Juridique

La CNIL rappelle les règles sur les échanges de données personnelles

La CNIL rappelle les règles sur les échanges de données personnelles
Les échanges de données personnelles entre partenaires sont très réglementées a rappelé la CNIL

Des entreprises « partenaires » peuvent être amenées à s'échanger des données sur leurs clients mais la CNIL rappelle les règles à appliquer. Le DSI se doit de veiller au respect de ces règles en refusant des imports, exports ou exploitations non-conformes.

PublicitéDurant la trêve des confiseurs, la CNIL a publié un rappel sur les règles applicables en matière de démarchage commercial et, surtout, d'échanges de données personnelles entre partenaires commerciaux. De ce point de vue, le RGPD ne change rien (sauf sur le niveau des sanctions encourues) puisque les règles en matière de prospection électronique dépendent de la directive e-Privacy, déjà transposée dans le Code des Postes et des communications électroniques (article L34-5).

Sur la prospection commerciale, les particuliers doivent n'être démarchés que s'ils ont donné un accord explicite pour cela (principe de l'opt-in). L'autorisation a priori avec capacité d'opposition (principe de l'opt-out) n'est possible que si les particuliers sont déjà clients pour des produits similaires ou si le sujet de la prospection est non-commercial (caritatif par exemple). A l'inverse, pour les professionnels, et uniquement si la prospection concerne les missions du professionnel contacté, l'opt-out est la règle. Dans tous les cas, la personne contactée doit pouvoir aisément s'opposer à toute nouvelle sollicitation et le solliciteur doit être clairement identifié.

Très fort encadrement des échanges de données entre partenaires

Les données transmises à des partenaires doivent, elles, suivre des règles également très rigoureuses. Il est de la responsabilité des DSI de ne pas intégrer n'importe quel fichier de « prospects » dans la GRC de leur entreprise ou d'exporter n'importe comment les données de leurs GRC. Lors de la collecte des données personnelles (par exemple un formulaire en ligne), les partenaires qui seront destinataires des données doivent être expressément et exhaustivement listés. Cette liste doit être tenue à jour et, le cas échéant, une personne doit pouvoir aisément s'opposer à une transmission.

Par ailleurs, la politique de confidentialité des partenaires doit aussi être explicitée et les récipiendaires de données ne peuvent pas à leur tour transmettre les données personnelles à moins d'obtenir un nouveau consentement des personnes concernées. Lors de la première prospection, l'origine des données doit être précisée.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Tous les documents entrants sont-ils systématiquement numérisés et injectés uniquement électroniquement dans les process de l’entreprise ?