Le Customer Relationship  Management est la gestion optimisée de la relation client par la mise en place et l’exploitation de processus et d’outils logiciels dédiés. Le CRM est basé sur l’utilisation de bases de données nominatives et de données comportementales. Le CRM touche plusieurs métiers et canaux de l’entreprise (Inputs Clients Multicanal) et essentiellement la gestion de comptes et de contacts clients, la gestion des forces de vente, la gestion des campagnes marketing, la gestion du service clients  :

Source graphique : Maximizer CRM

L’approche droit des données personnelles du CRM est une approche segmentée : la loi du 6 janvier 1978 considère avant tout la finalité du traitement de données personnelles (comptabilité, prospection  …). Les principes généraux de la loi Informatique et libertés ont donc vocation à s’appliquer i) par catégories de fichier et ii) selon les normes simplifiées applicables (l’approche métier).

La déclaration simplifiée CRM 

La Délibération no 2005-112 du 7 juin 2005 modifiée (norme simplifiée no 48) fixe le régime applicable aux traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects. Elle permet aux responsables de traitement d’effectuer une déclaration simplifiée pour les traitements relatifs aux personnes avec lesquelles des relations contractuelles sont nouées, les clients et les clients potentiels, simples prospects.

Attention : la NS48 ne s’applique pas :

i) aux établissements bancaires ou assimilés, les entreprises d’assurances, de santé et d’éducation ;

ii) aux traitements qui, du fait de leur nature, de leur portée ou de leurs finalités, sont susceptibles d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat.

Nota : les traitements en question sont ceux qui ont pour finalité l’exclusion mais aussi ceux qui, alors même que la finalité du traitement ne réside pas dans l’exclusion, ont pour nature ou pour portée d’exclure du bénéfice d’un droit, d’une prestation ou d’un contrat (exemple PREVENTEL … ). 

iii) aux  traitements comportant la transmission de données vers des pays tiers à l’Union européenne, y compris lorsque cette transmission est réalisée dans le cadre d’opérations de sous-traitance.

Peut bénéficier de la NS48, le traitement automatisé relatif à la gestion des fichiers de clients et de prospects doit répondre aux conditions suivantes :

Finalités du traitement

Le traitement peut avoir tout ou partie des finalités suivantes :

– effectuer les opérations relatives à la gestion des clients concernant :
– les contrats ;
– les commandes ;
– les livraisons ;
– les factures ;
– la comptabilité et en particulier la gestion des comptes clients ;
– la gestion d’un programme de fidélité à l’exclusion des programmes communs à plusieurs sociétés ;
– effectuer des opérations relatives à la prospection :
– constitution et gestion d’un fichier de prospects (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) ;
– la sélection de clients pour réaliser des actions de prospection et de promotion ;
– la cession, la location ou l’échange du fichier de clients et de prospects ;
– l’élaboration de statistiques commerciales ;
– l’envoi de sollicitations.

Les données traitées

Les données susceptibles d’être traitées pour la réalisation des finalités citées sont :

L’identité : nom, prénoms, adresse, numéro de téléphone (fixe ou mobile), numéro de télécopie, adresse de courrier électronique, date de naissance, code interne de traitement permettant l’identification du client (ce code interne de traitement ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques, le numéro de sécurité sociale ni le numéro de carte bancaire) ;

Les données relatives aux moyens de paiement : relevé d’identité postale ou bancaire, numéro de la transaction, numéro de chèque, numéro de carte bancaire ;

La situation familiale, économique et financière : nombre et âge du ou des enfant(s) au foyer, profession, domaine d’activité, catégorie socio-professionnelle ;

Les données relatives à la relation commerciale : demandes de documentation, demandes d’essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats, retour des produits, origine de la vente (vendeur, représentant) ou de la commande, correspondances avec le client et service après-vente ;

Les données relatives aux règlements des factures : modalités de règlements, remises consenties, informations relatives aux crédits souscrits (montant et durée, nom de l’organisme prêteur), reçus, impayés, soldes.

