La Loi du 6 janvier 1978, dite Informatique et Libertés, repose sur une distinction selon la finalité des fichiers et la nature des données. En outre, la loi différencie le régime d’autorisation pour les traitements de données sensibles du régime de déclaration pour la mise en œuvre des traitements de données.
Tant les particuliers que les professionnels doivent s’y conformer. La génération de leads, en tant que collecte de données à caractère personnel, n’échappe pas à cette obligation déclarative. En effet, en générant des leads, vous obtenez tout simplement un contact ( adresse électronique ou IP, un numéro de téléphone…). Le fait même de collecter des données correspond à un traitement de données personnelles.
S’agissant de la qualification juridique du lead, nous vous invitons à consulter l’article s’y rapportant.
Comment déclarer la génération de leads auprès de la Cnil ?
Par principe, tout fichier/traitement se rapportant à des données à caractère personnel doit être déclaré auprès de la Cnil. Cette déclaration doit s’opérer préalablement à la constitution du fichier-client et quel qu’en soit son traitement. Les leads générés correspondent à un traitement de données (puisqu’il s’agit de la collecte de contacts commerciaux).
Quel type de déclaration effectuer ?
On note deux types de déclaration :
- la déclaration normale
- la déclaration simplifiée
Le régime de droit commun est celui de la déclaration normale. Après avoir déclaré un certain nombre d’éléments (nom du responsable du traitement, catégorie de personnes concernées par le traitement, finalité du traitement…) auprès de la commission, celle-ci renverra un récépissé attestant de l’accomplissement des formalités de déclaration. Vous pourrez donc exploiter les données que vous avez collecté.
Or, au fil des années, la Cnil a mis en place des normes spécifiques. Ceci permet de simplifier les obligations de déclaration des catégories de traitements les plus fréquentes. Ceci n’est possible que pour les traitements dont la mise en œuvre ne porte pas atteinte aux libertés ou à la vie privée. On compte actuellement 55 normes de ce type, dont la norme NS-048 relative aux fichiers clients-prospects et vente en ligne.
Cette norme simplifiée concerne les traitements de données personnelles. Notamment celle qui ont pour finalités la gestion des clients, la prospection, l’échange de fichiers de clients et de prospects, l’élaboration de statistiques commerciales, la cession, la location ou encore les opérations de fidélisation.
De ce fait, elle concerne directement la génération de « leads ».
Que contient la déclaration simplifiée ?
L’article premier de la délibération de 2016 et concernant la norme NS-048, énonce que « Peut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion de clients et de prospects qui répond aux conditions suivantes ».
Ainsi, il vous faudra préciser les informations suivantes :
- La finalité du traitement
- Les données à caractère personnel ou catégories de données à caractère personnel traitées
- La ou les catégories de personnes concernées
- Les destinataires ou catégories de destinataires auxquels les données sont communiquées
- La durée de conservation des données
Finalement, cette déclaration simplifiée tire son nom de la norme à laquelle elle doit se conformer. En l’espèce, il ne s’agit que d’une déclaration de conformité à la norme simplifiée NS-048.
Qui est responsable de la déclaration simplifiée ?
La déclaration simplifiée devra être présentée par le responsable du traitement ou par la personne pouvant le représenter. Lorsque le responsable du traitement est un service ou une personne physique, le nom de la personne morale devra être précisé.
La Cnil fera ensuite parvenir un récépissé de déclaration au responsable.
Il pourra dès sa réception mettre en œuvre le traitement des données.
La Loi informatique et Libertés s’impose tant aux particuliers qu’aux professionnels et son non-respect n’est pas sans risques. En effet, le manquement à la déclaration préalable est sévèrement réprimé…
Que risquez-vous en cas de non-respect de cette obligation ?
Le non-respect de la Loi Informatique et Libertés de 1978 peut être réprimé :
- Par la Cnil, via son pouvoir de contrôle et de sanction
- Par les tribunaux, puisque certaines violations de la loi sont définies comme étant des délits ou des contraventions
Chaque année la Cnil effectue un certain nombre de contrôles sur place, sur pièces ou en ligne (cf. Art.44 de la Loi informatique et Libertés de 1978). En 2016, pas moins de 430 contrôles furent effectués ! De ce fait, la commission s’assure que des traitements « clandestins », dont les responsables n’auraient pas respecté les obligations légales, ne soient pas mis en œuvre.
La procédure répressive prévue à l’article 45 de la Loi Informatique et Libertés met à disposition de la commission un pouvoir de sanction. Ce pouvoir pouvant aller du simple avertissement, d’une mise en demeure, à la sanction pécuniaire et l’injonction selon les cas.
L’absence de déclaration simplifiée : une infraction pénale
Outre la possibilité pour le juge d’ordonner l’effacement des données litigieuses, le non-respect de la déclaration simplifiée répond d’une sanction pénale spécifique.
D’un point de vu pénal
En effet, l’article 226-16 du Code Pénal vient réprimer « le fait, y compris par négligence, de procéder ou de faire procéder » à un traitement de données à caractère personnel sans avoir respecter l’obligation préalable de déclaration. La peine maximale encourue est de 5 ans d’emprisonnement et de 300 000 euros d’amende. Cet article punit également des mêmes peines le non-respect d’une injonction par la Cnil (de cesser le traitement par exemple).
Une sanction identique est prévue pour tout traitement de données qui ne serait pas conforme à la norme simplifiée qui lui correspond.
Ainsi, la mise en œuvre d’un traitement de données sans respect de la formalité préalable déclarative peut faire l’objet d’une plainte au pénal !
Le pourvoi en cassation
Par ailleurs, la chambre criminelle de la Cour de Cassation, dans une décision du 23 mai 1991 (n°90-87.555), a estimé que le délit de non-respect de l’obligation de déclaration simplifiée était un délit continu. De ce fait, peu importe qu’un long délai se soit écoulé depuis le temps où les démarches auraient dû être effectuées : il n’y a pas de prescription à attendre !
En somme, ne pas déclarer le fait de générer des leads ou la création d’un fichier client-prospect, à la Cnil peut vous coûter très cher ! Il convient de préciser que la loi pénale ne fait pas de différence entre une réelle volonté de frauder et un acte accomplit par négligence ou par méconnaissance de la loi.
Enfin, cette obligation est appelée à subir une importante mutation. Ceci est du au fait de l’entrée en vigueur prochaine du Règlement Général sur la Protection des Données personnelles…
Si cet article vous a plu, consultez nos articles dans le thème de la réglementation juridique ou à consulter notre livre blanc les aspects juridique de la génération de leads. Vous souhaitez être accompagnés dans votre démarche d’augmentation de vos leads? Nous vous invitons à contacter nos équipes pour plus d’informations.