La conservation pendant quatre ans, à des fins de prospection commerciale, des données des membres du programme fidélité et des utilisateurs du site Internet est excessive. En revanche, une durée de conservation de trois ans des « clients inactifs », en raison des « particularités des traitements mis en œuvre par la société […] et notamment l’interconnexion profonde de ses bases » est justifiée.
Telle est la solution retenue par la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) en matière de durée de conservation dans la délibération n° SAN-2020-008 du 18 novembre 2020 prononçant une sanction pécuniaire à l’encontre d’une société de la grande distribution.
Quel est le point de départ de la durée de conservation retenue ? Que signifie la notion de « clients inactifs » ? Comment cette durée de conservation a-t-elle été appréciée en l’espèce ?
Comment déterminer le point de départ ?
Au cours de contrôles, les agents de la Cnil ont noté que les données à caractère personnel des membres du programme de fidélité et des utilisateurs du site Internet de la société étaient conservées pendant quatre ans à compter de leur dernière activité. Etant précisé que cette dernière pouvait être caractérisée par des situations variées : dernière transaction avec passage de la carte fidélité en caisse d’un magasin, dernière transaction en ligne, dernière modification de l’espace personnel sur le site web de la société, dernier contact avec le service client (point 31 de la délibération).
Sur ce point, la formation restreinte précise que le programme de fidélité de la société avait pour but la prospection commerciale de ses adhérents. Elle ajoute que « les clients de la grande distribution, a fortiori ceux d’un programme fidélité, sont des clients d’habitude retournant de façon régulière dans les mêmes magasins. Dès lors, un client n’ayant pas commercé avec la société pendant plusieurs années ne doit plus être considéré comme un client actif ».
Ainsi, la formation restreinte semble-t-elle considérer que le point de départ de la durée de conservation des données des clients à des fins de prospection commerciale est le moment où ces clients cessent d’être « actifs ». En pratique, cela semble signifier que cette durée de conservation peut être prolongée puisqu’un tel point de départ est flexible. En effet, il suffit que le client « commerce » avec le même magasin après un certain laps de temps, qui peut être « plusieurs années » à lire la définition donnée par la formation restreinte, pour que la date de dernière activité – point de départ du délai de conservation – soit décalée. Ce délai étant remis à zéro chaque fois que le client « commerce » avec le même magasin, les données utiles à la prospection commerciale peuvent potentiellement être conservées de manière indéfinie.
Or, nous nous interrogeons sur la pertinence de prendre en compte le fait que les clients retournent « de façon régulière dans les mêmes magasins » pour apprécier le point de départ de la durée de conservation fixée par la société. Comme exposé ci-dessus, les habitudes des clients peuvent effectivement avoir un impact sur le point de départ dans la mesure où elles sont de nature à le repousser à chaque interaction avec l’enseigne. Toutefois, en quoi le fait que les clients retournent de façon régulière dans les mêmes magasins est-il déterminant pour fixer le point de départ de la durée de conservation à la date de dernière activité du client ? Ce dernier serait-il différent si les habitudes des clients étaient différentes ?
Qu’est-ce qu’un « client inactif » ?
La norme simplifiée n°NS-048 relative aux fichiers clients-prospects et vente en ligne ainsi que le projet de référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciale de la Cnil, auxquels la formation restreinte se réfère, évoquent le terme « compte inactif ».
Selon ces deux textes adoptés ou en cours d’adoption par la Cnil, la notion d’« actif/inactif » est relative aux comptes en ligne, créés dans le cadre de l’utilisation d’un service de communication au public (norme simplifiée) ou plus généralement dans le cadre des activités commerciales (projet de référentiel).
Pour rappel, la Cnil recommande la suppression des comptes après un délai à l’issue duquel ces derniers doivent être considérés comme inactifs. Etant précisé qu’aucune prescription n’est imposée, à l’exception des comptes créés sur les sites de rencontre (deux ans).
En revanche, la notion de « client inactif » n’est évoquée ni dans la norme simplifiée, ni dans le projet de référentiel. Ainsi, qu’est-ce qu’un client inactif ? Quels sont les critères à prendre en compte pour juger de l’activité ou de l’inactivité d’un client ?
