Mon compte Devenir membre Newsletters

Collecte de données: passage par la case Cnil obligatoire

Publié le par

Si vous collectez des informations sur vos clients, du simple nom à ses habitudes d'achat, vous devez en informer la Commission nationale de l'informatique et des libertés (Cnil). Une démarche également obligatoire si vous utilisez la vidéosurveillance.

Vous avez l'habitude de recueillir les coordonnées de vos clients, afin de les informer régulièrement de vos promotions... Un acte apparemment anodin, mais qui requiert néanmoins une déclaration préalable à la Commission nationale de l'informatique et des libertés (Cnil). La marche à suivre dépend de la nature de votre fichier. S'il s'agit d'une base de données consacrée à vos clients, contenant uniquement leurs coordonnées: une déclaration simplifiée, dite norme 48, suffit. Rendez-vous sur le site Cnil.fr pour remplir le formulaire. Vous devez alors vous identifier à l'aide de votre numéro Siren et de vos coordonnées, puis valider le formulaire. La création du fichier est autorisée à partir de la date de récépissé, soit 48 heures après la déclaration. Si la durée pour garder un fichier n'est pas précisée, ce sont néanmoins des données qui deviennent rapidement obsolètes. Il est donc vivement conseillé de rafraîchir régulièrement les données auprès de vos clients, en leur demandant à chaque fois leur consentement.

Fidélisation: un formulaire plus détaillé

Si vous souhaitez mettre en place un système de carte de fidélité, d'autres éléments d'information sont nécessaires, comme la liste et la date des achats effectués par vos clients, par exemple. Pour ce type de fichier, il faut cette fois remplir un formulaire plus complet, en répondant à plusieurs questions précises: qui gère le fichier (un prestataire ou vous-même), quelles données souhaitez-vous collecter et par quel moyen, dans quel but, quelle est la durée de conservation souhaitée? Mais aussi: à qui les données sont-elles transmises, quelles sont les mesures envisagées pour les sécuriser et enfin comment les personnes figurant dans votre fichier en sont informées? Une fois ces informations transmises par Internet, la Cnil les examine dans un délai moyen de quatre semaines, avant de vous donner le feu vert. Ce qui ne vous dispense nullement de demander l'autorisation pour envoyer promotions, newsletters et autres informations à vos clients. Ils doivent aussi avoir la possibilité de modifier et de supprimer leurs données de votre fichier. La règle est la même sur Internet: vos newsletters doivent inclure un lien permettant le désabonnement. Il est également interdit de qualifier votre base de données avec des éléments personnels ou discriminatoires, voire des commentaires abusifs («mauvais payeur», «client de mauvaise foi», etc.).

De lourdes sanctions

«Si vous utilisez actuellement des fichiers non déclarés, n'hésitez pas à vous mettre dès à présent en conformité avec la loi, conseille Emilie Passemard, chef de service d'orientation et de renseignement du public à la Cnil. Il ne vous en sera pas tenu rigueur et vous échapperez alors aux sanctions.» Soit jusqu'à 300 000 euros d'amende et 5 ans d'emprisonnement. Autre élément qu'il faut impérativement signaler: les équipements de vidéosurveillance sur le lieu de votre point de vente. S'agissant d'un lieu public, vous devez effectuer votre déclaration, non pas à la Cnil, mais auprès de votre Préfecture de département (ou la Préfecture de police à Paris). Une démarche obligatoire, y compris pour un dispositif provisoire. En revanche, si vous souhaitez filmer un lieu privé, comme la réserve du magasin, uniquement accessible aux salariés, et si vous enregistrez ces données sur un support numérique, c'est à la Cnil que vous devez déclarer votre installation. En vous engageant à respecter le code du travail, qui encadre cette utilisation de la vidéosurveillance. L'organisme vous délivre alors ses préconisations.