Date de signature : | 23/09/2021 | Statut du texte : | En vigueur |
Date de publication : | 10/04/2022 | Emetteur : | Commission nationale de l'informatique et des libertés |
Consolidée le : | Source : | JO du 10 avril 2022 | |
Date d'entrée en vigueur : | 11/04/2022 |
Délibération n°2021-130 du 23 septembre 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des impayés dans une transaction commerciale
NOR : CNIL2210112X
La Commission nationale de l’informatique et des libertés,
Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations ; Adopte un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des impayés dans une transaction commerciale.
La présidente,
M.-L. DENIS
RÉFÉRENTIEL RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN ŒUVRE AUX FINS DE GESTION DES IMPAYÉS DANS UNE TRANSACTION COMMERCIALE
1. A qui s’adresse ce référentiel ?
Ce référentiel propose des solutions de mise en conformité pour la mise en œuvre par les organismes de droit privé ou public d’un traitement de données de gestion d’impayés avérés, c’est-à-dire les cas dans lesquels la personne dont les données sont traitées est incontestablement débitrice d’une somme d’argent. Il porte plus précisément sur des impayés faisant suite à une transaction commerciale portant sur des biens ou des services.
Il ne s’applique pas aux traitements mis en œuvre pour détecter un risque d’impayé ou recenser des manquements autres que pécuniaires (comme, par exemple, des incivilités des clients).
Compte tenu de la nature particulière de leurs activités, ce référentiel ne s’applique pas aux traitements mis en œuvre par :
2. Portée du référentiel
Les traitements mis en œuvre aux fins de gestion des impayés, qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service, conduisent à collecter des données relatives à des personnes physiques clientes de l’organisme. A ce titre, ils sont soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») et de la loi du 6 janvier 1978 modifiée.
Les organismes concernés, en tant que responsables de traitement, doivent mettre en place toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données à caractère personnel dès la conception des traitements et tout au long de la vie de ceux-ci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. Ces traitements doivent faire l’objet d’une inscription au registre des traitements, conformément aux dispositions de l’article 30 du RGPD (La CNIL publie un nouveau modèle de registre simplifié | CNIL [https://www.cnil.fr/fr/la-cnil-publie-un-nouveau-modele-de-registre-simplifie]).
Le référentiel n’aborde pas les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer.
L’application de ce référentiel, qui n’a pas de caractère contraignant, permet d’assurer la conformité des traitements de gestion des impayés au regard des principes relatifs à la protection des données. Les organismes peuvent choisir de s’écarter du référentiel au regard des conditions particulières tenant à leur situation, en s’assurant de prendre toutes les mesures appropriées à même de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
Les organismes doivent, conformément au RGPD, évaluer si leur traitement est susceptible d’entraîner un risque élevé tel qu’interprété par le Comité européen de la protection des données dans ses « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé », afin de déterminer s’ils doivent effectuer une analyse d’impact ou non.
Ce référentiel sera régulièrement mis à jour par la CNIL afin de garantir sa compatibilité avec les dernières évolutions législatives et technologiques.
3. Objectif(s) poursuivi(s) par le traitement (finalités)
Le référentiel fournit un cadre pour les traitements dont les finalités sont les suivantes :
a) Le recensement des impayés avérés ;
b) L’identification des personnes en situation d’impayé aux fins d’exclusion pour toute transaction à venir.
Les informations recueillies pour une de ces finalités ne peuvent pas être réutilisées pour poursuivre un autre objectif qui serait incompatible avec la finalité définie lors de leur collecte. Par ailleurs, les traitements mis en œuvre dans le cadre de ce référentiel ne doivent pas donner lieu à des interconnexions ou échanges autres que ceux nécessaires à l'accomplissement des finalités énoncées ci-dessus. |
Ce référentiel n’a pas vocation à encadrer les traitements répondant aux finalités suivantes :
4. Base(s) légale(s) du traitement
Chaque finalité du traitement visé par le référentiel doit reposer sur l’une des bases légales fixées par le RGPD.
Les différents fondements susceptibles d’être mobilisés pour traiter des données à caractère personnel à des fins de gestion des impayés dans le cadre du présent référentiel sont listés ci-dessous :
a) L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à sa demande. Conformément au RGPD, les données collectées doivent être nécessaires à l’exécution des mesures contractuelles et/ou précontractuelles. A cet égard, le CEPD indique que le fait que le contrat conclu entre la personne concernée et le responsable du traitement mentionne la collecte de données spécifiques ne suffit pas en principe à démontrer que ces données sont nécessaires à l’exécution du contrat. Ainsi, pour reposer sur cette base légale, la collecte des données doit être indispensable pour fournir le service ou le bien attendu par la personne concernée ;
b) La réalisation de l’intérêt légitime poursuivi par l’organisme ou par le tiers, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Si l’intérêt légitime du responsable du traitement ne peut être exclu pour justifier du traitement de gestion des impayés, le recours à la base légale de l’exécution du contrat semble toutefois plus approprié.
