Après une longue phase de concertation avec les différents acteurs concernés, la CNIL a publié, en février 2022, un nouveau référentiel « gestion commerciale », encadrant notamment la réalisation d’actions de prospection commerciale et qui était accompagné de nombreuses ressources pour guider les acteurs dans leur mise en conformité.
En s’appuyant sur le référentiel récemment publié, la CNIL vérifiera la conformité au RGPD des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers).
Dans une volonté constante d’accompagnement, la CNIL a largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs. Elle considère aujourd'hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs.
Ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration.
Au regard de ces enjeux, la CNIL considère nécessaire que ces technologies, devenues incontournables, fassent l’objet d’une attention particulière. Elle approfondira, tout au long de l’année, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.
On attend encore le décret d’application
Par une décision en date du 10 février 2022, la CNIL en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées, grâce à l’outil google Analytics, sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles. En effet, Google Analytics permet de disposer de statistiques de fréquentation d’un site web.
Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégal. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.
| Finalités | Base légale | Durée de conservation recommandée | |
|---|---|---|---|
| Gestion des contrats & Programmes de fidélité | Gestion des Commandes, de la livraison, de l’exécution du service ou fourniture du bien, etc. | Exécution du contrat | Durée de la relation contractuelle |
| Tenue de la Comptabilité | Obligations comptables, fiscales, etc. | Respect d’une obligation légale de conservation des données (par exemple, l’obligation de s'assurer de l'identité de la personne en demandant la fourniture sous la forme d’archive intermédiaire : durée légale de conservation (par exemple, obligation comptable de 10 ans). La pièce d'identité est conservée le temps nécessaire pour procéder à la vérification d'un justificatif d'identité) | Sous la forme d’archive intermédiaire : durée légale de conservation (par exemple, obligation comptable de 10 ans). La pièce d'identité est conservée le temps nécessaire pour procéder à la vérification de l'identité de la personne concernée. Une copie d'un titre d'identité peut être conservée pendant la durée de 6 ans si celle-ci est nécessaire à des fins de preuve ou pour répondre à une obligation légale |
| Suivi de la relation client | Enquêtes de satisfaction | Intérêt légitime de l'organisme ou Consentement* | Durée nécessaire pour la réalisation de l'objectif de l'enquête ou jusqu'à l'exercice du droit d'opposition ou le retrait du consentement |
| Gestion des réclamations | Exécution du contrat | Durée de la relation contractuelle | |
| Service après-vente | Exécution du contrat | Durée de la relation contractuelle | |
| Sélection de clients / Etudes / Enquêtes | Etudes sur la qualité des produits | Intérêt légitime de l’organisme ou consentement | Durée nécessaire pour la réalisation de l'objectif de l'étude ou jusqu'à l'exercice du droit d'opposition ou le retrait du consentement |
| Test de produits | |||
| Statistiques de vente | Intérêt légitime de l’organisme | Durée nécessaire pour la réalisation de l'objectif visé par les statistiques ou jusqu'à l'exercice du droit d'opposition | |
| Actions de prospection commerciale, (messages publicitaires, jeux concours, parrainage, promotion, etc.). | Par voie électronique (en vue de l’envoi de courriel, SMS, système automatisé de communication électronique sans intervention humaine, etc.),pour des biens ou services qui n’ont pas déjà été achetés par les personnes visées | Consentement (voir art. L. 34-5 du CPCE) | Jusqu'au retrait du consentement ou 3 ans à compter du dernier contact des personnes avec l'organisme |
| Par voie postale ou système automatisé d'appels donnant lieu à intervention humaine et appels téléphoniques | intérêt légitime de l'organisme ou consentement* | ||
| À destination de professionnels (Par voie électronique, postale ou téléphone | |||
| Par voie électronique, pour des biens et services analogues déjà achetés / souscrits auprès du responsable de traitement | |||
Le principal apport concerne les exigences de sécurité attendue en la matière.
Le document précise les données personnelles concernées qui peuvent être relatives :
Les durées de conservation proposées sont :
Si l’organisme choisit de conserver les données pour une durée plus longue que celle proposée par le référentiel, il devra s’assurer que cette durée n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En cas de régularisation de l’impayé, les informations relatives à la personne concernée devraient être effacées du fichier recensant les personnes en situation d’impayé dans les 48 heures suivant le constat de la régularisation par l’organisme ou à partir du moment où l’impayé a été effectivement soldé.
