Fiche pratique

Cyber commerçants : vos obligations dans la collecte des données personnelles de vos clients

Vous ne pouvez recueillir et conserver des informations concernant vos clients sans vous être au préalable déclaré à la CNIL.

Il existe différents types de déclaration selon la nature des informations collectées et ce que vous souhaitez en faire. La déclaration est dite simplifiée ou normale selon les cas. Toutes ces déclarations peuvent être effectuées en ligne sur le site Internet de la CNIL.

Nature de la déclaration auprès de la CNIL

Quelle est la nature de votre déclaration dans le cadre de votre activité de cybercommerce ?

Pour répondre à cette question, vous devez d’abord vous poser la question suivante : quel type de données est-ce que je compte collecter, et pour quelles finalités ?

1. La déclaration simplifiée :

Dans le cadre de votre activité de cybercommerçant, vous pouvez vous contenter d’effectuer une déclaration simplifiée si les données que vous collectez ne sont pas des données sensibles (voir ci-après) et que vos finalités sont les suivantes :

• Exploitation des données dans le but d’effectuer des opérations relatives à la gestion des clients  (contrats, commandes, livraisons, factures, comptabilité et gestion des comptes clients, gestion de programme de fidélité)

• Exploitation des données dans une optique de prospection (constitution et gestion d’un fichier de prospects, sélection de clients pour réaliser des actions de prospection et de promotion, cession, location ou échange du fichier de clients et de prospects, élaboration de statistiques commerciales, envoi de sollicitations).

Quelles informations pouvez-vous recueillir et exploiter auprès de vos clients dans le cadre d’une déclaration simplifiée ?

Dans le cadre de la déclaration simplifiée, vous êtes autorisé à collecter et exploiter les données à caractère personnel suivantes :

• les données relatives à l'identité de vos clients : nom, prénoms, adresse, numéro de téléphone, numéro de fax, adresse e-mail, date de naissance, référence client interne (numéro de client ou de compte client) ;

• les données relatives au paiement : RIB, numéro de la transaction, numéro de chèque, numéro de CB ;

• les données portant sur le règlement des factures : modalités du règlement, remise consentie, informations relatives aux crédits souscrits (montant et durée, nom de l’organisme prêteur), reçus, impayés, relances, soldes ;

• les données relatives aux achats et plus généralement à la relation commerciale : produit ou service acheté, quantité, montant, périodicité, adresse de livraison, historique des achats, produits retournés, demande de documentation, période d’essai, origine de la vente (vendeur, représentant) ou de la commande, correspondances avec le client et SAV ; 

• les données concernant le statut familial, économique et financier de vos clients : profession, secteur d'activité, catégorie socioprofessionnelle, vie maritale, nombre et âge des enfants.

2. La déclaration normale

Dans quelle hypothèse procédez-vous à une déclaration normale ?

Si vos objectifs lors de l’exploitation des données ne correspondent pas à ceux prédéfinis par la CNIL tels que susmentionnés, vous devez effectuer une déclaration normale auprès de la CNIL. Vous serez donc amené à préciser dans votre déclaration vos objectifs en matière de traitement de données et si besoin est, vous devrez fournir tout document utile.

Ainsi en va-t-il si vous exploitez des fichiers dits sensibles ou à risques.

Qu’est-ce qu’un fichier sensible (ou fichier à risques) ?

Sont considérés, entre autres, comme fichiers sensibles les fichiers qui recensent grâce aux données collectées (nom, date de naissance, numéro de carte bleue…) les mauvais payeurs, les fraudeurs, les personnes ayant transmis des informations erronées…

Ces fichiers, en raison des risques qu’ils représentent en matière de protection des droits sont soumis à un régime d’autorisation obligatoire auprès de la CNIL.

Dès lors, si vous envisagez dès la création de votre site marchand de mettre en œuvre ce type de fichiers, vous devez procéder à une déclaration normale auprès de la CNIL et non pas à une simple déclaration simplifiée.

De la même façon que pour les fichiers dits sensibles, si vous envisagez de collecter et exploiter des données sensibles, vous devez procéder à une déclaration normale auprès de la CNIL et non pas à une déclaration simplifiée.

En effet, si la collecte de données dites sensibles est par principe interdite, elle fait dans certains cas l’objet de dérogations soumises à une autorisation préalable de la CNIL.

Qu’est-ce qu’une donnée sensible ?

Il s’agit pour l’essentiel des données relatives aux origines raciales ou ethniques, opinions religieuses ou philosophiques, données relatives à la santé ou à la sexualité des clients, du numéro de sécurité sociale, des données génétiques et biométriques, des données relatives aux infractions, condamnations…

Obligations du cybercommerçant sur les fichiers de données et droits des personnes fichées

1. Droit à l’information du client :

Vous ne pouvez collecter des informations sur la personne de votre client à son insu. Dès lors que vous recueillez des données à caractère personnel auprès de vos clients, vous devez les en informer et ce, au moment de la collecte de ces données.

Ainsi, lorsque vous faites remplir des questionnaires d’informations à vos clients, les informations à lui fournir sont les suivantes :

• l’identité de la personne responsable du fichier
• les buts poursuivis par la collecte des données
• le caractère obligatoire ou facultatif de chacune des données demandées
• les conséquences éventuelles d’un défaut de saisie de certaines données
• le droit d’accès, de rectification et d’opposition du client au traitement de ses données
• les potentiels transferts de données à caractère personnel vers des états non membres de l’Union européenne.

2. Droit d'opposition du client :

Vous devez donner la possibilité à vos clients dans le cadre d’une collecte d’information de refuser d’être répertorié dans un fichier, de refuser que ses données soient utilisées à des fins de prospections commerciales ou de refuser qu’elles soient transmises à des tiers.

Vous devez leur permettre d’user de leur droit d’opposition par des moyens simples comme celui de cocher une case en cas de refus ou la possibilité de demander la radiation d’un fichier.

3. Droit d’accès du client :

Vos clients doivent pourvoir avoir accès aux informations les concernant et peuvent vous demander des précisions sur l’utilisation qui est faite de leurs données.

4. Droit de rectification du client :

Votre client peut vous demander de rectifier voire supprimer des données qui le concerne. Ainsi en est-il notamment en cas de conservation abusive de données, d’erreur dans les données, ou de collectes de données interdites.

5. Sécurité et confidentialité des fichiers :

Les données que vous avez collectées sont confidentielles, autrement dit, seules les personnes qui y sont autorisées peuvent y avoir accès. Dans le même ordre d’idée, vos fichiers doivent être protégés et il vous appartient de les sécuriser par tous moyens physiques et informatiques conformes à la réglementation applicable et à l’état de l’art (ex : système de paiement en ligne sécurisé, cryptage…).