Norme simplifiée n° 48
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;
Vu le code des postes et des communications électroniques, et notamment son article L. 34-5 ;
Vu le code de la consommation, et notamment ses articles L. 121-20-5 et L. 134-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 24 ;
Vu les délibérations n° 80-021 du 24 juin 1980, n° 81-16 du 17 février 1981 et n° 81-117 du 1er décembre 1981, modifiées respectivement par les délibérations n° 96-101, n° 96-102 et n° 96-103 du 19 novembre 1996 (normes simplifiées 11, 17 et 25) ;
Après avoir entendu M. Bernard Peyrat, commissaire, en son rapport et Mme Charlotte Marie Pitrat, commissaire adjoint du Gouvernement, en ses observations,
Formule les observations suivantes :
En vertu de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Les traitements informatisés relatifs à la gestion des fichiers de clients et de prospects sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
La Commission a adopté plusieurs normes simplifiées relatives à la gestion des fichiers de clients et de prospects, à savoir la norme simplifiée n° 11 relative à la gestion des clients actuels et potentiels, la norme simplifiée n° 17 concernant la gestion des fichiers de clientèle des entreprises dont l'objet social inclut la vente par correspondance et la norme simplifiée n° 25 concernant la gestion des fichiers de destinataires d'une publication périodique de presse.
Ces normes simplifiées ont fait l'objet d'une modification en 1996 afin d'envisager la collecte de données par des supports télématiques.
En raison de l'utilisation de plus en plus courante de l'internet, il est apparu nécessaire d'adopter une nouvelle norme simplifiée envisageant la collecte de données par internet ainsi que la prospection par voie électronique. Cette norme regroupe dans son champ d'application les traitements relevant des normes n° 11, 17 et 25. Elle permet aux responsables de traitement d'effectuer une déclaration simplifiée, dans les conditions qu'elle précise, pour les traitements relatifs aux personnes avec lesquelles des relations contractuelles sont nouées, les clients et les clients potentiels, simples prospects, à l'exclusion de ceux mis en oeuvre par les établissements bancaires ou assimilés, les entreprises d'assurances, de santé et d'éducation,
Décide :