Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN ŒUVRE AUX FINS

RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN ŒUVRE AUX FINS DE GESTION DES ACTIVITÉS COMMERCIALES RÉFÉRENTIEL 2 1. À qui s’adresse ce référentiel ? Ce référentiel propose des pistes de mise en conformité pour les fichiers « clients » et « prospects » des organismes de droit privé ou public. Compte tenu de la nature particulière de leurs activités, ce référentiel n’a pas vocation à proposer un cadre pour les traitements mis en œuvre par : les établissements de santé ou d’éducation ; les établissements bancaires ou assimilés ; les entreprises d'assurances ; les opérateurs soumis à l’agrément de l’Autorité nationale des jeux. 2. Portée du référentiel Les traitements réalisés dans le cadre de la gestion des activités commerciales, qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service, conduisent à collecter des données relatives à des personnes physiques (clients, prospects). À ce titre, ils sont soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), de la loi du 6 janvier 1978 modifiée, ainsi qu’aux dispositions spécifiques relatives à la protection de la vie privée dans le secteur des communications électroniques (« ePrivacy »). Les organismes concernés, en tant que responsables de traitement, doivent mettre en place toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données à caractère personnel dès la conception des traitements et tout au long de la vie de ceux- ci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. Ces traitements doivent faire l’objet d’une inscription au registre de traitements, conformément aux dispositions de l’article 30 du RGPD (voir les modèles de registre sur le site cnil.fr). L’application de ce référentiel, qui n’a pas de caractère contraignant, permet d’assurer la conformité des traitements de gestion des activités commerciales aux règles de protection des données à caractère personnel. Les organismes peuvent choisir de s’écarter du référentiel au regard des conditions particulières tenant à leur situation, en s’assurant de prendre toutes les mesures appropriées à même de garantir leur conformité au RGPD. Ce référentiel sera régulièrement mis à jour par la CNIL afin de garantir sa compatibilité avec les dernières évolutions législatives et technologiques. 3 3. Objectif(s) poursuivi(s) par les traitements (finalités) Le référentiel fournit un cadre pour les traitements dont les finalités sont les suivantes : a) gestion des contrats (par exemple : gestion des commandes, de la livraison, de l’exécution du service ou de la fourniture du bien, des factures et paiements) ; b) gestion de programmes de fidélité au sein d’une entité ou de plusieurs entités juridiques. Dans ce dernier cas, la personne doit être, par exemple au moment de la souscription au programme de fidélité, explicitement informée, notamment, de l’identité de la ou des entités considérées comme responsable unique ou conjointement responsables du traitement et de l’étendue du programme et, s’il implique la combinaison de données à caractère personnel détenues par plusieurs entités ; c) tenue de la comptabilité générale et des comptabilités auxiliaires qui peuvent lui être rattachées ; d) établissement de statistiques financières concernant les clients ; e) suivi de la relation client pour la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente ; f) sélection de clients pour réaliser des études sur la qualité des produits ou des enquêtes de consommation (par exemple : des tests de produits, des statistiques de vente réalisées par l’organisme concerné) ; g) réalisation d’actions de prospection commerciale (par exemple : envoi de messages publicitaires, jeux concours, parrainage, promotion) ; h) gestion des avis des personnes sur des produits, services ou contenus. Ces traitements peuvent impliquer : un profilage réalisé exclusivement à partir des données collectées par le responsable de traitement directement auprès de la personne concernée ; ou la mise à jour des données de contact (coordonnées téléphoniques, adresses électroniques, adresses physiques). Les informations recueillies pour l’une de ces finalités ne peuvent pas être réutilisées pour poursuivre un autre objectif qui serait incompatible avec la finalité définie lors de leur collecte. Par ailleurs, les traitements mis en œuvre au titre de ce référentiel ne doivent pas donner lieu à des interconnexions ou échanges autres que ceux nécessaires à l’accomplissement des finalités énoncées ci-dessus. Par ailleurs, le référentiel fournit également des indications relatives aux opérations de transmission de données à des tiers afin de leur permettre de réaliser des opérations de prospection