Gestion commerciale et gestion des impayés : la CNIL publie deux nouveaux référentiels

28 janvier 2022

La CNIL a adopté, suite à une consultation publique, deux nouveaux référentiels afin de guider les organismes concernés dans la mise en conformité de leurs activités de gestion commerciale et de gestion de leurs impayés.

Les référentiels adoptés par la CNIL sont des outils qui permettent à un organisme de mettre en conformité ses traitements de données personnelles. S’ils n’ont pas de caractère obligatoire (les organismes peuvent s’en écarter de leurs préconisations sous réserve de pouvoir justifier leurs choix), ils permettent toutefois d’offrir de la sécurité juridique aux organismes qui les suivent.

Le référentiel « gestion commerciale » 

Adopté à la suite d’une consultation publique, le référentiel « gestion commerciale » s’adresse à l’ensemble des organismes privés et publics qui mettent en place des traitements de données pour la gestion de leurs activités commerciales. Il remplace la norme simplifiée n° 48, qui n’a plus de valeur juridique depuis l’entrée en application du règlement général sur la protection des données (RGPD). 

Le référentiel fournit un cadre pour les traitements tels que la gestion des contrats (exemple : la gestion des commandes, de la livraison, de l’exécution du service ou de la fourniture du bien ou encore la gestion des factures et paiements), la gestion de programmes de fidélité, le suivi de la relation client pour la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente, ou encore la réalisation d’actions de prospection commerciale.

Les traitements exclus du référentiel

Le référentiel ne concerne pas les traitements :

  • mis en œuvre pour la détection ou la prévention de la fraude ;
  • qui sont susceptibles de conduire à l’exclusion temporaire ou permanente des personnes du bénéfice d’une prestation de services ou de la fourniture d’un bien ;
  • qui impliquent un profilage réalisé à partir de données collectées depuis des sources tierces à l’organisme ;
  • et ceux dont les données sont collectées par le biais de cookies et autres traceurs.

Les principales évolutions par rapport à la norme simplifiée 48 (NS-48)

Le référentiel actualise et consolide la doctrine de la CNIL sur la gestion des fichiers de clients et prospects en intégrant les évolutions liées à l’entrée en application du RGPD et à la modification de la loi Informatique et Libertés. Parmi les principales évolutions figurent :

  • l’encadrement des opérations de transmission de données à des tiers à des fins de prospection commerciale : le référentiel identifie les bases légales possibles pour de telles opérations  conformément au cadre juridique applicable et rappelle les obligations de chaque acteur (information, recueil préalable du consentement des personnes, etc.) ;
  • l’ajout de précisions concernant les durées de conservation notamment pour les données collectées dans le cadre de l’exercice des droits par les personnes ;
  • l’ajout de précisions concernant le traitement de données sensibles (données concernant la vie sexuelle ou l'orientation sexuelle, la prétendue origine raciale ou origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale).

À la suite de la consultation publique, des développements ont été ajoutés concernant l’identification des bases légales susceptibles de fonder les traitements visés par le référentiel. Des précisions ont été également apportées sur les hypothèses dans lesquelles la réalisation d’une analyse d'impact sur la protection des données (AIPD) est obligatoire, ou non.

Le référentiel « gestion des impayés » 

L’encadrement des traitements courants en matière de gestion des impayés

Ce référentiel encadre la mise en œuvre par les organismes de droit privé ou public d’un traitement de gestion des impayés avérés (ceux pour lesquels il n’existe aucun doute) et les créances pécuniaires. À ce titre, le référentiel fournit un cadre aux traitements ayant pour objectif de recenser des impayés et d’identifier les personnes qui en sont à l’origine afin de pouvoir exclure ces dernières de toute transaction à venir.

Les traitements exclus du référentiel

Compte tenu de la nature particulière de leurs activités, ce référentiel ne s’applique pas, notamment :

  • aux traitements mis en œuvre par les organismes de gestion et de recouvrement de créances ;
  • par les organismes d’enquête civile ;
  • ainsi que les établissements bancaires ou assimilés et les entreprises d’assurance.

Il n’encadre pas non plus les traitements de détection des impayés incluant une évaluation (« scoring »), l’enrichissement du traitement à partir d’informations collectées par ou auprès de tiers, ou encore le partage ou la mutualisation du fichier recensant les personnes en situation d’impayé avec des tiers.

Des garanties spécifiques à la gestion des impayés

Les traitements encadrés par le référentiel « gestion des impayés » peuvent avoir pour conséquence de priver une personne du bénéfice d’une prestation, ce qui implique la mise en œuvre de garanties particulières, telles que :

  • une information renforcée des personnes concernées, en plusieurs étapes (au moment de la conclusion du contrat, lorsque l’impayé survient ainsi qu’au moment de l’inscription sur la liste d’exclusion) ;
  • une durée limitée de conservation des données relatives à la personne concernée, c’est-à-dire un délai de suppression de 48 h maximum après le constat de régularisation et de 5 ans à compter de la survenance de l’impayé, dans le cas où il n’y a pas de régularisation.

Une FAQ accompagne la publication de ces nouveaux référentiels afin d’en faciliter la lecture et la compréhension.