Comment rendre le fichier client conforme au RGPD ? Mode d’emploi

A noter : les textes juridiques ont pu faire l’objet de modifications postérieurement à la publication de cet article [mis à jour le 12 avril 2021]. C’est pourquoi, nous vous conseillons de regarder la date de la publication et de vérifier si les informations qui figurent dans l’article sont toujours d’actualité.

Qu’est-ce qu’un fichier client ?

D'un point de vue marketing, un fichier client est un document, généralement une base de données, recensant les informations relatives aux clients de l’entreprise. Il recense leurs coordonnées,  l’historique de leurs achats, etc. Autant d’informations qui vont vous permettre de connaître votre client et de gérer et faire prospérer votre relation client.

Cette base de données, en assurant une meilleure connaissance des clients et prospects, constitue le socle sur lequel est bâtie votre communication auprès d’eux. C’est elle qui va permettre d’envoyer des messages ciblés qui vont déboucher sur la réalisation de nouvelles ventes.

D’un point de vue juridique, on parle de « clientèle », c’est-à-dire d’un ensemble de personnes qui sont en relation d’affaires avec un professionnel ou un commerçant et qui font partie de son fonds de commerce.

Le client est ici une personne ou une entreprise qui achète de manière habituelle les biens ou profite régulièrement des prestations de services de l’entreprise.

Pour pouvoir caractériser la clientèle, des critères jurisprudentiels ont été dégagés. Ainsi, la clientèle doit être :

• commerciale : elle doit provenir d’une activité commerciale ;
• réelle et certaine : elle doit exister de manière actuelle et stable. Ne sont pas « clientes » les personnes qui consultent votre site internet ou s’intéressent à vos produits avant d’effectuer un acte d’achat (on parle de « prospects »). Les clients sont ceux dont vous souhaitez maintenir la fidélité en entretenant avec eux une communication assidue, par exemple par l’envoi de newsletters ou d’offres promotionnelles
• personnelle au commerçant : elle est attirée par les biens et services vendus par le commerçant. N’est donc pas qualifiée de « cliente » toute personne de passage qui n’effectue que des achats occasionnels, par exemple dans les boutiques touristiques (on les appelle les « chalands »).

Pour résumer, l’ensemble des clients forment la clientèle. Chaque client est enregistré dans le fichier client qui est un document créé par l’entreprise et qui regroupe un certain nombre de données sur ses clients.

Pourquoi il est indispensable de soigner la qualité et la conformité de son fichier client ?

Tout d’abord, soigner et mettre en conformité les fichiers clients permet de respecter les différentes lois et réglementations et vous évitera des sanctions.

Cela permet également à votre entreprise de mieux connaître les données collectées et de disposer de fichiers mieux organisés et à jour.

Enfin, les données sur les clients sont désormais considérées comme un véritable actif de l’entreprise, autant que les autres éléments du fonds de commerce. La base de données que constitue le fichier client, si elle est alimentée de données de qualité a une réelle valeur économique.

Si elle le souhaite, par exemple dans le cas d’une cessation d’activité, l’entreprise peut vendre son fichier à une autre entreprise. L’acquisition de cette base de données permettra à l’entreprise qui l’achète :

• de gagner du temps : elle ne devra plus collecter toutes ces données, demander les consentements requis ;
• de gagner de l’argent : ce fichier constitue un outil marketing personnalisé, qui fait économiser à l’entreprise les coûts en publicité ou en enquête du marché.

Mais attention, la condition préalable pour que l’entreprise puisse vendre son fichier client c’est qu’elle ait au préalable respecté les différentes réglementations et ait collectée légalement les données qui s’y trouvent.

Mode d’emploi pour mettre en conformité son fichier client

Les bases de données clients contiennent des données personnelles comme des données d’identité (nom, prénom, coordonnées) ou des données de personnalisation (sur les préférences, les produits achetés, les goûts). Elles doivent donc respecter les différentes réglementations portant sur les données personnelles comme la Loi Informatique et Libertés (LIL) et le Règlement général sur les données personnelles (RGPD).