Données collectées en ligne

La NS48 s’applique également pour les données collectées à partir des réseaux de communication électronique.  Peuvent ainsi être exploitées des données de connexion (date, heure, adresse Internet, protocole de l’ordinateur du visiteur, page consultée) mais à des seules fins statistiques d’estimation de la fréquentation du site.

Lorsque l’éditeur du Site utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l’équipement terminal de connexion de l’utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, active X), les utilisateurs doivent être  informés de la finalité de l’utilisation de ces procédés et des moyens dont ils disposent pour s’y opposer.

Destinataires des données

Seules personnes habilitées à traiter les données peuvent avoir accès aux données à caractère
personnel :

– les personnels chargés du service commercial et des services administratifs ;
– les supérieurs hiérarchiques de ces personnels ;
– les services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle…) ;
– les entreprises extérieures liées contractuellement pour l’exécution d’un contrat.

Ces personnes sont soumises à une obligation de confidentialité des données à caractère personnel en leur possession.

Peuvent aussi être destinataires des données, dans les limites de leurs attributions respectives :

– les organismes publics, exclusivement pour répondre aux obligations légales ;
– les auxiliaires de justice et les officiers ministériels dans le cadre de leur mission de recouvrement de créances ;
– les organismes chargés d’effectuer les recouvrements de créances.

Cession des données de prospects / données clients  

Les données relatives à l’identité (à l’exclusion du code interne de traitement permettant l’identification du client) ainsi que les informations relatives à la situation familiale, économique et financière peuvent être cédées, louées ou échangées, dès lors que les organismes destinataires s’engagent à ne les exploiter que pour s’adresser directement aux intéressés, pour des finalités exclusivement commerciales.

Les données relatives à la relation commerciale susceptibles, eu égard au type de documentation demandé, à la nature du produit acheté, du service ou de l’abonnement souscrit, de faire apparaître indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou qui sont relatives à la vie sexuelle de celles-ci ne peuvent être cédées, louées ou échangées qu’après avoir recueilli le consentement exprès de la personne concernée.

Durée de conservation des données

Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale à l’exception de celles nécessaires à l’établissement de la preuve d’un droit ou d’un contrat qui peuvent être archivées conformément aux dispositions du code de commerce relatives à la durée de conservation des livres et documents créés à l’occasion d’activités commerciales et du code de la consommation relatives à la conservation des contrats conclus par voie électronique (10 ans).

Les données à caractère personnel relatives aux prospects ne peuvent être conservées que pour la durée pendant laquelle elles sont nécessaires à la réalisation des opérations de prospection.

La CNIL recommande que les données collectées auprès de prospects soient supprimées au maximum un an après le dernier contact de leur part ou lorsqu’ils n’ont pas répondu à deux sollicitations successives.

Information des personnes concernées.

Les personnes concernées sont informées, au moment de la collecte de leurs données, de l’identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données et de leurs droits d’accès, de rectification et d’opposition, pour des motifs légitimes, au traitement de leurs données, sauf dans les cas où le traitement répond à une obligation légale.

Lorsque les données sont utilisées à des fins de prospection, notamment commerciale, les personnes concernées sont informées qu’elles peuvent s’y opposer sans frais et sans justification.

E-mailing commercial 

L’envoi de prospection commerciale par voie électronique est subordonnée au principe de l’opt-in (recueil du consentement préalable des personnes concernées, sauf dans les cas d’une relation client-entreprise préexistante et d’une prospection entre professionnels).

Dans le cas d’une collecte via un formulaire, le droit d’opposition ou le recueil du consentement préalable doit s’exprimer par un moyen simple tel que l’apposition d’une case à cocher.

Sécurité des données

Le responsable du traitement doit prendre toutes précautions utiles pour préserver la sécurité des données collectées et notamment, empêcher qu’elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.

Dans le cas de l’utilisation d’un service de communication au public en ligne, le responsable de traitement doit prendre les mesures nécessaires pour se prémunir contre tout accès non autorisé au système de traitement automatisé de données.