commerciale en précisant les bases légales susceptibles d’être mobilisées pour fonder ces opérations (voir point 6, ci- dessous). Les traitements répondant aux finalités suivantes ne sont pas concernés par ce référentiel : la détection et la prévention de la fraude ; l’exclusion temporaire ou permanente des personnes du bénéfice d’une prestation de services ou de la fourniture d’un bien (par exemple, en raison d’impayés, d’incivilités des clients ou de comportements abusifs) ; le profilage réalisé à partir de données collectées depuis des sources tierces au responsable de traitement, ainsi que ceux réalisés à partir de données collectées par le biais de cookies et autres traceurs. Sur ce point, voir les lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») ainsi que les recommandations proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ». 4 4. Base(s) légale(s) des traitements Chaque finalité du traitement visé par le référentiel doit reposer sur l’une des bases légales fixées par le RGPD. a) le consentement libre, spécifique, éclairé et univoque de la personne concernée ; Le consentement, requiert, pour être valable, une action positive et spécifique de la personne concernée (p. ex. : une case à cocher dédiée et qui ne soit pas pré-cochée). Comme indiqué par le CEPD, l'acceptation de conditions générales d'utilisation ne peut suffire. L’accord doit être libre. b) l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures pré-contractuelles prises à sa demande. Les données collectées doivent être nécessaires à l'exécution des mesures contractuelles et/ou pré-contractuelles. À cet égard, le CEPD indique que le fait que le contrat conclu entre la personne concernée et le responsable du traitement mentionne la collecte de données spécifiques ne suffit pas à démontrer que ces données sont nécessaires à l’exécution du contrat. Ainsi, pour reposer sur cette base légale, la collecte des données doit être indispensable pour fournir le service ou le bien attendu par la personne concernée ; c) le respect d’une obligation légale incombant à l’organisme ; d) la réalisation de l’intérêt légitime poursuivi par l’organisme ou par le tiers, sous réserve de ne pas méconnaitre l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Le tableau ci-après, qui n’a pas vocation à être exhaustif, recense des exemples de bases légales pouvant être retenues en fonction de chaque finalité poursuivie par le ou les traitement(s) visés par le présent référentiel. Les bases légales doivent être portées à la connaissance des personnes dont les données sont traitées puisqu’elles permettent, notamment, de déterminer leurs droits. Illustration pratique des bases légales et des durées de conservation FINALITÉ BASE LÉGALE DURÉE DE CONSERVATION RECOMMANDÉE Gestion des contrats / programmes de fidélité Gestion des commandes, de la livraison, de l’exécution du service ou fourniture du bien, etc. Exécution du contrat Durée de la relation contractuelle Tenue de la comptabilité Obligations comptables, fiscales, etc. Respect d’une obligation légale de conservation des données (par exemple, l’obligation de s'assurer de l'identité de la personne en demandant la fourniture d'un justificatif d'identité) Sous la forme d’archive intermédiaire : durée légale de conservation (par exemple, obligation comptable de 10 ans). La pièce d'identité est conservée le temps nécessaire pour procéder à la vérification de l'identité de la personne concernée. Une copie d'un titre d'identité 5 peut être conservée pendant la durée de 6 ans si celle-ci est nécessaire à des fins de preuve ou pour répondre à une obligation légale Suivi de la relation client Enquêtes de satisfaction Intérêt légitime de l'organisme ou Consentement* Durée nécessaire pour la réalisation de l'objectif de l'enquête ou jusqu'à l'exercice du droit d'opposition ou le retrait du consentement Gestion des réclamations Exécution du contrat Durée de la relation contractuelle Service après- vente Exécution du contrat Durée de la relation contractuelle Sélection de clients / Etudes / Enquêtes Études sur la qualité des produits Intérêt légitime de l'organisme ou Consentement* Durée nécessaire pour la réalisation de l'objectif de l'étude ou jusqu'à l'exercice du droit d'opposition ou le retrait du consentement Tests de produits Statistiques de vente Intérêt légitime de l'organisme Durée nécessaire pour la réalisation de l'objectif visé par les statistiques ou jusqu'à l'exercice du droit d'opposition Actions de prospection commerciale, (messages publicitaires, jeux concours, parrainage, promotion, etc.). Par voie électronique (en uploads/Sante/ referentiel-traitements-donnees-caractere-personnel-gestion-activites-commerciales.pdf