Du changement dans les mentions « CNIL »

Par fabien Honorat

L’ensemble de la réglementation concernant le traitement des données personnelles a fait l’objet d’une complète refonte par l’intermédiaire d’un règlement communautaire (n°2016/679 du 27 avril 2016) qui devait entrer en vigueur le 25 mai 2018.

 

Le gouvernement a cru devoir anticiper la mise en œuvre de certaines dispositions de ce texte par la Loi dite « Pour une République numérique » entrée en vigueur le 7 octobre 2016.

 

Ce nouveau cadre légal modifie les informations qui doivent être communiquées aux consommateurs au moment de la collecte de leurs données personnelles que l’on appelle traditionnellement la « mention CNIL ».

 

Ces informations regroupent : l’identité du responsable du traitement, la finalité de l’utilisation des données, les destinataires des données (et le cas échéant le transfert des données en dehors de l’Union Européenne) et les droits conférés par la loi aux consommateurs (à savoir le droit d’opposition, de modification et de retrait des données personnelles).

 

Le nouveau texte impose également de faire figurer dans ces « mentions CNIL » la durée de conservation des données traitées.

 

Cette durée est fixée dans les déclarations CNIL des fichiers concernés et devra donc être communiquée au public.

 

A titre d’exemple les déclarations des fichiers de clients ou de prospects peuvent être faites par le biais de la norme simplifiée n°48 qui prévoit une durée de conservation maximale de 3 ans à compter de la collecte ou du dernier contact pour les prospects et à compter de la fin de la relation commerciale pour les clients.

 

Par ailleurs les « mentions CNIL » ne pourront plus renvoyer à une adresse postale pour l’exercice des droits des consommateurs lorsque l’entreprise aura collecté ces données par le biais d’un moyen électronique. Dans ce cas elle devra permettre aux consommateurs d’exercer leur droit d’accès, de rectification ou d’opposition par voie électronique.

 

Enfin, ce texte ouvre un véritable droit à l’oubli (ou plutôt d’un droit à l’effacement des données) pour les mineurs, le responsable du traitement devant sur simple demande d’un mineur supprimer toutes ses données et faire en sorte qu’elles soient également supprimées par les personnes à qui il aurait pu les transmettre.

 

En tout état de cause il conviendra de mettre à jour vos mentions Informatique et Libertés.