Par ailleurs, dans le cas où l’exclusion serait décidée de manière entièrement automatisée, le traitement doit, en application de l’article 22, alinéa 2.a, du RGPD, se fonder sur l’exécution du contrat pour être conforme au référentiel.
Comme prévu par le RGPD, les bases légales doivent être portées à la connaissance des personnes dont les données sont traitées puisqu’elles permettent, notamment, de déterminer leurs droits.
5. Données à caractère personnel concernées
Dans un souci de minimisation des données à caractère personnel traitées, l’organisme doit veiller à ne collecter et n’utiliser que les données pertinentes et nécessaires au regard de ses propres besoins de gestion des impayés. Il peut s’agir des données relatives :
a) A l’identification de la personne concernée (qui peut être le débiteur ainsi que la ou les personnes physiques ayant la qualité de caution car s’étant engagées à remplir l’obligation du débiteur en cas de défaillance de ce dernier) ;
Le code interne utilisé pour identifier la personne concernée dans la base de données ne peut pas être son numéro de carte bancaire, ni son numéro de sécurité sociale, ni encore celui de son titre d'identité.
Si l'organisme doit s'assurer de l'identité d'une personne, la simple consultation d'un justificatif (pièce d'identité) peut suffire. Lorsque la loi le prévoit ou si l'organisme justifie en avoir besoin pour se préconstituer une preuve en cas de contentieux, et ce en fonction des risques de mise en cause contentieuse, une copie de ce justificatif peut être conservée pour une durée de 6 ans. Dans ce cas, des mesures de sécurité renforcées telles que, par exemple, la limitation de la qualité de l'image numérisée ou l'intégration d'un filigrane comportant la date de collecte et l'identité de l'organisme, doivent être mises en œuvre afin de lutter contre les risques de mésusage de ces informations, en particulier l'utilisation des photographies à des fins de reconnaissance faciale. De même, ces informations ne doivent pas être conservées en base active mais doivent être stockées en base d'archivage intermédiaire. |
b) Aux moyens de paiement utilisés (voir le point 7) ;
c) A l’incident de paiement : numéro de dossier, date de survenance de l’impayé, montant de l’impayé, objet de l’impayé (descriptif du produit ou du service n’ayant pas fait l’objet de paiement par la personne concernée).
Après s’être assuré de la nécessité et de la pertinence des données à caractère personnel qu’il utilise, l’organisme doit par ailleurs, tout au long de la durée de vie du traitement, prendre toutes les mesures raisonnables pour garantir la qualité des données qu’il traite, afin de s’assurer de leur exactitude, tout au long de la durée du traitement.
Au titre de cette obligation d’exactitude des données qu’il traite, l’organisme doit prendre des mesures spécifiques afin de garantir que les personnes exclues de futures transactions sont bien celles qui sont en situation d’impayé avéré. Ces mesures peuvent comprendre des vérifications supplémentaires en cas de doute sur l’identité de la personne concernée ou des mesures pour empêcher la fraude à l’identité.
6. Destinataires des informations
Afin de respecter l’obligation de sécurité des données, les données à caractère personnel doivent être rendues accessibles uniquement aux personnes habilitées à en connaitre au regard de leurs attributions au sein des services internes de l’entreprise, des services chargés des contrôles ou auprès des sous-traitants.
En cas de recours à un sous-traitant, le contrat qui le lie à l’organisme doit faire mention des obligations qui incombent respectivement à chacune des parties en matière de protection des données (article 28 du RGPD). Le responsable de traitement doit documenter les instructions qu’il adresse au sous-traitant et qui concernent les modalités de traitement des données (article 22, alinéa 3.a, du RGPD). Le Guide du sous-traitant (https://www.cnil. fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf) édité par la CNIL précise la nature de ces obligations et les clauses qu’il est recommandé d’intégrer dans les contrats. Par ailleurs, les habilitations d’accès doivent être documentées et les accès aux différents traitements doivent faire l’objet de mesures de traçabilité. Voir le point 10 relatif à la sécurité.
Pour assurer la continuité de la protection des données à caractère personnel, les transferts de ces données en dehors de l'Union européenne sont soumis à des règles particulières. Ainsi, toute transmission de données hors de l'UE doit, conformément au RGPD :
- être fondée sur une décision d'adéquation ; ou - être encadrée par des règles internes d'entreprise, des clauses types de protection des données, un code de conduite ou un mécanisme de certification approuvé par la CNIL ; ou - être encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL ; ou - répondre à l'une des dérogations prévues à l'article 49 du RGPD. |
7. Durées de conservation
Une durée de conservation précise doit être fixée en fonction de chaque finalité. Les données ne doivent en aucun cas être conservées pour une durée indéfinie. De manière générale, les durées de conservation ne devraient, en principe, pas dépasser les durées de prescriptions légales.