Lorsqu’un moyen de paiement à distance est utilisé, le responsable de traitement doit prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l’état de l’art.

Les Centres d’appels

Dans le cadre de leurs opérations de prospection téléphoniques, les entreprises  ont de plus en plus recours à des Centre d’appels et prestataires (localisés en France ou hors de l’Union européenne).

La CNIL contrôle ponctuellement ces Centres d’appels en charge notamment de prospection téléphonique mais aussi de prestations de suivi de commande, d’assistance technique, d’information etc.

Le recours à ces prestataires est autorisé, notamment dans le cadre d’un contrat de sous-traitance. L’article 35 de la loi du 6 janvier 1978 aura vocation à s’appliquer :

« Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité des données. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » 

Concernant en particulier les centres d’appels, la CNIL recommande d’assurer la traçabilité des actions des Téléconseillers (historique des accès à la base de données, modifications éventuelles, copies illicites …).

L’enregistrement des conversations téléphoniques 

L’enregistrement des conversations des salariés n’est pas interdit à la condition qu’ils en soient informés (voir charte et règlement intérieur des entreprises). Les personnes contactées doivent toutefois être informés de l’existence de l’enregistrement des enregistrements doit  être conservé pendant une période limitée.

La question de l’externalisation  

Lorsque les bases de données sur lesquelles travaillent les prestataires  sont localisées au sein de l’Union européenne, il n’existe pas de déclaration spécifique hormis la NS48.

En revanche, pour les pratiques d’externalisation impliquant un transfert de données personnelles hors de l’Union européenne,  il convient d’utiliser les clauses types de transfert (voir Annexe) et d’obtenir une autorisation préalable de la CNIL.  Il appartient au responsable de traitement de procéder aux démarches CNIL, même s’il n’a pas la maîtrise du traitement, notamment lorsque les données sont hébergées par un prestataire.

Les cartes de fidélité

La mise en place de carte de fidélités fait partie intégrante d’une politique efficace de CRM. A ce titre, il convient de procéder en deux temps :

i) Le bulletin d’adhésion au programme de fidélité devra comprendre les mentions légales d’usage de la loi du 6 janvier 1978, avec renvoi ou reproduction des Conditions générales du programme de fidélité, la ou les cases à cocher en cas de refus de cession des données  personnelles à des tiers, et enfin déclaration du fichier à la CNIL ;

Pour rappel la grille d’analyse du bulletin d’adhésion est la suivante :

Les personnes concernées sont informées, au moment de la collecte de leurs données :

• de l’identité du responsable du traitement
• des finalités poursuivies
• du caractère obligatoire ou facultatif des réponses à apporter
• des conséquences éventuelles, à leur égard, d’un défaut de réponse
• des destinataires des données
• de leurs droits d’accès, de rectification et d’opposition, pour des motifs légitimes
• des transferts envisagés à destination d’un Etat non membre de l’Union européenne.

ii) La base de données doit être géré conformément aux principes de la loi du 6 janvier 1978.

Les passages en caisse de magasin

Concernant la politique CRM des enseignes disposant de lieux physiques de vente,   lors du passage en caisse des clients, ces derniers doivent être informés par un affichage permanent et sans ambiguïté, tant à l’entrée du magasin qu’au niveau de chaque caisse enregistreuse, sur les finalités et caractéristiques des traitements mis en oeuvre, ainsi que sur les modalités d’exercice de leurs droits d’accès, de rectification et d’opposition. Cette disposition s’applique de façon privilégiée lors de l’usage de carte de fidélité et de paiement par chèque bancaire
(Base de données de contrôle des chèques impayés, perdus ou volés).

La vidéosurveillance en magasin

La mise en place de dispositifs de vidéosurveillance dans les établissements recevant du public et de la clientèle (hypermarchés, magasins, locaux professionnels …) fait partie de la politique du CRM. Ces dispositifs doivent donner lieu à une information claire dans les locaux filmés (voir la fiche sur la Vidéosurveillance).

