RGPD : la Cnil cherche à encadrer la gestion de l’activité commerciale et des impayés
La Cnil soumet à consultation publique des projets de référentiels portant sur les traitements de données relatifs à la gestion des impayés et des activités commerciales.
Mettre des traitements de données personnelles en conformité avec les dispositions du RGPD ? Il y a des référentiels pour ça.
Couvrant des secteurs ou des thématiques particulières, ces instruments sont censés apporter davantage de sécurité juridique aux organismes.
La Cnil en a deux en projet, relatifs aux traitements mis en œuvre à des fins de gestion des activités commerciales et des impayés. Elle les soumet à consultation publique jusqu’au 11 janvier 2019.
L’un et l’autre répertorient, entre autres, les bases légales exploitables pour mener à bien les traitements en question et les modalités de conservation des données.
Le référentiel « gestion commerciale » est destiné à encadrer la mise en œuvre de fichiers « clients » et « prospects ». Il ne s’applique pas à certaines catégories d’établissements ; notamment de santé, d’assurances et d’éducation.
Le spectre des finalités de traitement est large, de la gestion des contrats à la prospection en passant par le SAV et la comptabilité. La détection de la fraude n’y entre pas, au même titre que le profilage de personnes et le suivi du parcours client dans les commerces physiques.
Le consentement « libre, spécifique, éclairé et univoque » figure parmi les bases légales acceptables.
Trois autres solutions existent : le respect d’une obligation légale incombant à l’organisme, la réalisation de son intérêt légitime (ou de celui du destinataire des données) et l’exécution d’un contrat auquel la personne concernée est partie.
La Cnil suggère que les données à caractère personnel soient conservées au maximum trois ans à partir du dernier contact avec les individus auxquels elles se rapportent. Pour un prospect, il pourra s’agir d’un clic sur un lien dans un e-mail ; pour un client, la date d’expiration d’une garantie.
Le référentiel « impayés » n’est voué à encadrer que le traitement des situations avérées ; pas la prévention d’éventuels défauts de paiement et de manquements autres que pécuniaires.
Sur la question de la base légale, le finalité d’exclusion d’une personne pour toute transaction à venir pourra être fondée sur l’exécution d’un contrat.
En cas de régularisation d’un impayé, les informations relatives à la personne concernée devront être effacées sous 48 h.
Crédit photo : portalgda via Visualhunt / CC BY-NC-SA