Publication de la CNIL sur son site : https://www.cnil.fr/fr/gestion-commerciale-et-gestion-des-impayes-la-cnil-lance-une-consultation-publique-sur-les-futurs
Concomitamment à la publication du projet de référentiel relatif à la gestion commerciale [https://www.nomosparis.com/la-cnil-publie-son-projet-de-referentiel-relatif-aux-traitements-de-gestion-commerciale/], la CNIL a mis en ligne sur son site internet un projet de référentiel concernant la « gestion des impayés », qui est également soumis à la consultation publique avant son adoption définitive.
Ce projet de référentiel a vocation à régir les traitements de gestion des impayés ayant pour finalité (i) le recensement des impayés avérés ; et (ii) l’identification des personnes en situation d’impayé aux fins d’exclusion pour toute transaction à venir. A contrario, le futur référentiel ne concerne donc pas :
– Les traitements ayant pour but de détecter un risque d’impayé c’est-à-dire notamment les traitements de lutte contre la fraude lorsqu’elle est susceptible de générer un impayé ;
– La prévention des impayés incluant une évaluation (scoring), l’enrichissement du traitement à partir d’information tierces et le partage ou la mutualisation avec des tiers ou d’autres débiteurs, car plus sensibles ; et
– Les organismes de gestion du recouvrement de créances et les organismes d’enquête civile, car la nature de leurs activités – dont la gestion des impayés est un aspect central – justifie qu’ils soient soumis à des règles particulières (qui feront probablement l’objet d’un futur référentiel).
La CNIL passe ensuite en revue les différentes caractéristiques du traitement pour y détailler ses recommandations, et en particulier :
– La base légale : la CNIL estime que l’exclusion d’une personne pour toute transaction à venir peut être fondée sur l’exécution d’un contrat auquel la personne concernée est partie. En revanche, si la décision d’exclusion est prise de manière entièrement automatisée, il sera impératif que le traitement soit fondé sur son caractère nécessaire à la conclusion d’un contrat (en vertu de l’article 22 al. 2(a) du RGPD) ;
– Durée de conservation : dès lors que l’impayé est régularisé et effectivement soldé, la CNIL indique que le responsable de traitement devra supprimer les informations relatives à la personne concernée du fichier des impayés sous 48 heures. De manière exceptionnelle et à condition d’en justifier, il pourrait être possible de conserver les informations pour une durée pouvant atteindre un an, afin d’en prévenir le renouvellement.
En revanche, tant que l’impayé n’est pas régularisé, le responsable pourra conserver les informations au sein du fichier des impayés pendant une durée de trois ans ;
– Information des personnes : la CNIL détaille les types d’informations devant être communiquées aux personnes concernées à chaque stade du traitement : (i) lors de la collecte des données : information générale sur l’existence du traitement ; (ii) lors de la surveillance d’un impayé : information sur les moyens de le régulariser et la possibilité de présenter des observations ; (iii) lorsque l’impayé n’est pas régularisé : information de l’inscription au fichier des impayés ; et (iv) si le responsable de traitement souhaite conserver les données malgré la régularisation de l’impayé, la personne concernée doit être spécifiquement informée de cela ;
– Sécurité : comme pour le projet de référentiel relatif à la gestion commerciale, la CNIL dresse une liste précise des mesures de sécurité à mettre en place afin d’être en conformité, ce qui sera très utile aux responsables de traitement.
La consultation publique portant sur les deux projets de référentiels est ouverte jusqu’au 11 janvier 2019, ne laissant finalement pas beaucoup de temps aux responsables de traitements pour présenter leurs observations. En tout état de cause, le projet de référentiel concernant les traitements de gestion commerciale devrait logiquement capter une grande part de l’attention, et des commentaires.