GROUPE DE TRAVAIL Données Clients & Prospects Guide pratique du CIL pour l accompagnement d un projet de gestion de relation client (CRM) Octobre 2013
Introduction Ce guide pratique, issu des travaux du Groupe de travail «Données clients et prospects» de l AFCDP (entre 2009 et 2012), est destiné à tous les CIL qui se trouvent confrontés à la mise en œuvre d un projet de gestion de la relation client (GRC, ou en anglais CRM pour «Customer Relationship Management»). Il présente les principales vérifications à effectuer et les points les plus importants à étudier dans le cadre d un projet de gestion de relation client. Le Groupe de travail a souhaité faire de ce guide, une référence pratique pour le CIL qui aborde un projet CRM, sous la forme d une série de fiches comportant essentiellement des «check-lists» de questions et de points de vigilance. Première Partie : Gestion d un projet CRM Les trois premières fiches concernent le traitement du projet CRM lui-même : Fiche 1 : prise de connaissance de l environnement du projet Fiche 2 : descriptif du projet Fiche 3 : déroulement du projet Comme pour tout traitement, le CIL veillera au maintien de la conformité «informatique et libertés» au-delà du projet. Deuxième partie : questions spécifiques Les autres fiches traitent de questions spécifiques rencontrées classiquement lors d un projet CRM : Fiche 4 : «opt-in» Fiche 5 : cookies Fiche 6 : collecte indirecte de données Fiche 7 : désinscription Troisième Partie : quiz et références utiles Pour terminer, un quiz permet de vérifier la façon de traiter certaines questions récurrentes, et quelques références utiles sont répertoriées. Ce guide est une aide pour le CIL. Il ne se veut pas exhaustif et n exonère pas le CIL des vérifications complémentaires auprès de la CNIL ou sur son site internet (www.cnil.fr). http://www.afcdp.net - 3 - Octobre 2013
À propos de l AFCDP L'AFCDP a été créée dès 2004, dans le contexte de la modification de la Loi Informatique & Libertés qui a officialisé une nouvelle fonction, celle de «Correspondant à la protection des données à caractère personnel» (ou CIL, pour Correspondant Informatique & Libertés). L AFCDP rassemble largement, au-delà des professionnels de la protection des données et des seuls Correspondants désignés par leurs organismes auprès de la CNIL : elle regroupe en effet toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l association réside entre autres dans la diversité des profils des adhérents : Correspondants Informatique et Libertés, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, universitaires et étudiants, experts en sécurité, qualiticiens, consultants Quelques membres AFCDP : 3 Suisses, Accor, Adecco, Aéroports de Paris, AG2R LA MONDIALE, AXA, BP France, Carrefour, CNP Assurances, Conseil Général de Seine- Maritime, CCIP, Crédit Immobilier de France, École Polytechnique, France Telecom, IBM France, Institut Curie, Groupe Casino, Michelin, La Poste, Port autonome de Dunkerque, RATP, Région Lorraine, SCOR, SNCF, Total, Ville de Paris Pour plus d information sur l association : www.afcdp.net Membre AFCDP! Ce document vous est strictement réservé. Merci de ne pas le diffuser. Il est soumis à votre critique. Vous êtes invité à faire part de vos remarques, commentaires, témoignages et suggestions pour l améliorer et en permettre une publication définitive, corrigée et enrichie. Le présent document établi dans le cadre d un groupe de travail de l AFCDP revêt un caractère strictement informatif et pédagogique. Du fait de son caractère général, ce document ne constitue en aucun cas une consultation ou un avis juridique. http://www.afcdp.net - 4 - Octobre 2013
