Cela est notamment vrai lors de la transmission de données clients à des prestataires tiers.
Les entreprises partent souvent du principe que le fait de sous-traiter les protège en cas de destruction ou de diffusion des données, notamment celles à caractère personnel. Or il en est rien : l’entreprise reste responsable de ses données, même si l’anomalie ou la négligence est le fait de son sous-traitant. La jurisprudence est claire à ce sujet (par exemple Orange).
Cela signifie donc que vous, entreprise, êtes responsable de la sécurité des prestataires à qui vous confiez vos fichiers (plateformes d’e-mailing, analyse statistique, logisticiens….). Vous devez alors avoir un fort degré d’exigence envers eux : audit de sécurité, mise en place d’indicateurs…
D’autres points abordés lors de l’atelier qui m’ont semblé retenir particulièrement l’attention :
– Raisonner au niveau de l’expérience client, de son parcours d’achat global. Le digital est une question d’expérience, de fidélisation,
– Un fichier client non déclaré à la CNIL n’a aucune valeur financière,
– Toujours se poser la question de qui est le propriétaire du fichier, qui est est responsable de son traitement,
– Privilégier l’hébergement dans l’Union Européenne : vos clients sont protégés, ils y ont des droits. Dans le cas d’un hébergement Amazon ou Google, quels sont les droits de vos clients ?
– La donnée IP est une donnée à caractère personnel,
– On ne peut être propriétaire de données à caractère personnel, on ne peut en avoir que des droits d’usage,
– Dans un contrat il est préférable de porter des clauses pénales, ce qui limite l’interprétation du juge et permet de séquestrer les montants en cas de procès,
– Attention à la réversibilité des données : en cas d’arrêt de la prestation, quelles sont les données que vous récupérez ? avec quel niveau d’enrichissement ? sous quel délai et… à quel coût ?
Et voici le document promis :