Grille général d’analyse du CRM  

Le CRM en ce qu’il constitue une stratégie de gestion de données doit répondre aux principes clés du traitement des données personnelles, quel que soit le canal de traitement, à savoir :

Au niveau de la collecte

Une collecte loyale des données  quel que soit le canal concerné  (Opt-in, achat de fichier avec garantie …). A ce titre l’article L. 121-20-5 du Code de la consommation pose le principe de l’interdiction de toute prospection directe par courrier électronique à destination des personnes physiques qui n’ont pas exprimé leur consentement préalable à les recevoir (opt-in).

Les cookies

Lorsque l’éditeur du Site utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l’équipement terminal de connexion de l’utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, active X), les utilisateurs doivent être  informés de la finalité de l’utilisation de ces procédés et des moyens dont ils disposent pour s’y opposer.

Les formulaires en ligne

Les mentions d’usage de la loi du 6 janvier 1978 s’appliquent (information, accès, opposition).

Au niveau du traitement

Les déclarations CNIL

L’entreprise devra procéder à la déclaration de traitement nécessaire auprès de la CNIL, y compris les traitements de données spéciaux de type Géolocalisation.  Le responsable du traitement devra également

Les mentions légales

L’apposition des mentions légales d’usage («  Vous disposez d’un droit … »). Cette obligation d’information s’étend aussi à l’information sur l’existence de champs commentaires accompagnant les dossiers clients (appréciations et commentaires sur les clients, Scoring …).

Faire droit aux demandes d’opposition et d’accès   

Au titre de l’article 38 de la loi du 6 janvier 1978, toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient  utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du  traitement ou celui d’un traitement ultérieur.

Ces demandes s’exercent quel que soit le support : le numéro mobile est par exemple une des données d’un fichier de base, la désinscription de « l’abonné » doit être possible par la mise en place d’un moyen adéquat (SMS STOP, liens hypertextes pour les smartphones …).

Les traitement de données sensibles 

Les traitements de données sensibles, automatisés ou non doivent faire l’objet d’une autorisation préalable de la CNIL et faire l’objet à brefs délai d’une anonymisation. Sont considérées comme sensibles, les données suivantes (article 25 de la loi du 6 janvier 1978) :

Les traitements automatisés portant sur des données génétiques, à l’exception de ceux d’entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements ;

Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ;

Les traitements automatisés ayant pour objet :

– l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
– l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes.

Les traitements portant sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d’inscription à celui-ci des personnes ;

Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes.

L’interconnexion de fichiers  

Il est tentant pour les sociétés de procéder à une intégration de leurs données (exemple : intégration de la supply chain et du CRM) ou même de fusionner les données personnelles clients avec celles détenues par certains prestataires. Ces fusions de fichiers sont juridiquement des interconnexions de fichiers au sens de la loi du 6 janvier 1978 et doivent être autorisés par la CNIL (la simple déclaration ne suffisant pas). En la matière,  la position de la CNIL est la suivante :

« Il convient d’avoir une interprétation large de l’interconnexion : il s’agit de tout traitement automatisé mis en œuvre par un ou plusieurs responsables qui consiste à mettre en relation (à corréler) des données ayant une finalité avec d’autres données ayant une finalité identique ou différente.

Cette mise en relation (ou corrélation) peut consister à transférer un fichier pour alimenter un autre fichier ou pour réaliser la fusion de ces fichiers, à mettre ponctuellement en relation plusieurs fichiers normalement gérés séparément,  par exemple en constituant un fichier d’appel à partir de l’un de ces fichiers qui servira à interroger les autres fichiers et sera enrichi par les résultats de cette interrogation.

Il peut également s’agir d’assembler des informations provenant de plusieurs fichiers au sein d’une même base de données (exemple des bases dénommées «entrepôts de données» alimentés par des informations provenant de différents  fichiers ) avec un éventuel recours à des techniques logicielles de mises en relations ponctuelles (outils dits de datamining) ou de créer un lien technique  entre plusieurs bases de données nominatives qui permettra, par exemple, de les consulter simultanément (par exemple, des sites portails permettant par des « liens hypertextes » d’assurer une mise en relation avec d’autres bases.

