Délibération n° 2016-264 du 21 juillet 2016 portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0214 du 14 septembre 2016 |
| Record Number | JORFTEXT000033117877 |
| Enactment Date | 21 juillet 2016 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Date de publication | 14 septembre 2016 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du 12 juillet 2002 concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive 2009/136/CE du 25 novembre 2009 ;
Vu le code de la consommation, notamment ses articles L. 213-1, L. 221-18, L. 223-1 et suivants et L. 242-16 ;
Vu le code des postes et des communications électroniques, notamment son article L. 34-5 ;
Vu le code monétaire et financier, notamment son article L. 133-24 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 24-I ;
Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;
Vu l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2015-556 du 19 mai 2015 modifié relatif à la liste d'opposition au démarchage téléphonique ;
Vu la délibération n° 2005-112 du 7 juin 2005 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects et portant abrogation des normes simplifiées 11, 17 et 25 ;
Vu la délibération n° 2005-213 du 11 octobre 2005 portant adoption d'une recommandation concernant les modalités d'archivage électronique, dans le secteur privé, de données à caractère personnel ;
Vu la délibération n° 2013-358 du 14 novembre 2013 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 03-034 du 19 juin 2003 ;
Vu la délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978 ;
Vu la délibération n° 2016-165 du 26 mai 2016 portant avis sur un projet de résolution de l'assemblée générale de la société Opposetel relative à la création d'un téléservice, dénommé « Bloctel », ayant pour finalité la gestion de la liste d'opposition au démarchage téléphonique ;
Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
En application de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants dont la mise en œuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Les traitements informatisés relatifs à la gestion de clients et de prospects sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Cette norme permet aux responsables de traitement d'effectuer une déclaration simplifiée, dans les conditions qu'elle précise, pour les traitements relatifs à la gestion de clients et de prospects, à l'exclusion de ceux mis en œuvre par les établissements bancaires ou assimilés, les entreprises d'assurances, de santé et d'éducation.
La norme simplifiée n° 48 a été adoptée le 7 juin 2005 et modifiée le 21 juin 2012, compte tenu de l'évolution du commerce et des méthodes de prospection. Au regard des délibérations précitées adoptées depuis 2012, il est apparu nécessaire de l'actualiser.
Décide :
Champ d'application.
Peut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion de clients et de prospects qui répond aux conditions suivantes.
Les finalités des traitements.
Le traitement peut avoir tout ou partie des finalités suivantes :
- effectuer les opérations relatives à la gestion des clients concernant :
- les contrats ;
- les commandes ;
- les livraisons ;
- les factures ;
- la comptabilité, et en particulier la gestion des comptes clients ;
- un programme de fidélité au sein d'une entité ou de plusieurs entités juridiques ;
- le suivi de la relation client tel que la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après vente ;
- la sélection de clients pour réaliser des études, sondages et tests produits. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l'article 6 de la présente norme, ces opérations ne doivent pas conduire à l'établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;
- effectuer des opérations relatives à la prospection :
- la gestion d'opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l'enrichissement et la déduplication) ;
- la sélection de personnes pour réaliser des actions de fidélisation, de prospection, d'étude, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l'article 6 de la présente norme, ces opérations ne doivent pas conduire à l'établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;
- la réalisation d'opérations de sollicitations ;
- l'élaboration de statistiques commerciales ;
- la cession, la location ou l'échange de ses fichiers de clients et de ses fichiers de prospects ;
- l'actualisation de ses fichiers de prospection par l'organisme en charge de la gestion de la liste d'opposition au démarchage téléphonique, en application des dispositions du code de la consommation ;
- l'organisation de jeux-concours, de loteries ou de toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de régulation des jeux en ligne ;
- la gestion des demandes de droit d'accès, de rectification et d'opposition ;
- la gestion des impayés et du contentieux, à condition qu'elle ne porte pas sur des infractions et/ou qu'elle n'entraîne pas une exclusion de la personne du bénéfice d'un droit, d'une prestation ou d'un contrat ;
- la gestion des avis des personnes sur des produits, services ou contenus.
Informations collectées et traitées.
Les données susceptibles d'être traitées pour la réalisation des finalités décrites à l'article 2 sont :
a) L'identité : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses de courrier électronique, date de naissance, code interne de traitement permettant l'identification du client. Ce code interne de traitement ne peut être le numéro d'inscription au répertoire national d'identification des personnes physiques (« numéro de sécurité sociale »), ni le numéro de carte bancaire, ni le numéro d'un titre d'identité. Une copie d'un titre d'identité peut être conservée aux fins de preuve de l'exercice d'un droit d'accès, de rectification ou d'opposition ou pour répondre à une obligation légale ;
b) Les données relatives aux moyens de paiement : relevé d'identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte bancaire, cryptogramme visuel (ce dernier ne devant pas être conservé, conformément à l'article 5 de la présente norme) ;
c) Les données relatives à la transaction telles que le numéro de la...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI