CNIL et LIL : Joyeux anniversaire !

La Commission Nationale de l’Informatique et des Libertés (CNIL) et la Loi Informatique et Libertés fêtaient leurs 45 ans le 6 janvier dernier !

Nous sommes en 1974 lorsque la presse française révèle un projet gouvernemental qui fera l’effet d’une bombe : chaque français se verrait attribuer un numéro d’identification unique qui serait interconnecté à tous les fichiers que l’administration française détient sur lui (sécurité sociale ; déclaration de revenus ; casier judiciaire…).

Ce projet, connu sous le nom de SAFARI, révéla alors une prise de conscience collective liée aux dangers de l’informatique et inscrite dans le contexte d‘une évolution technologique fondamentale : le passage du fichier papier au fichier informatisé !

Le concept de protection des données est né d’une double préoccupation liée d’une part, aux potentiels dangers de l’informatique pour les libertés publiques, et d’autre part, à la nécessité de définir des règles déontologiques permettant de maîtriser l’utilisation de l’informatique.

Ainsi, l’émergence en France, de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés (LIL), s’entend comme une réponse apportée au scandale de l’époque lié à l’affaire Safari et place ainsi la France, au côté de l’Allemagne et de la Suède, comme l’un des pays précurseurs en matière de protection des données personnelles. La LIL créée alors la première autorité administrative indépendante française : la Commission Nationale de l’Informatique et des Libertés (CNIL).

C’est dans ce contexte que fut adoptée, le 14 octobre 1995, la directive européenne 95/46/CE sur la protection des données personnelles : acte juridique européen qui donnait aux États membres destinataires des objectifs à atteindre dans un délai fixé.

À la différence d’un règlement d’applicabilité directe, la directive nécessitait de la part des États membres une transposition dans leur droit national (chose faite en France par une loi du 6 août 2004). S’inspirant alors largement de la loi française de 1978, cette directive avait pour ambition de prendre connaissance des différences de niveau de protection offerte dans chaque pays membre, de manière à harmoniser la protection des données et de faciliter la circulation des données au sein de l’Europe.

Mais les différences entre les lois nationales de chacun des pays membres étant trop importantes, l’harmonisation tant attendue par la directive européenne de 1995 fut un échec…

Le RGPD est par conséquent adopté par le Parlement européen beaucoup plus tard, le 14 avril 2016 et n’entrera en application qu’à partir du 25 mai 2018. D’applicabilité directe, le RGPD s’impose alors aux États membres de l’Union européenne (UE), désormais soumis aux mêmes règles en matière de protection des données.

Quelles durées de conservation appliquer dans le cadre de la prospection ?

Données des clients utilisées à des fins de prospection commerciale :

  • Jusqu’à l’exercice du droit d’opposition ou le retrait du consentement ;

OU, au plus tard

  • En base active, le temps de la relation commerciale ;
  • En archivage intermédiaire pour une durée maximale de 3 ans à compter de la fin de la relation commerciale.

 

Données de prospect non-client :

  • Jusqu’à l’exercice du droit d’opposition ou le retrait du consentement ;

OU, au plus tard

  • Pendant 3 ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (ex : demande de documentation, clic sur un lien hypertexte contenu dans un courriel de prospection). La simple ouverture d’un mail ne devrait pas être considérée comme un contact émanant du prospect.
  • Au terme de ce délai, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive, il conviendra de supprimer les données.
Les données publiquement accessibles sur le web peuvent-elles être utilisées à des fins de prospection commerciale ?

Si les données à caractère personnel sont librement accessibles, elles ne sont pour autant pas librement réutilisables à des fins de prospection. Autrement dit, le responsable de traitement qui entend « aspirer » des données publiques afin de les réutiliser pour ses opérations de prospection, doit se poser plusieurs questions :

  • Quelle est la base légale mobilisable pour cette opération de collecte ? 
  • Quelles sont les attentes raisonnables des personnes concernées ? 

Cas pratique : une personne publie sur un site de ventes entre particulier, une annonce, incluant son numéro de téléphone. La CNIL a considéré que le consentement de la personne concernée était requis.

Bien sûr, la personne concernée devra être informée de cette collecte indirecte, dans les conditions prévues par l’article 14 du RGPD.

Enfin, la transmission des données personnelles à des partenaires à des fins de prospection est également encadrée au sein d’un référentiel publié par la CNIL le 3 février 2022 relatif au traitements de données mis en œuvre aux fins de gestion des activités commerciales

Vite, j’accède au référentiel publié par la CNIL.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»