En cas de non-respect de la réglementation, en dehors du fait que vous êtes en infraction et que vous vous exposez à des sanctions, votre fichier ne peut être exploité ni par vous ni par un tiers. Il est donc dépourvu de valeur.

1. Déterminer la base légale qui s’applique aux données que l’on souhaite collecter et appliquer les exigences qui en découlent

Il est très dangereux de réutiliser des données personnelles librement accessibles sur internet car les  personnes concernées n’ont pas été informées de cette collecte et n’ont pas donné de consentement. Vous risquez des sanctions de la part de la Commission nationale de l'informatique et des libertés (CNIL).

Vous pouvez donc louer des fichiers de prospection ou, encore mieux, collecter vous-même les informations sur vos clients. Pour la construction d’un fichier client, la base légale utilisée pour la collecte des données clients est le plus souvent le consentement ou le contrat.

Le consentement

Dans la plupart des cas, le traitement de données personnelles aura pour fondement le consentement des utilisateurs. Il s’agit par exemple des cas où vous récoltez des données via des cookies sur l’identité des utilisateurs ou sur leurs préférences, afin de mieux connaître vos potentiels clients ou dans le cas de prospections commerciales.

Le contrat

Il est également possible que les données personnelles concernées interviennent dans le cadre d’un contrat. Dans ce cas, la personne dont vous traitez les données est votre cocontractant.

C’est par exemple le cas si vous êtes une entreprise de e-commerce. Un client procède à des achats en ligne, paie par carte bancaire et souhaite se faire livrer les produits qu’il a achetés. Vous recevez donc des données personnelles relatives à son identité, son adresse de livraison, mais aussi des données bancaires et des informations sur ses achats. Le traitement de ces données vise uniquement l’exécution du contrat de vente conclu avec la personne concernée et a pour base légale le contrat.

Pour en savoir plus, consultez les ressources de la CNIL :

• Comprendre le RGPD - Les bases légales
• Conformité RGPD : comment recueillir le consentement des personnes
• Prendre en compte les bases légales dans l’implémentation technique
• La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
• Les droits pour maîtriser vos données personnelles !

2. Disposer d’un registre de traitements des données personnelles

Le registre des traitements est un document qui doit obligatoirement être réalisé avant tout traitement de données personnelles (collecte, enregistrement, stockage…). Ce dernier doit permettre d’identifier avec précision :

• les parties prenantes intervenant dans le traitement des données ;
• les catégories de données traitées ;
• à quoi servent ces données (finalité du traitement)
• qui y accède et à qui elles sont communiquées ;
• combien de temps elles sont conservées ;
• comment elles sont sécurisées.

L’obligation de ternir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Les entreprises de moins de 250 salariés bénéficient toutefois de quelques dérogations. La tenue de registre de traitements, bien qu’obligatoire, est plus légère et moins exigeante.

La mise en place d’un registre constitue aussi un outil d’aide à la gestion des données. Bien géré, c’est un outil d’aide à la décision qui participe à la valorisation de l’entreprise.

Pour en savoir plus :

• RGPD : Comment se mettre en conformité ? Mode d'emploi par la CNIL et Bpifrance
• Modèle de registre simplifié RGPD par la CNIL
• Le registre des activités de traitement (cnil.fr)

3. Avoir un site internet avec une gestion des cookies assurant un réel consentement de l’utilisateur

De nombreuses données client sont collectées par l’entreprise à l’aide de cookies ou dans le cadre d’un contrat conclu avec le client. Outre le respect de la base légale relative à la collecte des cookies, il est aussi fortement conseillé de respecter les recommandations de la CNIL en matière de cookies.

A l’instar des cookies dits « essentiels » pour le bon fonctionnement du site internet, tous les autres cookies, collectant des informations sur les préférences et la navigation des utilisateurs, doivent être valablement consentis par les utilisateurs.