Plus généralement, est-il possible de déduire de la délibération que la formation restreinte applique le raisonnement retenu pour les comptes en ligne ? Si oui, en quoi ce raisonnement est-il pertinent pour les données des clients membres de programme de fidélité et des utilisateurs du site Internet ? Etant rappelé qu’en l’espèce l’interaction de ces derniers ne se limitent pas à l’utilisation des comptes en ligne. Ils peuvent, par exemple, effectuer des achats en magasin avec la carte fidélité.
Par ailleurs, ladite norme simplifiée recommandait comme point de départ de la durée de conservation « la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client) ». Le projet de référentiel se réfère quant à lui au « dernier contact » que les personnes ont eu avec l’entité, par exemple « pour les clients, un achat ou la date d’expiration d’une garantie ».
Ainsi, ces recommandations ne sont-elles pas applicables pour les clients membres d’un programme de fidélité ? La notion de « client actif/inactif » renvoie-t-elle à ces points de départ ?
Comment apprécier la durée de conservation ?
Concernant la durée de conservation, la formation restreinte rappelle que tant la norme simplifiée n°48 que le projet de référentiel « recommandent que les données de clients inactifs soient conservées pendant une durée de trois ans à compter du dernier contact avec la société ». Elle ajoute que même si « cette durée est indicative et ne s’impose pas en tant que telle aux responsables de traitement, la formation restreinte considère qu’elle constitue une référence permettant d’apprécier une durée appropriée ».
En l’espèce, selon la formation restreinte, la durée de conservation de quatre ans n’était pas strictement nécessaire à la finalité poursuivie, à savoir la prospection commerciale. En revanche, la formation de sanction estime qu’une durée de conservation des données des clients inactifs fixée à trois ans est justifiée en raison des « particularités des traitements mis en œuvre par la société […], et notamment [de] l’interconnexion profonde de ses bases ».
Toutefois, l’appréciation faite par la formation restreinte soulève des interrogations.
Tout d’abord, il convient de rappeler que dans sa délibération n°SAN-2020-003 du 28 juillet 2020, la formation restreinte avait jugé excessive la durée de conservation de cinq ans des données des prospects d’une société de vente de chaussures en ligne à des fins de prospection commerciale. Cette dernière utilisait les données en question uniquement pour deux ans. La formation restreinte avait considéré que la durée de cinq ans était disproportionnée et que la durée de deux ans était suffisante au regard de la finalité poursuivie et des pratiques internes de la société. Il convient de noter qu’en l’espèce, la durée de conservation de trois ans telle que recommandée dans la norme simplifiée n°48 n’était pas évoquée en tant que point de référence.
Il semble désormais acquis que la durée de conservation de trois ans à laquelle la Cnil se réfère dans nombre de communications relatives à la gestion des clients ne sera pas retenue de manière automatique par la formation restreinte, cette dernière affirmant dans la présente délibération que cette durée est « indicative ».
En revanche, il est possible de s’interroger sur les critères retenus par la formation restreinte pour déterminer la durée de conservation en l’espèce. Ainsi, quelles sont « les particularités des traitements mis en œuvre » ? Que signifie « l’interconnexion profonde » des bases ?
Il convient de rappeler que la Cnil avait défini en 2011 la notion d’interconnexion comme « la mise en relation automatisée d’informations provenant de fichiers ou de traitements qui étaient au préalable distincts ». A cet égard, elle avait également indiqué les critères permettant de qualifier l’existence d’une interconnexion entre des fichiers. Nous pouvons regretter que la formation restreinte n’ait pas davantage détaillé son raisonnement et les critères pris en compte.
Par ailleurs, il semble que la formation restreinte s’éloigne du critère d’appréciation de la durée de conservation, à savoir la finalité du traitement ; à moins de considérer que « les particularités des traitements » y compris « l’interconnexion profonde » des bases de données participent de la finalité de prospection commerciale.
Par conséquent, les interrogations persistent quant à la justification de cette durée de conservation.
En attendant des précisions sur ce point, les enjeux opérationnels restent entiers. Seule une analyse factuelle et documentée permettra au responsable du traitement de déterminer des durées de conservation adaptées aux finalités qu’il poursuit conformément à la réglementation applicable.