Mentions légales |
Article 1erPeut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion des fichiers de clients et de prospects qui répond aux conditions suivantes. Article 2 : Finalités des traitementsLe traitement peut avoir tout ou partie des finalités suivantes :
Article 3 : Données traitées
Article 4 : Les destinataires et les personnes habilitées à traiter les donnéesPeuvent seuls, dans les limites de leurs attributions respectives, avoir accès aux données à caractère personnel :
Peuvent être destinataires des données, dans les limites de leurs attributions respectives :
Sous réserve des dispositions de l'article 7 de la présente délibération, les données relatives à l’identité (à l’exclusion du code interne de traitement permettant l'identification du client) ainsi que les informations relatives à la situation familiale, économique et financière peuvent être cédées, louées ou échangées, dès lors que les organismes destinataires s'engagent à ne les exploiter que pour s'adresser directement aux intéressés, pour des finalités exclusivement commerciales. Les données relatives à la relation commerciale susceptibles, eu égard au type de documentation demandé, à la nature du produit acheté, du service ou de l’abonnement souscrit, de faire apparaître indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la vie sexuelle de celles-ci ne peuvent être cédées, louées ou échangées qu’après avoir recueilli le consentement exprès de la personne concernée. Article 5 : Durée de conservationLes données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale à l’exception de celles nécessaires à l’établissement de la preuve d’un droit ou d’un contrat qui peuvent être archivées conformément aux dispositions du code de commerce relatives à la durée de conservation des livres et documents créés à l'occasion d'activités commerciales et du code de la consommation relatives à la conservation des contrats conclus par voie électronique, en l’occurrence dix ans. Les données à caractère personnel relatives aux prospects ne peuvent être conservées que pour la durée pendant laquelle elles sont nécessaires à la réalisation des opérations de prospection. La Commission recommande que les données collectées auprès de prospects soient supprimées au maximum un an après le dernier contact de leur part ou lorsqu’ils n’ont pas répondu à deux sollicitations successives. Article 6 : Information des personnes concernéesLes personnes concernées sont informées, au moment de la collecte de leurs données, de l’identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, et de leurs droits d’accès, de rectification et d’opposition, pour des motifs légitimes, au traitement de leurs données sauf dans les cas où le traitement répond à une obligation légale (délibération n°2005-276 du 17 novembre 2005) et, le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un état non membre de l’Union européenne. Lorsque les données sont utilisées à des fins de prospection, notamment commerciale, les personnes concernées sont informées qu’elles peuvent s’y opposer sans frais et sans justification. L’envoi de prospection commerciale par voie électronique est subordonné au recueil du consentement préalable des personnes concernées, sauf dans les cas d’une relation client-entreprise préexistante et d’une prospection entre professionnels. Dans ces hypothèses, les personnes doivent avoir été mises en mesure, au moment de la collecte de leurs données, de s’opposer de manière simple et dénuée d’ambiguïté à une utilisation de leurs données à des fins commerciales. Dans le cas d’une collecte via un formulaire, le droit d’opposition ou le recueil du consentement préalable doit s’exprimer par un moyen simple tel que l’apposition d’une case à cocher. Article 7 : SécuritésLe responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données visées à l’article 3 et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès. Dans le cas de l’utilisation d’un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre tout accès non autorisé au système de traitement automatisé de données. Lorsqu’un moyen de paiement à distance est utilisé, le responsable de traitement doit prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l’état de l’art et à la réglementation applicable. Article 8 : Exclusion du bénéfice de la norme simplifiéeTout traitement non conforme aux dispositions des articles 2 à 9 de la présente décision ne peut faire l’objet d’une déclaration simplifiée auprès de la CNIL en référence à la présente norme. Les traitements qui du fait de leur nature, de leur portée ou de leurs finalités, sont susceptibles d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat ne peuvent faire l’objet d’une déclaration simplifiée en référence à la présente norme conformément aux dispositions de l’article 25, I, 4° de la loi du 6 janvier 1978 modifiée. Les dispositions de la présente norme ne sont pas applicables aux secteurs d'activités suivants : établissements bancaires ou assimilés, entreprises d'assurances, santé et éducation. Article 9Les normes simplifiées n°11, 17 et 25 établies respectivement par les délibérations n°80-021 du 24 juin 1980, n°81-16 du 17 février 1981 et 81-117 du 1er décembre 1981 modifiées par les délibérations n°96-101, n°96-102 et n°96-103 du 19 novembre 1996 sont abrogées. Pour les entreprises ou organismes privés et publics, la déclaration simplifiée effectuée en référence à la présente norme remplace les déclarations simplifiées effectuées en référence aux normes simplifiées n°11, 17 et 25. |