Mettre des traitements de données personnelles en conformité avec les dispositions du RGPD ? Il y a des référentiels pour ça.
Couvrant des secteurs ou des thématiques particulières, ces instruments sont censés apporter davantage de sécurité juridique aux organismes.
La Cnil en a deux en projet, relatifs aux traitements mis en œuvre à des fins de gestion des activités commerciales et des impayés. Elle les soumet à consultation publique jusqu’au 11 janvier 2019.
L’un et l’autre répertorient, entre autres, les bases légales exploitables pour mener à bien les traitements en question et les modalités de conservation des données.
Le référentiel « gestion commerciale » est destiné à encadrer la mise en œuvre de fichiers « clients » et « prospects ». Il ne s’applique pas à certaines catégories d’établissements ; notamment de santé, d’assurances et d’éducation.
Le spectre des finalités de traitement est large, de la gestion des contrats à la prospection en passant par le SAV et la comptabilité. La détection de la fraude n’y entre pas, au même titre que le profilage de personnes et le suivi du parcours client dans les commerces physiques.
Le consentement « libre, spécifique, éclairé et univoque » figure parmi les bases légales acceptables.
Trois autres solutions existent : le respect d’une obligation légale incombant à l’organisme, la réalisation de son intérêt légitime (ou de celui du destinataire des données) et l’exécution d’un contrat auquel la personne concernée est partie.
La Cnil suggère que les données à caractère personnel soient conservées au maximum trois ans à partir du dernier contact avec les individus auxquels elles se rapportent. Pour un prospect, il pourra s’agir d’un clic sur un lien dans un e-mail ; pour un client, la date d’expiration d’une garantie.
Le référentiel « impayés » n’est voué à encadrer que le traitement des situations avérées ; pas la prévention d’éventuels défauts de paiement et de manquements autres que pécuniaires.
Sur la question de la base légale, le finalité d’exclusion d’une personne pour toute transaction à venir pourra être fondée sur l’exécution d’un contrat.
En cas de régularisation d’un impayé, les informations relatives à la personne concernée devront être effacées sous 48 h.
Crédit photo : portalgda via Visualhunt / CC BY-NC-SA
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…