Mettre des traitements de données personnelles en conformité avec les dispositions du RGPD ? Il y a des référentiels pour ça.
Couvrant des secteurs ou des thématiques particulières, ces instruments sont censés apporter davantage de sécurité juridique aux organismes.
La Cnil en a deux en projet, relatifs aux traitements mis en œuvre à des fins de gestion des activités commerciales et des impayés. Elle les soumet à consultation publique jusqu’au 11 janvier 2019.
L’un et l’autre répertorient, entre autres, les bases légales exploitables pour mener à bien les traitements en question et les modalités de conservation des données.
Le référentiel « gestion commerciale » est destiné à encadrer la mise en œuvre de fichiers « clients » et « prospects ». Il ne s’applique pas à certaines catégories d’établissements ; notamment de santé, d’assurances et d’éducation.
Le spectre des finalités de traitement est large, de la gestion des contrats à la prospection en passant par le SAV et la comptabilité. La détection de la fraude n’y entre pas, au même titre que le profilage de personnes et le suivi du parcours client dans les commerces physiques.
Le consentement « libre, spécifique, éclairé et univoque » figure parmi les bases légales acceptables.
Trois autres solutions existent : le respect d’une obligation légale incombant à l’organisme, la réalisation de son intérêt légitime (ou de celui du destinataire des données) et l’exécution d’un contrat auquel la personne concernée est partie.
La Cnil suggère que les données à caractère personnel soient conservées au maximum trois ans à partir du dernier contact avec les individus auxquels elles se rapportent. Pour un prospect, il pourra s’agir d’un clic sur un lien dans un e-mail ; pour un client, la date d’expiration d’une garantie.
Le référentiel « impayés » n’est voué à encadrer que le traitement des situations avérées ; pas la prévention d’éventuels défauts de paiement et de manquements autres que pécuniaires.
Sur la question de la base légale, le finalité d’exclusion d’une personne pour toute transaction à venir pourra être fondée sur l’exécution d’un contrat.
En cas de régularisation d’un impayé, les informations relatives à la personne concernée devront être effacées sous 48 h.
Crédit photo : portalgda via Visualhunt / CC BY-NC-SA
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
