Avec le développement du web et de l’informatique, les fichiers se sont multipliés dans tous les types d’organisations. Sa déclaration auprès de la Commission nationale de l’informatique et des libertés a été obligatoire de la création de la CNIL jusqu’en 2018. Elle était en réalité dans l’extrême majorité des cas une simple formalité et ne présentait aucun intérêt particulier compte tenu du nombre pharaonique de fichiers déclarés. La quasi-totalité des formalités déclaratives auprès de la CNIL a été supprimée à l’entrée en application du Règlement européen sur la protection des données le 25 mai 2018. Aujourd’hui, la CNIL conserve son rôle d’autorité renforcé par l’harmonisation des législations européennes connue sous l’acronyme RGPD.
FICHIERS, CNIL ET RGPD.
Le règlement général vise à renforcer les droits des personnes. Son application n’est pas encore spectaculaire, mais le volet sensibilisation a bien fonctionné. L’idée générale est une meilleure protection des mineurs, de la vie privée, un droit à l’oubli, un guichet unique pour simplifier l’application (autorité de protection des données de chaque pays) et le tout motivé par une menace de sanction très importante puisque l’entreprise qui ne respecte pas la loi risque une sanction s’élevant dans le cas le plus grave jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros d’amende. Le problème réside bien évidemment dans le «jusqu’à» et dans le «risque».
Le spectre de la collaboration et de l'eugénisme
Côté peuple, l’histoire a tristement montré ce que pouvaient faire des fichiers sur la race, la religion, la santé, l’opinion politique lorsqu’ils étaient aux mains de collaborationnistes au service d’un projet d’extermination. Imaginez la même chose avec des données informatisées pour gagner du temps sur le traitement. Ce n’est pas de la paranoïa, juste un devoir de mémoire !
Les obligations liées à la RGPD
Les obligations liées à la RGPD : Tenir un registre interne pour documenter le traitement des données que vous effectuez. Il vous permettra également de prouver votre conformité en cas de besoin. Améliorez vos pratiques, ne récoltez pas de données dont vous n’avez pas l’utilité, que seules les personnes habilitées peuvent y avoir accès, et que vous ne conservez pas des données plus longtemps que nécessaire. Soyez transparent : informez les personnes à chaque collecte d’informations. Expliquez-leur pourquoi vous avez besoin de ces données, qui y aura accès, combien de temps elles seront conservées, comment la personne peut faire exercer ses droits sur ces données… Désignez un Délégué à la Protection des Données (DPD, ou DPO). Sa mission : tenir son organisme informé de ses obligations et le conseiller dans l’application du RGPD. Assurez la sécurité et la confidentialité des données, en interne, mais également avec vos sous-traitants et partenaires. La problématique des données personnelles doit être intégrée dès la conception d’un système d’information. Elle doit également l’être dans le paramétrage par défaut de ces systèmes.
Ceci étant, le traitement de données informatisées (fichiers et bases de données) et la prospection par voie électronique (emailing et SMS/MMS) sont règlementés depuis longtemps en France par : la loi informatique et liberté d’une part, la Loi sur la Confiance en l’Économie Numérique (LCEN) d’autre part. Ainsi, n’est pas nouvelle l’obligation de collecter le consentement préalable explicite du destinataire (optin) sauf si la personne est prospectée à titre professionnel pour un produit ou service en rapport avec sa profession (BtoB) ou si la personne est déjà cliente de l’entreprise
L'adresse mail fasant partie des données personnelles, dans l’esprit de la réglementation, nous vous recommandons de travailler et tester les questions «optin» pour optimiser vos taux de transformation, d’automatiser la gestion de bases de données pour éviter les erreurs. N’hésitez pas à intégrer dans le contenu de vos emails des textes rassurants tels que : la source du fichier («Vous recevez ce mail parce que vous vous êtes inscrits à notre newsletter») et pourquoi pas, un lien vers le site de la CNIL en bas de mail.
Si vous collectez... des emails.
Lorsque vous collectez des données personnelles, le formulaire de collecte devait et doit toujours mentionner le but du traitement informatique et les destinataires des données, que la personne bénéficie d’un droit d’accès et de rectification aux informations qui la concernent en s’adressant au cas échéant au délégué à la protection des données de l’entreprise ou le service chargé de l’exercice de ces droits… bref vous trouverez toutes les informations formelles sur le site de la CNIL, l’idée générale étant d’obtenir un consentement éclairé de la personne qui entre dans votre fichier. Lorsque vous collectez des données personnelles (l’email est une donnée personnelle), vous deviez fixer une durée de conservation raisonnable lors de la déclaration du fichier auprès de la CNIL. Si vous dépassiez cette durée, vous encourriez… 5 ans d’emprisonnement et de 300 000 € d’amende. C’est toujours d’actualité. Le RGPD n’est guère plus précis sur la durée, il offre néanmoins l’option d’anonymiser les données à l’issue de ce délai «flou».
La CNIL en action et en faits
La CNIL est le régulateur français des données personnelles. Elle accompagne les organisations dans la mise en œuvre de leur conformité en matière de protection des données personnelles. Elle reçoit et traite les réclamations des particuliers et dispose des pouvoirs de contrôles sur place ou en ligne. Elle peut imposer à un acteur de régulariser son traitement (mise en demeure) ou prononcer des sanctions (amende, etc.). Ceci dit à cette heure, le nombre d'actions est pourrait-on dire, dérisoire. En 2021, la CNIL a procédé à 384 contrôles et les manquements constatés ont conduit à prononcer 135 mises en demeure et 18 sanctions, pour un montant cumulé d’amendes jamais atteint qui dépasse les 214 millions d’euros. Tout ça pour ça ! Pourquoi autant de bruit alors que seuls une poignée d'acteurs et pour aller vite, les GAFAM sont concernés ? Pourquoi avoir obligé des milliers d'entreprises à monter des unsines à gaz improbables et dysfonctionnellles... Pour agir sur 3 chats, certes de gros chats !
Un consentement préalable en théorie !
No spam ! Envahissants, peu utiles, mal ciblés… de quoi faire regretter les prospectus qui envahissaient les boîtes aux lettres ! Les courriels commerciaux sont trop utilisés à tort et à travers et sans frontières. Malgré l’anarchie ambiante, il existe bel et bien un cadre dicté et rappelé par la CNIL. Toute publicité non sollicitée adressée par courrier électronique doit être identifiée comme telle, d’une manière claire et non équivoque, dès sa réception par le destinataire. Par ailleurs, les annonceurs et les professionnels du marketing doivent mettre à la disposition des utilisateurs un mécanisme en ligne leur permettant de leur faire savoir qu’ils ne souhaitent pas recevoir à l’avenir de sollicitation en ligne. Le principe dominant doit être celui du «permission marketing», autrement dit un consentement préalable de l’internaute pour recevoir des courriels commerciaux. Dans les faits… ce n’est pas la même chose. Saviez-vous par exemple que les messages téléphoniques doivent permettre aux correspondants de comprendre dès le début de la conversation l’objet de la communication téléphonique !.