LE PÈRE NOËL ET LE DROIT #6 : LES DONNÉES PERSONNELLES

0

Est-il possible de créer un fichier client pour leur adresser des cadeaux ?

Comme le Père-Noël, vous vous êtes peut-être déjà demandé si vous pouviez créer un fichier de vos meilleurs clients afin de leur adresser des cadeaux soit pour leur anniversaire, soit pour les fêtes de fin d’année. A l’inverse vous êtes harcelé par les invitations aux BLACK FRIDAY, aux soirées VIP ou par les offres spéciales pour chaque événement de votre vie.

 

Mais qu’en dit le droit ?

 

Tout le monde a entendu parler de ce tsunami médiatique, à défaut d’être juridique, qu’a été l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) à compter du 25 mai 2018. Ce Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 est venu, dans notre droit, compléter les dispositions de la loi dite informatique et liberté de 1978 afin de :

 

  1. a) établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
  2. b) protéger les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

Contrairement à ce que de nombreuses personnes ont pu écrire, le RGPD n’interdit pas la collecte de données à caractère personnel, il l’encadre.

 

Il convient à cet égard de préciser qu’une donnée à caractère personnel peut être constituée par toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 

La réglementation concerne tous les traitements de ces données, c’est-à-dire toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

 

Ainsi lorsque les nom, prénom, date et lieu de naissance, adresse, adresse mail, numéro de téléphone sont enregistrés lors de la création de cartes de fidélités ou de fichiers clientèle, un traitement de données à caractère personnel est effectué.

 

Une telle action n’est nullement interdite, mais elle doit répondre à certaines conditions pour être en conformité avec la réglementation et ne pas risquer d’être sanctionnée.

 

Ainsi lorsque vous collectez des données personnelles directement auprès de vos clients dans le cadre d’un programme de fidélité ou de marketing de quelque nature que ce soit, vous devez leur fournir un certain nombre d’informations dont notamment :

 

  • 1 l’identité et les coordonnées du responsable de traitement,
  • 2 les coordonnées du délégué à la protection des données s’il a été désigné,
  • 3 les finalités de traitement,
  • 4 les destinataires des données personnelles,
  • 5 l’information s’il y a transfert des données vers un pays tiers (il y a transfert vers un pays tiers si vos données sont hébergées sur n serveur situé à l’étranger),
  • 6 la durée de conservation des données,
  • 7 le droit à l’accès, à la rectification ou à l’effacement des données personnelles,
  • 8 le droit à la limitation ou le droit d’opposition au traitement,
  • 9 l’existence ou non d’une prise de décision automatisée.

Par ailleurs lorsque cette collecte est indirecte, c’est-à-dire que vous récupérez un fichier de prospect auprès d’un tiers, vous devez communiquer l’ensemble de ces informations aux personnes concernées par le fichier dans le mois de la collecte.

 

Il est également important de rappeler que les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation).

 

Il convient de prévoir à cet effet une base de données d’archives dédiée ou une séparation logique dans la base de données active, après avoir opéré un tri des données pertinentes à archive.

 

Avant l’entrée en vigueur du RGPD, la CNIL (Commission Nationale Informatique et Liberté) avait établi une norme simplifiée spécifique à la gestion des données personnelles des clients, prospects et de la vente en ligne. La norme simplifiée n° NS-048, à laquelle il est encore conseillé de se reporter, concerne les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. Elle inclut notamment les traitements de données personnelles ayant pour finalités la gestion des clients, la prospection, les opérations de fidélisation, l’élaboration de statistiques commerciales, la cession, la location ou l’échange de fichiers de clients et de prospects, l’organisation de jeux concours, de loteries ou de toute opération promotionnelle, la gestion des demandes de droit d’accès, de rectification et d’opposition, la gestion des impayés et du contentieux, et la gestion des avis des personnes sur des produits, services ou contenus.

 

Il est conseillé de veiller à bien respecter la réglementation afin d’éviter de lourdes sanctions financières. Récemment la formation restreinte de la CNIL a sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros (Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020).

 

La CNIL a en effet considéré que l’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

 

Concernant le site carrefour.fr, la CNIL a retenu que l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

 

Par ailleurs, la société CARREFOUR FRANCE n’avait pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. De plus, dans plusieurs cas, la société n’avait pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire.

 

Enfin, la société n’avait pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles.

 

Les sanctions ont été lourdes alors même que les sociétés en cause s’étaient mises en conformité durant la procédure.

 

Mieux vaut donc prévenir que guérir s’il on veut que la fidélité rapporte.

 

 

Guillaume BARDON

Avocat Associé

CM&B AVOCATS