Articles

Article 5 AUTONOME (Délibération n° 2016-264 du 21 juillet 2016 portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048))

Article 5 AUTONOME (Délibération n° 2016-264 du 21 juillet 2016 portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048))


Durées de conservation.
Concernant les données relatives à la gestion de clients et de prospects :
Les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.
Toutefois, les données permettant d'établir la preuve d'un droit ou d'un contrat, ou conservées au titre du respect d'une obligation légale, peuvent faire l'objet d'une politique d'archivage intermédiaire pour une durée n'excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation). Il convient de prévoir à cet effet une base de données d'archives dédiée ou une séparation logique dans la base de données active, après avoir opéré un tri des données pertinentes à archiver.
Pour pouvoir conserver, au-delà de la durée de conservation fixée au regard de l'article 6 (5°) de la loi, des informations relatives à des clients ou des prospects à des fins d'analyses ou d'élaboration de statistiques agrégées, les données doivent être anonymisées de manière irréversible, en procédant à la purge de toutes les données à caractère personnel, y compris les données indirectement identifiantes. A cet égard, le G29 a adopté un avis le 10 avril 2014 sur les techniques d'anonymisation.
Par ailleurs et sous réserve du respect de l'article 6 de la présente norme, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d'un achat, de la date d'expiration d'une garantie, du terme d'un contrat de prestations de services ou du dernier contact émanant du client).
Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l'ouverture d'un courriel ne peut être considérée comme un contact émanant du prospect).
Au terme de ce délai de trois ans, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l'absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.
Concernant les pièces d'identité :
En cas d'exercice du droit d'accès ou de rectification, les données relatives aux pièces d'identité peuvent être conservées pendant le délai prévu à l'article 9 du code de procédure pénale (soit un an). En cas d'exercice du droit d'opposition, ces données peuvent être archivées pendant le délai de prescription prévu à l'article 8 du code de procédure pénale (soit trois ans).
Concernant les données relatives aux cartes bancaires :
Les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée, c'est-à-dire dès son paiement effectif, qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les contrats conclus à distance et hors établissement, conformément à l'article L. 221-18 du code de la consommation.
Dans le cas d'un paiement par carte bancaire, le numéro de la carte et la date de validité de celle-ci peuvent être conservés pour une finalité de preuve en cas d'éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l'article L. 133-24 du code monétaire et financier, en l'occurrence treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d'utilisation de cartes de paiement à débit différé. Ces données doivent être utilisées uniquement en cas de contestation de la transaction. Les données conservées à cette fin doivent faire l'objet de mesures de sécurité, telles que décrites à l'article 8 de la présente norme et à l'article 5 de la délibération n° 2013-358 du 14 novembre 2013 susvisée.
Les données relatives aux cartes bancaires peuvent être conservées plus longtemps sous réserve d'obtenir le consentement exprès du client, préalablement informé de l'objectif poursuivi (par exemple, faciliter le paiement des clients réguliers). La durée de conservation ne saurait alors excéder la durée nécessaire à l'accomplissement de la finalité visée par le traitement. Le consentement doit prendre la forme d'un acte de volonté explicite et peut par exemple être recueilli par l'intermédiaire d'une case à cocher, non précochée par défaut. Il ne peut résulter de l'acceptation de conditions générales. La commission recommande par ailleurs que le responsable de traitement intègre directement sur son site marchand un moyen simple et gratuit de revenir sur le consentement donné pour la conservation des données de la carte, afin de faciliter les achats ultérieurs.
De manière générale, les données relatives au cryptogramme visuel ne doivent pas être conservées au-delà du temps nécessaire à la réalisation de chaque transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs.
Lorsque la date d'expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées.
Concernant la gestion des listes d'opposition à recevoir de la prospection :
Lorsqu'une personne exerce son droit d'opposition à recevoir de la prospection auprès d'un responsable de traitement, les informations permettant de prendre en compte son droit d'opposition doivent être conservées au minimum trois ans à compter de l'exercice du droit d'opposition. Ces données ne peuvent en aucun cas être utilisées à d'autres fins que la gestion du droit d'opposition et seules les données nécessaires à la prise en compte du droit d'opposition doivent être conservées (par exemple, l'adresse électronique).
Concernant les statistiques de mesure d'audience :
Au sujet des statistiques de mesure d'audience, les informations stockées dans le terminal des utilisateurs (par exemple, les cookies) ou tout autre élément utilisé pour identifier les utilisateurs et permettant la traçabilité des utilisateurs ne doivent pas être conservés au-delà de treize mois. Les nouvelles visites ne doivent pas prolonger la durée de vie de ces informations.
Les données de fréquentation brutes associant un identifiant ne doivent pas être conservées plus de treize mois. Au-delà de ce délai, les données doivent être soit supprimées, soit anonymisées.