Projet de référentiel CNIL sur la gestion des activités commerciales : quel impact pour les fichiers clients / prospects des sites e-commerce ?

4387
Imprimer
Suite à l’entrée en application du RGPD, les normes simplifiées adoptées par la CNIL n’ont plus de valeur juridique. Avant le 25 mai 2018, la norme simplifiée était le moyen qui permettait à une entreprise de déclarer ses traitements auprès de la CNIL, de manière simple et rapide. Il lui suffisait alors de remplir une attestation au titre de laquelle elle déclarait se conformer à l’ensemble des règles prévues par la norme concernée.

Un référentiel destiné à remplacer la Norme NS-048 sur les fichiers clients et prospects

Une des normes simplifiées les plus connues des entreprises de e-commerce est sans conteste la NS-048. Celle-ci concerne les traitements de données personnelles relatifs à la gestion des fichiers de clients et prospects. Adoptée en 2005, cette norme avait été récemment modifiée pour y ajouter de nouvelles règles sur les cookies, les données bancaires et la durée de conservation de données.  

L’introduction par le RGPD du principe « d’accountability » a changé la donne pour les entreprises. La déclaration des traitements n’est plus la règle mais l’exception. En principe, plus besoin de déclarer ses traitements à la CNIL, à charge pour l’entreprise de démontrer qu’elle respecte bien la loi, en cas de contrôle. Cette nouvelle approche a rendu la procédure de déclaration simplifiée caduque. Elle a aussi eu pour effet de renforcer le besoin d’accompagnement des entreprises. Car c’est désormais à elles, et à elles seules, qu’il appartient de s’assurer que leurs pratiques en matière de données personnelles sont, en tout point, conformes à la loi.

A cet égard, la nouvelle loi « Informatique et libertés », issue du RGPD, a prévu la possibilité pour la CNIL d’édicter des référentiels destinés à guider les entreprises dans la mise en conformité de leurs traitements. Ces référentiels devraient progressivement remplacer les normes simplifiées adoptées avant le 25 mai 2018. Ils permettront ainsi de connaître les attentes de la CNIL en matière d’application du RGPD, de sorte que les entreprises qui suivront les référentiels à la lettre devraient se mettre à l’abri de toute sanction pour défaut de conformité.

C’est dans ce contexte qu’est intervenue, fin novembre, la publication d’un projet de référentiel sur la gestion des activités commerciales.

Présenté comme un instrument de régulation ayant vocation à donner davantage de sécurité juridique aux entreprises, ce référentiel concerne la mise en œuvre de tout fichier « clients » et « prospects ». Il vise donc l’ensemble des entreprises ayant une activité commerciale, quel que soit le secteur (en dehors des secteurs de la banque, de l’assurance et des jeux en ligne) et quel que soit le canal de communication concerné.

Si le texte reprend dans ses grandes lignes le contenu de la Norme NS-048, au travers des 10 sections du référentiel, il introduit cependant plusieurs nouveautés qui pourraient avoir de sérieuses conséquences pour les entreprises. Parmi celles-ci figurent notamment :

L’obligation pour les e-commerçants de communiquer aux internautes la liste à jour des destinataires des données

La première concerne l’obligation d’information sur les destinataires des données, au moment de la collecte. Jusqu’à présent il était admis que l’entreprise était tenue d’informer sur les « destinataires » ou « catégories de destinataires » (ex. « …. j’accepte de recevoir des offres de la part de l’entreprise A et de ses partenaires »). Or, selon le référentiel, cette information ne serait plus suffisante. Les entreprises ne devraient plus pouvoir se contenter de communiquer sur les « catégories de destinataires ». Dorénavant, il faudra non seulement communiquer la liste des « destinataires » des données, mais également tenir cette liste à jour (par exemple, avec un lien vers une page web comportant la liste des entreprises avec lesquelles les données pourraient être partagées). Cette exigence ne manque pas de surprendre lorsque l’on sait que l’article 13 du RGPD reprend, sur ce point, les termes de l’ancienne directive européenne, à savoir l’obligation d’information sur le ou les « destinataires ou catégories de destinataires ». En outre, les débats parlementaires lors du RGPD montrent que la volonté du Législateur européen a bien été de maintenir la règle préexistante (cf notre contribution à la consultation sur le référentiel).