Des durées de conservations énumérées ci-après sont proposées. Si l’organisme choisit de conserver les données pour une durée plus longue que celle proposée par le référentiel, il devra s’assurer que cette durée n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Catégories | Mesures |
---|---|
Sensibiliser les utilisateurs | Informer et sensibiliser les personnes accédant aux données. |
Rédiger une charte informatique et lui donner une force contraignante. | |
Authentifier les utilisateurs | Définir un identifiant (login) propre à chaque utilisateur. |
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL. | |
Obliger l'utilisateur à changer son mot de passe après réinitialisation. | |
Ne pas stocker les mots de passe en clair. | |
Limiter le nombre de tentatives d'accès à un compte. | |
Gérer les habilitations | Définir des profils d'habilitation. |
Supprimer les permissions d'accès obsolètes. | |
Réaliser une revue annuelle des habilitations. | |
Tracer les accès et gérer les incidents | Prévoir un système de journalisation. |
Informer les utilisateurs de la mise en place du système de journalisation. | |
Protéger les équipements de journalisation et les informations journalisées. | |
Prévoir les procédures pour les notifications de violation de données à caractère personnel. | |
Sécuriser les postes de travail | Prévoir une procédure de verrouillage automatique de session. |
Utiliser des antivirus régulièrement mis à jour. | |
Installer un " pare-feu " (firewall) logiciel. | |
Recueillir l'accord de l'utilisateur avant toute intervention sur son poste. | |
Sécuriser l'informatique mobile | Prévoir des moyens de chiffrement des équipements mobiles. |
Faire des sauvegardes ou des synchronisations régulières des données. | |
Exiger un secret pour le déverrouillage des ordiphones. | |
Protéger le réseau informatique interne | Limiter les flux réseau au strict nécessaire. |
Sécuriser les accès distants des appareils informatiques nomades par VPN. | |
Mettre en œuvre les protocoles WPA2 ou WPA2-PSK pour les réseaux Wi-Fi. | |
Sécuriser les serveurs | Limiter l'accès aux outils et interfaces d'administration aux seules personnes habilitées. |
Installer sans délai les mises à jour critiques. | |
Assurer une disponibilité des données. | |
Sécuriser les sites web | Utiliser le protocole TLS et vérifier sa mise en œuvre. |
Vérifier qu'aucun mot de passe ou identifiant n'est incorporé aux URL. | |
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu. | |
Recueillir le consentement pour les cookies et autres traceurs non nécessaires au service. | |
Sauvegarder et prévoir la continuité d'activité | Effectuer des sauvegardes régulières. |
Stocker les supports de sauvegarde dans un endroit sûr et éloigné du site principal. | |
Prévoir des moyens de sécurité pour le convoyage des sauvegardes. | |
Prévoir et tester régulièrement la continuité d'activité. | |
Archiver de manière sécurisée | Mettre en œuvre des modalités d'accès spécifiques aux données archivées. |
Détruire les archives obsolètes de manière sécurisée. | |
Encadrer la maintenance et la destruction des données | Enregistrer les interventions de maintenance dans une main courante. |
Encadrer par un responsable de l'organisme les interventions par des tiers. | |
Effacer les données de tout matériel avant sa mise au rebut. | |
Gérer la sous-traitance | Prévoir des clauses spécifiques dans les contrats des sous-traitants. |
Prévoir les conditions de restitution et de destruction des données. | |
S'assurer de l'effectivité des garanties prévues (audits de sécurité, visites, etc.). | |
Sécuriser les échanges avec d'autres organismes | Chiffrer les données avant leur envoi. |
S'assurer qu'il s'agit du bon destinataire. | |
Transmettre le secret par un envoi distinct et via un canal différent. | |
Protéger les locaux | Restreindre les accès aux locaux au moyen de portes verrouillées. |
Installer des alarmes anti-intrusion et les vérifier périodiquement. | |
Encadrer les développements informatiques | Proposer par défaut des paramètres respectueux de la vie privée aux utilisateurs finaux. |
Éviter les zones de commentaires libres ou les encadrer strictement. | |
Tester sur des données fictives ou anonymisées. | |
Utiliser des fonctions cryptographiques | Utiliser des algorithmes, des logiciels et des bibliothèques reconnus. |
Conserver les secrets et les clés cryptographiques de manière sécurisée. |
Types d'opérations de traitement | Exemples |
---|---|
Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d'un contrat ou à la suspension voire à la rupture de celui-ci | traitement de lutte contre la fraude aux moyens de paiement. |
Afin de réaliser une AIPD, le responsable de traitement pourra recourir :
- aux principes contenus dans ce référentiel ; - aux outils méthodologiques proposés par la CNIL sur son site web. Dans le cas où l'organisme a désigné un délégué à la protection des données (DPD/DPO), ce dernier devra être consulté. |