protection données personnelles

La loi « informatique et liberté » dans le secteur des centres de relation clients

Les centres d’appels traitent une quantité importante de données personnelles, qui peuvent être sensibles : numéro de cartes bancaires, données sur la santé des prospects ou des interviewés, situation familiale, situation professionnelle ….

Il est alors très important de bien se renseigner sur les obligations et les moyens à mettre en œuvre pour être en conformité avec la loi, et donc, de se protéger.

Quels sont les obligations des centres de relation clients ?

 La procédure à suivre pour être en conformité avec la loi :

L’AFRC, l’association française des centres de relation clientèle a publié un code déontologique validé par la CNIL, un texte qui est appliqué aux consommateurs ainsi qu’aux salariés. Ce code a repris les principes de protection des données personnelles établis par la législation française, tout en les réadaptant au métier de centre d’appel. Il fixe des obligations très contraignantes sur l’information des personnes par téléphone, concernant leurs droits issues de la loi « informatique et libertés ». L’information doit être donnée lors du recueil de coordonnées par téléphone.

D’après l’AFRC, certaines obligations doivent être respectées par le responsable de traitement, les clients ainsi que les salariés du centre d’appel doivent être prévenu des écoutes et des enregistrements par voie d’affichage, et en cas de refus du consommateur un dispositif doit être prévu.

Le responsable de traitement des données personnelles doit aussi inscrire l’enquête au registre du CIL (le correspondant informatique et liberté de l’établissement) et faire une déclaration auprès de la CNIL dans le cas de projet spécifiques comme par exemple un besoin d’augmentation du taux d’enregistrements, pour une autre raison que la qualité ou la formation et tout en justifiant ces besoins.

La durée de conservation :

En ce qui concerne la durée de conservation, la durée est de 6 mois pour les enregistrements, un an pour les documents d’analyse, 5 ans dans le cas d’une preuve bancaire et un an pour la traçabilité d’un courrier électronique.

Les sanctions :

Prospecter sans avoir eu le consentement, lorsque le consentement est exigé, ou prospecter sans respecter l’opposition qui a été exprimée vous fait encourir une amende de 300.000 euro et 5 ans de prison (art. 226-18-1 nouveau du C. pénal).

Quels sont les conditions de transfert de données personnelles hors de l'Union européenne ?

C’est le cas qui nous intéresse le plus, un centre d’appel en Tunisie qui est prestataire de service pour des sociétés basées dans l’union européenne :

Les conditions permettant le transfert des données personnelles :

Dans le cas de transferts de données personnelles hors de l’UE, les formalités varient selon le pays de destination et le cadre juridique de transfert.

  • Si le pays de destination dispose d’une législation protectrice des données équivalente à la législation française, le transfert de données est permis sur simple déclaration faite à la CNIL. Au moment où cet article est écrit, la Tunisie, le Maroc et les autres destinations habituelles des centres d’appels n’ont pas encore signé de conventions ni de lois garantissant la protection des données personnelles.
  • Si le prestataire a signé les clauses contractuelles type défini par la CNIL pour garantir un certain niveau de protection : les BCR « Binding Corporate Rules », ou si le destinataire des données a obtenu une certification « Safe Harbor » (cas des destinataires localisés aux États-Unis), le transfert sera toujours possible.

Les solutions proposées par la CNIL :

La CNIL a publié le 11 octobre 2010, un rapport intitulé « Les questions posées pour la protection des données personnelles par l’externalisation hors de l’Union européenne des traitements informatiques », qui apporte certaines réponses, mais ce rapport ne clarifie pas vraiment la situation de certains cas complexes. C’est pour cela que ce rapport a été complété par la publication du livre blanc de l’EOA « La gestion des données à caractère personnel dans les projets d’externalisation Offshore ». Dans ce livre les membres de l’EOA France (European Outsourcing Association) rapportent leurs connaissances et leurs expériences de l’externalisation. Ce livre apporte des réponses aux cas pratiques.

Malgré ces solutions mises à disposition des entreprises, il est conseillé de se faire aider par des professionnels, qui s’assureront de la sécurité de votre projet et vous aideront à trouver la bonne solution à mettre en place et ainsi pouvoir obtenir une autorisation à temps.

Laisser un commentaire