Interdiction de réserver un avantage aux personnes qui acceptent la pub internet (mailings, publicité ciblée, …)

L’autre nouveauté, elle, concerne la validité du consentement, lorsque celui-ci est nécessaire (par exemple pour la collecte d’adresses mails à des fins de marketing ou de publicité). En effet, le référentiel exclut toute possibilité de lier la fourniture d’un bien ou d’un service (accès gratuit à du contenu payant, réduction, livraison offerte…) à l’accord de la personne sur l’utilisation de ses données (pour recevoir des offres de l’entreprise ou pour la diffusion de publicités personnalisées, …). Le référentiel va même jusqu’à exclure le fait qu’un avantage consenti puisse avoir eu une influence sur l’accord de la personne. A noter que cette règle s’appliquerait aussi au BtoB (par exemple dans le cas d’une offre freemium). 

Il est indéniable que le RGPD insiste sur la qualité du consentement. Celui-ci, précise-t-il, doit être « libre, spécifique, éclairé et univoque ». Il est également rappelé que les circonstances dans lesquelles le consentement a été obtenu sont un facteur important à prendre en compte (article 7.4 RGPD) pour apprécier la validité de l’accord. Pour autant, le référentiel semble aller encore plus loin, en posant un principe d’interdiction de toute opération dans laquelle le consentement à l’utilisation d’une donnée personnelle, serait la contrepartie d’un avantage consenti à la personne concernée. Et ce, indépendamment des circonstances de l’opération (qualité de l’information, nature du traitement, importance des données, possibilité de retrait de l’accord, proportionnalité entre le droit accordé et l’avantage reçu, caractère gratuit ou payant du service, alternative offerte par le professionnel pour accéder au service sans consentir à l’utilisation des données, …).

En outre, cette approche ultra-restrictive retenue par le référentiel prend le contre-pied de deux projets de normes européennes, actuellement en discussion à Bruxelles (cf. projet de règlement « e-Privacy » et projet de directive « New Deal forConsumer ») lesquelles reconnaissent, dans certains cas et sous certaines conditions, la faculté pour une personne de consentir à l’utilisation de certaines de ses données en contrepartie d’un avantage (par exemple l’accès gratuit à la fourniture d’un service numérique).

Une consultation qui a pris fin le 11 janvier

Lancée le 28 novembre dernier, la période de consultation sur le référentiel a pris fin le 11 janvier. Compte tenu de la portée de ce texte qui concerne des millions d’entreprises, on s’étonnera du peu de temps laissé aux parties prenantes pour participer à la concertation.

Car si le référentiel n’a pas, en principe, de valeur contraignante, une fois adopté, il devrait servir de « repère » à la CNIL lors de ses futurs contrôles de conformité.

En tant qu’organisation représentative du secteur, la FEVAD a fait part de ses observations à la CNIL. Elle espère que le dialogue et la concertation engagée par l’autorité de contrôle sur le référentiel pourront se poursuivre et ne manquera pas de tenir ses adhérents informés du retour qui lui sera fait. En attendant, n’hésitez pas à nous faire part de vos remarques et commentaires afin que nous puissions les faire remonter.

Ci dessous la position de la FEVAD (Réservé aux membres) : 

Désolé ce contenu est reservé aux adhérents

Si vous êtes adhérent vous pouvez y accéder simplement en vous connectant à votre compte MyFEVAD. Si vous n'êtes pas adhérent et que vous souhaitez obtenir des informations sur l'adhésion à la FEVAD, n'hésitez à nous contacter contact@fevad.com.

PARTAGER