gestion des fichiers de clients et de prospects.

La norme contient les principales préconisations dégagées par la CNIL, en concertation avec les professionnels du marketing direct, pour l'envoi de sollicitations par courrier électronique ou par SMS et pour la commercialisation des fichiers d'adresses de courrier électronique.
Elle contient aussi des dispositions spécifiques dans le cadre de l'utilisation d'un service de communication au public en ligne, à savoir internet, en prévoyant le traitement des données de connexion et l'utilisation de "cookies". Elle fixe les durées de conservation en matière de gestion de fichiers de clientèle et établit une distinction entre la durée de conservation des données relatives aux clients et celles relatives aux prospects. Enfin, elle subordonne la cession, la location ou l'échange de données pouvant se révéler sensibles (ex : fichier d'abonnés à des magazines politiques) au recueil du consentement exprès des personnes concernées.

En pratique les fichiers de clients et de prospects qui ne respectent pas le cadre fixé par la norme n°48 restent soumis à déclaration normale auprès de la CNIL. Tel est, par exemple, le cas des fichiers nécessitant la transmission de données en dehors de l'Union européenne ou de la gestion d'un programme de fidélisation commun à plusieurs sociétés.
Toutefois, le fait de disposer d'un correspondant informatique et libertés (CIL) parmi les membres du personnel (le plus souvent choisi parmi les services RH ou direction/ gestion), facilite les choses. L'entreprise peut s'exonérer en tout ou partie de certaines formalités préalables lui incombant.

Dans les autres cas, une déclaration, une autorisation ou une demande d'avis sont requises.

Attention, l'entreprise qui ne se conforme pas à ses obligations, encoure des sanctions :

  • 5 ans d'emprisonnement et 300.000 euros d'amende : en cas de non-accomplissement des formalités auprès de la CNIL (article 226-16 du Code pénal) ;
  • 5 ans d'emprisonnement et de 300.000 euros d'amende : si non-respect de l'obligation de sécurité (article 226-17 du Code pénal) ;
  • 1.500 euros par infraction constatée (3.000 euros en cas de récidive) : en cas de refus ou l'entrave au bon exercice des droits des personnes (article 131-13 du Code pénal) ;
  • 5 ans d'emprisonnement et de 300.000 euros d'amende : s'il y a communication d'informations à des personnes non-autorisées (article 226-22 du Code pénal) ;
  • 3 ans d'emprisonnement et de 100.000 euros d'amende : pour des faits de divulgation d'informations par imprudence ou négligence (article 226-22 du Code pénal) ;
  • 5 ans d'emprisonnement et de 300.000 euros d'amende : s'il y a conservation de données pour une durée supérieure à celle qui a été déclarée (article 226-20 du Code pénal) ;
  • 5 ans d'emprisonnement et de 300.000 euros d'amende : en cas de détournement de la finalité du fichier (article 226-21 du Code pénal);

De plus, depuis un arrêt du 25 juin 2013 rendu par la Cour de cassation, un fichier non déclaré à la CNIL en violation des obligations incombant à l'entreprise, est considéré comme ayant un objet illicite, de sorte que n'étant pas dans le commerce, sa vente se trouve frappée de nullité, exonérant ainsi l'acheteur du paiement du prix lié à l'acquisition du fichier (Cass / Com. 25 juin 2013).

© 2013 Net-iris

   

Pour approfondir ce sujet :

Commentaires et réactions :



-