Remerciements Ce document est le fruit des travaux du Groupe de travail «Données clients et prospects» de l'afcdp. Ses animateurs, Martine RICOUART-MAILLET (BRM AVOCATS) Raphaël RAULT (BRM AVOCATS) tiennent à remercier les personnes qui ont participé à ces travaux, en particulier : Mathilde AUZERAL (NESPRESSO) Patrick BLUM (GROUPE ESSEC) Régis BRUN (GROUPAMA) Bruno RASLE (DELEGUE GENERAL AFCDP) qui ont participé à la rédaction, Béatrice BAUQUIN (GRDF) Pier Giuseppe CASUCCINI BONCI (GENERALI) Marie EYMOND (GROUPE RANDSTAD FRANCE) Didier FARGE (CONEXANCE MD, ADMINISTRATEUR SNCD) David GONZALO (EURATECHNOLOGIES) Anne GORGE (BULL) Younes KAOUCAR (ELIOCITY - MOBIVIA GROUPE) Pierre MARTIN (AMABIS) Katerine MOLINS (CREDIT IMMOBILIER DE FRANCE) Michel RIME (3 SUISSES) Sophie WILLOT-DHELFT (ETO) qui ont contribué aux travaux, ainsi que Isabelle BERTRAND (PACITEL) Christine BIANCOLLI (AXA INVEST) Nathalie CAMPAGNE (CREDIT IMMOBILIER DE FRANCE) Pierre CAPLIER (LA REDOUTE) Elizabeth CARRE (EADS) Renaud CHAVANNE (DATA FACTORY) Anna CLUZEAU (EADS) Ludovic D ALAUZIER (ALTRAN TECHNOLOGIES) Julie DARNAUD (FNAC) Eric DOYEN (CREDIT IMMOBILIER DE FRANCE) Nicolas GIARD (CONEXANCE MD) Sylvain LEBARBIER (AG2R LA MONDIALE) Christine METZ (GENERALI) Nathalie PHAN PLACE (SNCD) Dominique POINCHEVAL (FORMATEUR) Stéphanie REY (THELEM ASSURANCES) Sophie ROGER-MACHART (TNS-SOFRES) Evelyne SAUPHANOR (LCL) Sarah WANQUET (ACXIOM/SNCD) http://www.afcdp.net - 5 - Octobre 2013
Table des matières Introduction... 3 Remerciements... 5 Table des matières... 7 Glossaire... 11 Première partie : Gestion du projet CRM... 15 Fiche 1. Prise de connaissance de l environnement du projet... 17 1.1. Objectif du projet... 17 1.1.1. Bénéfices métier attendus... 17 1.1.2. Catégories de personnes concernées par un projet CRM... 18 1.1.3. Fonctionnalités attendues... 18 1.2. Analyse de l existant... 19 1.2.1. État des lieux... 19 1.2.2. Comprendre les outils CRM existants... 19 1.2.3. Contexte Informatique et Libertés de l existant... 19 Fiche 2. Description du projet... 21 2.1. Étendue... 21 2.1.1. Types d outils envisagés :... 21 2.1.2. Maitrise d œuvre :... 21 2.1.3. Périmètre considéré... 22 2.2. Points à vérifier quant aux données... 22 2.2.1. Types de données... 22 2.2.2. Origine de la collecte... 22 2.2.3. Expression du consentement... 23 2.2.4. Mise à jour des données personnelles... 24 2.2.5. Principe de transparence... 24 2.2.6. Destination des données... 24 2.2.7. Principe de pertinence... 24 2.2.8. Mise à jour / exactitude des données... 25 2.2.9. Sécurité des données (disponibilité, intégrité, confidentialité, traçabilité)... 25 2.2.10. Conservation des données... 25 2.2.11. Données achetées ou transmises par un co-contractant... 26 2.3. Canaux de communication et pays envisagés... 26 2.3.1. Canaux... 26 2.3.2. Pays... 26 Fiche 3. Déroulement du projet... 27 3.1. Au cours de la rédaction du cahier des charges ou du contrat de projet... 27 3.2. Au cours du projet... 27 http://www.afcdp.net - 7 - Octobre 2013
3.3. En fin de projet... 28 3.4. Avant la mise en production... 28 Deuxième partie : Questions spécifiques... 29 Fiche 4. Opt-in... 31 4.1. Prospection commerciale par voie électronique... 31 4.1.1. Législation française... 31 4.1.2. Règlementation européenne... 31 4.2. Mentions obligatoires lors de la collecte... 32 4.2.1. Article L.34-5 du CPCE :... 32 4.2.2. Supports visés par la LCEN... 32 4.3. Définitions... 32 4.3.1. Consentement :... 32 4.3.2. Exception au consentement : produits et services analogues :... 32 4.3.3. Notion de similarité au sens de la Directive Européenne :... 33 4.3.4. Destinataire / partenaire... 34 4.3.5. Définitions de responsable de traitement et de sous-traitant... 34 4.4. Étendue de l opt-in... 34 4.5. Traçabilité du consentement... 34 4.6. Traçabilité de l opt-in partenaire... 35 4.6.1. Côté Responsable de traitement :... 35 4.6.2. Côté partenaires :... 35 4.6.3. Traçabilité des transferts et des rectifications pour l'opt in partenaire :... 35 4.7. Hypothèse particulière : le bluetooth... 35 Fiche 5. «Cookies»... 37 5.1. Définition de la CNIL... 37 5.2. Finalités... 37 5.3. Régime... 37 5.3.1. Loi Informatique et Libertés... 37 5.3.2. Position de la CNIL... 38 5.3.3. Position du Groupe de l article 29... 38 5.3.4. Associations professionnelles... 38 5.4. Modalités d information des personnes concernées... 39 Fiche 6. Collecte indirecte de données... 41 6.1. La collecte indirecte... 41 6.1.1. Loi française... 41 6.1.2. La proposition de loi «Détraigne-Escoffier»... 41 6.2. Mise en œuvre :... 41 6.3. Les opérations de parrainage... 42 6.3.1. Le droit commun :... 43 6.3.2. Le marketing viral (par internet),... 43 Fiche 7. Désinscription... 45 7.1. Contexte... 45 7.1.1. Particularité de la prospection commerciale par voie électronique... 45 7.1.2. Exceptions... 46 7.1.3. Sanction :... 46 http://www.afcdp.net - 8 - Octobre 2013