Le CRM dans le secteur de la banque et des assurances 

Le secteur des banques et des assurances inclut une forte dimension CRM et se trouve soumis à deux séries de dispositions clés en matière de données personnelles :

La Norme simplifiée n° 12 : délibération n° 80-022 concernant les traitements automatisés d’informations nominatives relatifs à la tenue des comptes de la clientèle et le traitement des informations s’y rattachant par les établissements bancaires et assimilés.  
La NS12 autorise une procédure de déclaration simplifiée pour les traitements de comptes clients qui :
i) ne portent que sur des données objectives aisément contrôlables par les intéressés grâce à l’exercice du droit individuel d’accès ;

ii) mettent en œuvre des logiciels dont les résultats puissent être facilement contrôlés ;
iii) ne sont pas cédés ou loués ;

iv) ne donnent pas lieu à des interconnexions ou échanges autres que ceux nécessaires à l’accomplissement des opérations de tenue de compte ;

v) comportent des dispositions propres à assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ;

vi) satisfont aux conditions de finalités suivantes :

Le traitement ne doit pas avoir d’autres fonctions que :

a) L’enregistrement et la mise à jour des informations concernant les titulaires et les caractéristiques du fonctionnement de leurs comptes (dépôt, épargne, etc.) ;

b) La gestion des opérations concernant les dépôts et retraits : espèces, chèques, virements, effets, prélèvements, cartes et autres mouvements de fonds ;

c) La tenue des comptes : relevés, extraits et arrêtés périodiques, oppositions, délivrance de chéquiers, relevés d’identité bancaires et attestations.

vii) sont limités aux catégories d’informations suivantes :

1.Identité : nom, prénoms, adresse(s) postale(s), adresse domicile, adresse fiscale, sexe, date et lieu de naissance, identité bancaire, nationalité, pays de l’adresse fiscale principale, pays de résidence, date d’entrée en relation avec le client (le cas échéant date de décès) ;

2. Situation familiale : éléments sur la situation matrimoniale nécessaires à la tenue des comptes joints.

3. Vie professionnelle : éventuellement catégorie socio-professionnelle.

4. Caractéristiques de la tenue du compte : i) guichet ou service de rattachement, agent d’ouverture, agent exploitant ; ii) types de comptes (dépôt à vue, à terme, épargne), activités du compte et incident (actif, fermé, viré (dates), bloqués (types d’oppositions), succession, incapable, mineur autorisé ou émancipé, litigieux, contentieux, mandataires) ; iii) liens entre comptes lorsqu’ils sont ouverts dans le même établissement (dépôt, épargne, prêts) ; iv) services divers (opérations cartes de crédit ou de paiement, validité, assurance solde du compte, périodicité relevés de comptes), barèmes et conditions, sûretés réelles et personnelles; v) niveau de revenus lorsqu’ils y sont domiciliés ; vi) options fiscales, autorisations de prélèvements, ordres de virements permanents, soldes et mouvements des comptes ; vii) impayés, protêts et paiements partiels, leurs motifs, cotation Banque de France, signatures consignées ; Pour les cartes de crédit, de garantie, de paiement ou d’identification établies par la banque concernée, incidents s’y rattachant tels qu’oppositions aux porteurs, rejets aux commerçants.

5. Informations en rapport avec la justice : fonctionnement des comptes résultant d’une décision de justice, interdiction d’émettre des chèques (bancaires, judiciaires et violations de ces interdictions).

Les informations nominatives ne doivent pas être conservées au-delà de la durée prévue par la réglementation en vigueur et notamment par l’article 11 du code de commerce relatif à la durée de conservation des livres et documents créés à l’occasion d’activités commerciales.

