Le blog de la connaissance client Parcourez nos articles et conseils d'experts pour proposer une expérience client mémorable et améliorer votre business !
questionnaire intelligent et cnil

Questionnaires intelligents et CNIL : la marche à suivre !

L’utilisation de questionnaires intelligents implique naturellement de la collecte de données clients. Dans ce cadre, le spectre de la CNIL n’est jamais très loin et génère parfois quelques questions de la part de nos clients ou futurs clients.

La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger la vie privée des personnes fichées et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée. Il existe aussi des obligations de sécurité, de confidentialité et d'information.

Déclaration

Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l'informatique et des libertés sous forme d'une :

  • déclaration normale pour les fichiers qui concernent la vie privée ou les libertés individuelles des personnes : fichiers de clients, gestion des horaires des salariés, contrôle des accès aux locaux faisant l'objet d'une restriction de circulation, gestion de carrière et de la mobilité des salariés (organisation du travail, formations, annuaire interne, élections professionnelles, etc.), géolocalisation des véhicules utilisés par les salariés (ayant pour finalité le suivi et la facturation d'une prestation de transport, la sécurité des salariés ou des marchandises, le suivi du temps de travail, etc.),
  • déclaration simplifiée pour les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles des personnes.

Exemple : les sites commerciaux de vente en ligne de biens ou de services, qui collectent des informations nominatives via un questionnaire intelligent et constituent des fichiers de clients et de prospects, doivent effectuer une déclaration simplifiée. En revanche, les traitements de données mis en œuvre à partir d'un site web, qui ne bénéficient ni d'une dispense, ni d'une procédure allégée, doivent faire l'objet d'une déclaration normale.

Pour savoir si un fichier doit être ou non déclaré et quelle procédure appliquer, il existe un service d'aide à la déclaration sur le site de la Cnil.

Obligation d'information

L'entreprise qui détient des données personnelles doit informer la personne concernée de :

  • l'identité du responsable du fichier,
  • la finalité du traitement des données,
  • le caractère obligatoire ou facultatif des réponses,
  • les droits d'accès, de rectification, d'interrogation et d'opposition.
  • les transmissions des données.

Exemple : Un commerçant en ligne qui exploite des données personnelles collectées via un questionnaire intelligent doit respecter certaines obligations et notamment : recueillir l'accord des clients, les informer de leur droit d'accès, de modification et de suppression des informations collectées, veiller à la sécurité des systèmes d'information, assurer la confidentialité des données, indiquer une durée de conservation des données.

L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.

Obligations de sécurité et de confidentialité

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y aient accès.

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.).

Le responsable des données est aussi tenu de fixer une durée raisonnable de conservation des informations personnelles.

Sanctions

Outre les sanctions pénales (amende, emprisonnement), le manquement de l'entreprise aux obligations de protection des données personnelles peut entraîner de la part de la Cnil :

  • un avertissement,
  • une amende,
  • le verrouillage des données pendant 3 mois,
  • une injonction d'arrêter le traitement des données,
  • un retrait de l’autorisation de la Cnil.

Les liens utiles pour les utilisateurs de nos questionnaires intelligents

 

recevoir les etudes de cas

Enrichissez votre connaissance client et améliorez votre business Réservez votre démo