Pour des raisons de marketing ou commerciales, les entreprises ont besoin de constituer des fichiers contenant des données personnelles appartenant à leurs clients ou prospects : fonction, coordonnées, liste des échanges récents, moyens de paiement…
La réglementation en vigueur impose toutefois un certain nombre d’obligations aux entreprises et la Commission Nationale de l’Informatique et des Libertés (CNIL) veille à leur respect, sous peine de sanctions.
Les obligations préalables de déclaration et d’information
Lors de la constitution d’un fichier clients, les entreprises ont une double obligation :
1) Déclaration auprès de la CNIL
Avant même sa création, l’entreprise doit avertir la CNIL de la mise en place d’un fichier clients. Selon son caractère invasif ou non, il faudra procéder à une déclaration simplifiée (renvoi du récépissé sous 48 heures) ou une déclaration normale (plusieurs semaines d’attente). Les personnes en charge du fichier, sa finalité, ainsi que la durée de conservation des données doivent être mentionnées. Pour certaines données jugées sensibles, le fichier clients ne peut être constitué qu’avec l’autorisation expresse de la CNIL.
2) Information des clients dont les données personnelles sont collectées dans le fichier
L’information des clients est obligatoire avant d’inclure leurs données dans un fichier. Vous devez également leur offrir la possibilité de s’opposer à l’inscription, de vérifier l’exactitude des données ou de pouvoir les corriger à défaut.
La confidentialité et la sécurité des données a posteriori
Les entreprises ont l’obligation de veiller à la confidentialité et à la sécurité des données.
- Vous devez vous assurer que seules les personnes habilitées (à travers la déclaration faite à la CNIL) puissent consulter le fichier clients. Pour des raisons de confidentialité, ce dernier ne peut en aucun cas être accessible à l’ensemble des employés de l’entreprise
- L’entreprise doit en outre veiller à la sécurité des données, par des moyens de protection des locaux ou des moyens de lutte contre le piratage en ligne. Et ce, afin d’empêcher toute déformation ou vol de données personnelles par des individus extérieurs.
| Les sanctions applicables en cas de non respect des obligations Une entreprise qui aurait omis de déclarer l’existence d’un fichier clients auprès de la CNIL peut faire face à une amende de 300 000 €, tandis que le responsable de la gestion des données peut être condamné à une peine de 5 ans d’emprisonnement. Les mêmes sanctions sont applicables en cas de défaillance en matière de sécurité ou en cas de conservation des données au-delà de la durée déclarée à la CNIL. La divulgation par imprudence de données personnelles est punie de 3 ans de prison et de 100 000 € d’amende. Le refus d’une entreprise de permettre à un client d’accéder ou de modifier ses données personnelles est puni d’une amende de 1 500 € pour chaque infraction constatée par la CNIL (le double en cas de récidive). |