Le consentement est une manifestation de volonté :

• éclairée : l’utilisateur doit être préalablement informé sur la finalité des cookies, les données personnelles collectées, les destinataires des données… (droit d’information). Les informations doivent être rédigées en des termes simples et compréhensibles.
• libre : la case n’est pas précochée, l’utilisateur doit pouvoir cliquer sur les cookies auxquels il consent. L’utilisateur doit être en mesure de retirer son consentement à tout moment et simplement
• univoque : le consentement est donné de manière claire par un acte positif, avant le dépôt des cookies
• spécifique : le consentement est donné pour un seul traitement, une finalité déterminée. Il n’est pas noyé dans un consentement global, par exemple dans l’acceptation de Conditions générales d’utilisation d’un site. L’utilisateur doit avoir la possibilité de choisir les cookies auxquels il souhaite donner un consentement. Par exemple, il doit pouvoir choisir d’accepter les cookies fonctionnels et de refuser les cookies publicitaires

La CNIL préconise la création d’un bandeau de cookies qui apparaît à l’ouverture du site. Le bandeau doit donner les informations essentielles sur les cookies et éventuellement renvoyer à des informations plus complètes dans un onglet « Politique de confidentialité » ou « Mentions légales ». Le bandeau doit également servir à recueillir le consentement et il est conseillé de faire apparaître trois boutons :

• « tout accepter » ;
• « tout refuser » ;
• « préférences » permettant de choisir de manière spécifique les cookies auxquels l’utilisateur consent et auxquels il ne consent pas.

Pour en savoir plus, consultez les ressources de la CNIL :

• Cookies et traceurs : que dit la loi ?
• Conformité RGPD : comment recueillir le consentement des personnes ?
• Les lignes directrices sur les cookies et autres traceurs
• Recommandation sur les cookies et autres traceurs

4. Collecter les informations strictement nécessaires à la relation commerciale

Selon le principe de minimisation des données, les données traitées par l’entreprise doivent être « adéquates, pertinentes et limitées » à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Par exemple, il n’apparaît pas nécessaire de collecter et conserver le statut marital d’un salarié dans un fichier client. En revanche, la collecte de données d’identité et de préférence peuvent être intéressantes dans le cadre d’une fidélisation de la clientèle ou d’une prospection commerciale.

En règle générale, il est déconseillé de collecter et traiter des données sensibles de clients sauf si votre activité le justifie. D’après le RGPD et la loi Informatique et Libertés, les données sensibles sont les  informations qui révèlent :

• la prétendue origine raciale ou ethnique ;
• les opinions politiques ou l’appartenance syndicale ;
• les convictions religieuses ou philosophiques ;
• les données génétiques ou biométriques ;
• les données de santé ou les données concernant la vie sexuelle ou l’orientation sexuelle.

Le traitement de ces données est en principe interdit sauf exceptions. Les exigences en termes de sécurité et protection des données applicables aux données sensibles sont renforcées. Même si vous respectez toutes ces exigences, la CNIL pourrait tout de même vous reprocher au cours d’un contrôle de ne pas respecter le principe de minimisation des données car vous traitez des données personnelles qui ne sont pas nécessaires au regard des finalités de collecte des données client.

Pour en savoir plus, consultez les ressources de la CNIL :

• Donnée sensible
• Minimisation
• RGPD : points de vigilance

5. Informer les utilisateurs de leurs droits en matière de données personnelles

Le RGPD a renforcé les droits des personnes sur leurs données personnelles : droit d’information, de rectification, d’effacement, d’accès, de portabilité...  L’entreprise doit informer les utilisateurs des droits dont ils disposent et expliquer comment les exercer. Ces informations doivent figurer sur le site internet dans l’onglet « Mentions légales » ou « Politique de confidentialité ».

Pour en savoir plus :

• Quelles sont les mentions légales pour un site internet professionnel ?
• Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ?

6. Mettre régulièrement à jour les données contenues sur les bases clients

Les fichiers clients ont d’autant plus de valeur que les données qu’ils contiennent sont de qualité. Cela signifie que les données qui s’y trouvent sont pertinentes et à jour : elles ne contiennent pas d’erreurs et sont régulièrement corrigées avec de nouvelles informations.