En cas de non-régularisation, les informations peuvent être conservées dans le fichier recensant les personnes en situation d’impayés et les excluant de ce fait du bénéfice d’une prestation, dans la limite de 5 ans à compter de la survenance de l’impayé. En tout état de cause, elles peuvent être archivées si l’organisme en a l’obligation légale (par exemple, pour répondre à des obligations comptables ou fiscales) ou si l’organisme souhaite se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable.
| Catégories | Mesures |
|---|---|
| Sensibiliser les utilisateurs | Informer et sensibiliser les personnes accédant aux données. |
| Rédiger une charte informatique et lui donner une force contraignante. | |
| Authentifier les utilisateurs | Définir un identifiant (login) propre à chaque utilisateur. |
| Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL. | |
| Obliger l’utilisateur à changer son mot de passe après réinitialisation. | |
| Ne pas stocker les mots de passe en clair. | |
| Limiter le nombre de tentatives d’accès à un compte. | |
| Gérer les habilitations | Définir des profils d’habilitation. |
| Supprimer les permissions d’accès obsolètes. | |
| Réaliser une revue annuelle des habilitations. | |
| Tracer les accès et gérer les incidents | Prévoir un système de journalisation. |
| Informer les utilisateurs de la mise en place du système de journalisation. | |
| Protéger les équipements de journalisation et les informations journalisées. | |
| Prévoir les procédures pour les notifications de violation de données à caractère personnel. | |
| Sécuriser les postes de travail | Prévoir une procédure de verrouillage automatique de session. |
| Utiliser des antivirus régulièrement mis à jour. | |
| Installer un « pare-feu » (firewall) logiciel. | |
| Recueillir l’accord de l’utilisateur avant toute intervention sur son poste. | |
| Sécuriser l'informatique mobile | Prévoir des moyens de chiffrement des équipements mobiles. |
| Faire des sauvegardes ou des synchronisations régulières des données. | |
| Exiger un secret pour le déverrouillage des ordiphones. | |
| Protéger le réseau informatique interne | Limiter les flux réseau au strict nécessaire. |
| Sécuriser les accès distants des appareils informatiques nomades par VPN. | |
| Mettre en œuvre les protocoles WPA2 ou WPA2-PSK pour les réseaux Wi-Fi. | |
| Sécuriser les serveurs | Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. |
| Installer sans délai les mises à jour critiques. | |
| Assurer une disponibilité des données. | |
| Sécuriser les sites web | Utiliser le protocole TLS et vérifier sa mise en œuvre. |
| Vérifier qu'aucun mot de passe ou identifiant n'est incorporé aux URL. | |
| Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu. | |
| Recueillir le consentement pour les cookies et autres traceurs non nécessaires au service. | |
| Sauvegarder et prévoir la continuité d'activité | Effectuer des sauvegardes régulières. |
| Stocker les supports de sauvegarde dans un endroit sûr et éloigné du site principal. | |
| Prévoir des moyens de sécurité pour le convoyage des sauvegardes. | |
| Prévoir et tester régulièrement la continuité d'activité. | |
| Archiver de manière sécurisée | Mettre en œuvre des modalités d’accès spécifiques aux données archivées. |
| Détruire les archives obsolètes de manière sécurisée. | |
| Encadrer la maintenance et la destruction des données | Enregistrer les interventions de maintenance dans une main courante. |
| Encadrer par un responsable de l’organisme les interventions par des tiers. | |
| Effacer les données de tout matériel avant sa mise au rebut. | |
| Gérer la sous- traitance | Prévoir des clauses spécifiques dans les contrats des sous-traitants. |
| Prévoir les conditions de restitution et de destruction des données. | |
| S’assurer de l'effectivité des garanties prévues (audits de sécurité, visites, etc.). | |
| Sécuriser les échanges avec d'autres organismes | Chiffrer les données avant leur envoi. |
| S’assurer qu'il s'agit du bon destinataire. | |
| Transmettre le secret par un envoi distinct et via un canal différent. | |
| Protéger les locaux | Restreindre les accès aux locaux au moyen de portes verrouillées. |
| Installer des alarmes anti-intrusion et les vérifier périodiquement. | |
| Encadrer les développements informatiques | Proposer par défaut des paramètres respectueux de la vie privée aux utilisateurs finaux. |
| Éviter les zones de commentaires libres ou les encadrer strictement. | |
| Tester sur des données fictives ou anonymisées. | |
| Utiliser des fonctions cryptographiques | Utiliser des algorithmes, des logiciels et des bibliothèques reconnus. |
| Conserver les secrets et les clés cryptographiques de manière sécurisée. |
Novenci Angoulême
86 avenue Maryse Bastié, ZI N°3 16340 L’ISLE D’ESPAGNACNovenci Bordeaux
Le Médoc, 61 route Jean Briaud 33700 MERIGNACNovenci La Rochelle
Rond-Point de la République Z.I. des 4 Chevaliers Rue Paul Vatine - bâtiment N°11 17180 PERIGNYNovenci Toulouse
PA de la Plaine 2 impasse Henri Pitot 31500 TOULOUSEAndorsoft
Av. Fiter i Rossell, 4 (Ed. Centre de Negoci) AD700 ESCALDESContact : 05 16 50 80 20
Support : 05 86 07 77 77