7.2. Définitions... 46 7.2.1. La «désinscription»... 46 7.2.2. Périmètre de la désinscription :... 46 7.3. Modalités selon les médias utilisés pour adresser les sollicitations commerciales... 47 7.3.1. Envoi de courrier électronique (e-mailing) :... 47 7.3.2. Envoi d un courrier postal :... 47 7.3.3. Démarchage par téléphone :... 47 7.4. Prise en compte d une demande de désinscription exprimée oralement ou par téléphone... 47 7.4.1. Conservation des traces... 47 7.4.2. Attention : charge de la preuve... 48 7.4.3. Obligation fiscale... 48 7.4.4. Obligation en droit de la consommation... 48 7.5. Responsabilité de la désinscription... 48 7.6. Portée de la désinscription... 48 7.6.1. Contexte... 48 7.6.2. Analyse... 48 7.7. Modalités d information des partenaires... 49 7.8. Durée jusqu à effectivité de la désinscription... 49 7.9. Mise en place et effectivité pratique du lien de désinscription... 50 7.10. Étapes de la désinscription... 50 7.11. Avis de réception Avis de confirmation... 50 7.11.1. Accusé de réception... 50 7.11.2. Avis de confirmation... 50 Troisième partie : Quiz et références utiles... 53 Fiche 8. QUIZ... 55 8.1. Mon traitement est conforme au descriptif de la norme simplifiée «gestion des fichiers clients & prospects» de la CNIL et j'ai désigné officiellement un CIL. Dois-je déclarer ce traitement à la CNIL?... 55 8.2. Une société spécialisée me propose un fichier comportant une évaluation du niveau d'imposition de mes prospects :... 55 8.3. Un prospect écrit au service Marketing pour savoir d'où viennent les données personnelles utilisées lors d'une campagne d'e-mailing qu'il a reçue :... 55 8.4. J effectue un publipostage promotionnel sur base d un fichier qui m a été transmis par l un de mes partenaires. Suis-je obligé d indiquer la source de collecte (c'est-à-dire la raison sociale de ce partenaire)?... 55 8.5. J effectue un publipostage professionnel et j insère un lien de désinscription au sein du message. Combien de temps ce lien doit-il être opérationnel?... 56 8.6. J effectue un publipostage professionnel et j insère un lien de désinscription au sein du message. En combien de temps dois-je donner suite à cette demande?... 56 8.7. J effectue un publipostage professionnel et j insère un lien de désinscription au sein du message. Suis-je obligé d envoyer un accusé de réception et de prise en compte de la demande?... 56 8.8. J effectue un publipostage professionnel et j insère un lien de désinscription au sein du message. Pour éviter de solliciter à nouveau par http://www.afcdp.net - 9 - Octobre 2013
inadvertance une personne qui a exercé son droit de désinscription, puisje conserver son adresse électronique dans une liste «repoussoir»?... 56 8.9. Quelle est la durée de conservation des Données Personnelles pour une lettre d informations (électronique) promotionnelle?... 56 8.10. Je souhaite envoyer une lettre d information à mes clients, or ceux-ci ne m'ont pas donné leur consentement. Est-ce possible?... 56 8.11. Un client me demande de lui adresser les informations collectées à son sujet, or celles-ci proviennent de plusieurs sources. Laquelle indiquer? (la dernière mise à jour? toutes?)... 56 8.12. Lors de l achat d un fichier de prospects, quelles sont les vérifications auxquelles je dois procéder?... 57 8.13. Puis-je transmettre mon fichier des prospects à la société en charge de l'impression et de l'envoi des courriers? Dois-je indiquer dans la déclaration à la CNIL (ou au CIL) que ce prestataire est "destinataire des données"? Quelles précautions dois-je prendre dans mes relations avec ce prestataire?... 57 Fiche 9. Références utiles... 58 9.1. Textes de référence :... 58 9.2. Sites institutionnels... 58 http://www.afcdp.net - 10 - Octobre 2013