Par exemple, si votre client change d’adresse postale, il faudra mettre à jour cette information dans votre base de données.

Ces corrections peuvent être apportées à votre initiative ou à celle du client exerçant son droit à la rectification des données. Pour cela il est conseillé de demander régulièrement aux clients, directement ou par voie électronique, si les données contenues dans leur fichier sont bien à jour.

A noter : une stratégie marketing de type inbound marketing est particulièrement adaptée pour se mettre en conformité avec le RGPD. En visant à faire venir le prospect ou le client à soi grâce à des contenus intelligents et pertinents plutôt que d'aller le chercher avec les techniques de marketing traditionnelles (publicité) cette approche permet de s’assurer du consentement de la personne.  

Par ailleurs, vous devez effacer certaines données personnelles de vos fichiers clients :

• les données des personnes qui ne sont plus vos clients. Pour cela vous pouvez décider d’un délai d’inactivité raisonnable au regard de l’objectif poursuivi, par exemple de 2 ans. Si pendant 2 ans vous constatez que le client en question n’a plus effectué d’achats ou profité de vos prestations de service, et ne communique plus avec votre entreprise, il est préférable de supprimer son fichier client ou de solliciter à nouveau son consentement.
  A noter : il est recommandé que ce délai n’excède pas une durée de 3 ans à compter de la fin de la relation commerciale sous peine de sanction administrative (Voir délibération n° SAN-2020-008 du 18 novembre 2020).
• les données des personnes qui ont exercé leur droit à l’effacement (et qui ont respecté les conditions pour le faire)
• les données des personnes qui vous ont fait part de leur volonté de retirer leur consentement pour le traitement (si la base légale est le consentement)

De plus, il est important de toujours garder en tête que les données doivent être conservées en respectant les durées légales de conservation. Ces délais peuvent varier selon la base légale du traitement de données, de la catégorie de la donnée et des finalités de traitement. Pour cela il est important de bien travailler le registre de traitements.

Pour en savoir plus :

• Les durées de conservation des données (cnil.fr)
• Guide pratique sur les durées de conservation (cnil.fr)
• Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ?
• Le droit à l’effacement : supprimer vos données en ligne (cnil.fr)

7. Prévoir des mesures de sécurité adaptées au regard des risques de cybersécurité

L’entreprise doit protéger les données contenues dans les fichiers clients contre d’éventuelles intrusions de pirates informatiques et éviter les vols et compromissions du fichier (modifications, suppressions des données).

Pour cela, il est conseillé à l’entreprise de se munir d’outils de protection du système informatique (antivirus, firewall, …) mais également à veiller à une sécurité physique (protection du matériel informatique) et organisationnelle (rédiger la Politique de sécurité des systèmes d’information - PSSI, ou un RACI pour définir les rôles et responsabilité des acteurs en cas d’attaque, des chartes numériques…)

Il est également conseillé d’anticiper les intrusions, de respecter les standards de sécurité et de mettre en place de bonnes pratiques de management de sécurité. Il est indispensable de faire des veilles, sauvegardes et mises à jour réguliers.

Pour en savoir plus :

• Cybersécurité : 10 infographies pour protéger son entreprise

8. Disposer d’un stockage et d’un hébergement des données sécurisés

Vous pouvez stocker vos données client sur vos propres centres de données (data centers) ou recourir à des contrats d’externalisation en confiant à un tiers tout ou partie de votre hébergement, via un hébergement dans l'informatique en nuage (cloud computing). Dans le dernier cas, il est obligatoire que vous signiez un contrat (article 28 RGPD).

Il est conseillé de choisir un prestataire certifié avec des garanties de sécurité, intégrité et confidentialité des données suffisantes.

Pour en savoir plus, consultez les ressources de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) :

• Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques
• Les prestataires de service d’informatique en nuage (cloud) qualifiés par l’ANSSI

A noter : le délai accordé pour se mettre en conformité aux règlementations en matière de données personnelles, durant lequel la CNIL faisait preuve d'indulgence,  a expiré le 31 mars dernier. Depuis cette date, le risque de se faire contrôler est plus important.