Dans son article du 5 avril, La Cnil revient sur son site sur le projet de règlement européen diffusé par la Commission européenne le 25 janvier 2012.
Celui-ci place le CIL au cœur de l’action de la conformité des organismes.
Il ne s’agit encore que d’un projet mais on peut déjà voir les grandes tendances :
Quelques éléments :
- La désignation obligatoire pour 2 ans au moins
• pour les autorités ou organismes publics,
• les entreprises de 250 employés ou plus
• pour les organismes dont les activités de base « consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées» .
- Le Délégué à la Protection des Données (DPD) peut être un salarié ou un prestataire externe
- Il est rattaché au responsable de traitement et ne reçoit aucune instruction dans l’exercice de ses missions.
- Il est le point de contact de l’autorité et la consulte, si nécessaire, sur les questions liées aux traitements.
- Il veille au respect des exigences relatives à :
• la prise en compte de la protection des données dès la conception ou par défaut
• la sécurité des donnés
• l’information des personnes et l’exercice de leurs droits.
(source : www.cnil.fr)
une nouvelle norme simplifiée N°48 de la CNIL concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects.
La CNIL dans sa délibération 2012-209 du 21 juin 2012 a précisé, entre autres, les durées de conservation concernant les données relatives à la gestion de clients et de prospects.
« Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.
Toutefois, les données permettant d’établir la preuve d’un droit ou d’un contrat, ou, conservées au titre du respect d’une obligation légale peuvent être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation).
Par ailleurs et sous réserve du respect de l’article 6 de la présente norme, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client).
Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (demande de documentation par exemple).
Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.»
Dans la pratique toutefois, une question demeure sur l’emploi de « Au terme» . En effet, faudra-t-il attendre la fin de ces 3 années pleines avant que le responsable de traitement puissent relancer ces contacts inactifs ? Le délai de réponse attendue du prospect est-il inclus dans ces trois ans ? si non, au bout de combien de temps doit-on considérer l’absence « d’une réponse positive et explicite de la personne ?