Mettre des traitements de données personnelles en conformité avec les dispositions du RGPD ? Il y a des référentiels pour ça.
Couvrant des secteurs ou des thématiques particulières, ces instruments sont censés apporter davantage de sécurité juridique aux organismes.
La Cnil en a deux en projet, relatifs aux traitements mis en œuvre à des fins de gestion des activités commerciales et des impayés. Elle les soumet à consultation publique jusqu’au 11 janvier 2019.
L’un et l’autre répertorient, entre autres, les bases légales exploitables pour mener à bien les traitements en question et les modalités de conservation des données.
Le référentiel « gestion commerciale » est destiné à encadrer la mise en œuvre de fichiers « clients » et « prospects ». Il ne s’applique pas à certaines catégories d’établissements ; notamment de santé, d’assurances et d’éducation.
Le spectre des finalités de traitement est large, de la gestion des contrats à la prospection en passant par le SAV et la comptabilité. La détection de la fraude n’y entre pas, au même titre que le profilage de personnes et le suivi du parcours client dans les commerces physiques.
Le consentement « libre, spécifique, éclairé et univoque » figure parmi les bases légales acceptables.
Trois autres solutions existent : le respect d’une obligation légale incombant à l’organisme, la réalisation de son intérêt légitime (ou de celui du destinataire des données) et l’exécution d’un contrat auquel la personne concernée est partie.
La Cnil suggère que les données à caractère personnel soient conservées au maximum trois ans à partir du dernier contact avec les individus auxquels elles se rapportent. Pour un prospect, il pourra s’agir d’un clic sur un lien dans un e-mail ; pour un client, la date d’expiration d’une garantie.
Le référentiel « impayés » n’est voué à encadrer que le traitement des situations avérées ; pas la prévention d’éventuels défauts de paiement et de manquements autres que pécuniaires.
Sur la question de la base légale, le finalité d’exclusion d’une personne pour toute transaction à venir pourra être fondée sur l’exécution d’un contrat.
En cas de régularisation d’un impayé, les informations relatives à la personne concernée devront être effacées sous 48 h.
Crédit photo : portalgda via Visualhunt / CC BY-NC-SA
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…