Peuvent seuls être destinataires de certaines des informations : les personnels chargés de la tenue des comptes ;  les supérieurs hiérarchiques de ces personnels ; les établissements bancaires ou assimilés liés contractuellement pour l’exécution de tâches se rapportant à la tenue des comptes ;  les entreprises d’assurances ayant des conventions particulières avec le titulaire du compte ;  les autres établissements teneurs de comptes pour les transferts de fonds ;  les entreprises extérieures liées contractuellement pour l’exécution de certaines tâches matérielles (confection de chéquiers, etc.) ; les auxiliaires de justice et officiers ministériels dans le cadre de leurs missions de recouvrement de créances ; les services concernés ou les agents habilités de la direction générale des impôts, de la direction générale des douanes, de la Banque de France et les divers organismes publics habilités à les recevoir ; les services chargés du contrôle (la commission de contrôle des banques, commissaire aux comptes, audit, services chargés des procédures internes ou externes de contrôle).

En complément à ces dispositions et en matière de crédit, est applicable la Norme simplifiée n° 13 : délibération n° 80-23 du 8 juillet 1980, modifiée par les délibérations n° 85-14 du 30 avril 1985 et n° 88-82 du 5 juillet 1988, concernant les traitements automatisés d’informations nominatives relatifs à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit.

En matière d’assurance on citera l’existence de la Norme simplifiée n° 16 : délibération CNIL n° 81-004 du 20 janvier 1981 concerne les traitements automatisés d’informations nominatives relatifs à la passation, la gestion et l’exécution des contrats mis en oeuvre par les organismes d’assurances, de capitalisation, de réassurances et d’assistance et par leurs intermédiaires.

Le passage au numérique tant pour les administrés que pour les clients des entreprises du secteur privé facilite la gestion de la relation clients (Customer Relationship Management ou CRM)

La mise en place d’un espace accessible en ligne qui permet  aux clients de gérer leurs données personnelles, leur facturation et autres informations s’est généralisée.

Dès lors qu’à l’origine, les données personnelles traitées (sur un support en internet, sur support papier etc.) ont été créées, traitées et déclarées conformément à la loi du  janvier 1978, leur mise en place sur un serveur Internet à accès sécurisé ne pose pas de difficulté particulière si :

1. les données traitées sont les mêmes qu’antérieurement ;
2. la destination / finalité du traitement est la même (gestion des contrats d’assurance, communiquer une facture à un abonné …)

En effet, le fait de changer le support ou de mode d’accès des données personnelles déjà traitées initialement semble bien faire partie de la notion même de traitement de données personnelles. Au sens de la loi  du 6 janvier 1978, constitue un traitement de données à caractère personnel « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. ». Pour une sécurité juridique optimale, il conviendra notamment d’être attentif à trois points :

1) Mettre en place des Conditions Générales d’Utilisation du Service (CGU) accompagnées d’un champ « J’ai lu et accepté les CGU du Service » ;

2) Encadrer l’implantation des cookies. A ce titre, l’article 32.II de la loi du 6 janvier 1978 dispose que toute personne utilisatrice des réseaux de communications électroniques doit être informée i) de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ; et ii) des moyens dont elle dispose pour s’y opposer.

Cette obligation est écartée si l’opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou si elle  est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

3) Prendre en compte les exigences de sécurité : le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Dans tous les cas, les Clients concernés restent investis de leurs droits d’accès, de modification et d’opposition (sur motif légitime) sur leurs données nominatives.

Les sanctions

Outre les sanctions « classiques » de la loi du 6 janvier 1978, on notera les cas les plus « exposant » aux sanctions (qui restent très rarement appliquées) :

• l’article R. 10-1 du Code des postes et des communications électroniques qui punit le non respect de l’opt-in d’une amende de 750 euros par message envoyé ;

• l’article 226-18 du Code pénal qui punit de cinq ans d’emprisonnement et de 300.000  euros d’amende la collecte frauduleuse, déloyale et illicite de données à caractère personnel  ainsi que le non respect du droit d’opposition de la personne objet du traitement.