Bases de données client B to B et RGPD: les nouveaux risques

> Le credit manager: Est-ce que je pourrai toujours enregistrer dans une base de données les noms, adresses mail et numéros de mobile de mes interlocuteurs professionnels?

L'avocat: Oui, et dans les mêmes conditions que celles de la loi actuelle: avec le consentement de la personne concernée. C'est-à-dire l'explication de la finalité du recueil des données, le droit d'accès, de correction et de suppression, sur demande de l'intéressé.

> CM: Pour gérer le risque client B to B, on prend note d'un certain nombre d'indicateurs. Par exemple: ce client a tel grand client, ou travaille avec tel fournisseur. Et il y a les contacts: le p-dg est diplômé du secteur, son management est apprécié, il y a peu de risque qu'il parte avec la caisse car sa fortune personnelle est déjà faite par un héritage...

A: Là encore, on peut enregistrer ce que l'on veut, du moment que la finalité est expliquée à la personne concernée et que cette dernière a donné son consentement à l'utilisation des données, voire à leur transmission à des tiers identifiés.

> CM: Mais puis-je quand même enregistrer quelques informations professionnelles sur mon interlocuteur sans lui demander son accord à chaque fois? Son parcours professionnel, ses expériences, ses publications, ses références morales, ses valeurs, son histoire personnelle...

A: Attention: la couleur de peau, l'orientation sexuelle, le fait d'être syndiqué, les opinions politiques, philosophiques ou religieuses, sont des "données sensibles" qui doivent faire l'objet d'un consentement spécifique.

> CM: Bases de données de prestataires, assureurs crédit ou sociétés d'information, qui nous donnent des revues de presse et une appréciation du risque: quelle est ma responsabilité sur ces informations qui me sont apportées par des prestataires?

A: Les données sur les entreprises ne sont pas concernées par le RGPD, car ce ne sont pas des données personnelles. Si une revue de presse pointe un article sur la personnalité d'un dirigeant, il s'agit d'une information déjà publique.

> CM: J'ai souvenir qu'en Slovaquie, il y a quelques années, le risque sur une entreprise était assez réduit quand on savait que le patron était propriétaire de sa maison. Est-ce que je peux enregistrer des informations sur des personnes étrangères?

A: Le RGPD concerne tous les citoyens de l'Union européenne, mais aussi tout résident établi dans l'un des 28 pays de l'UE, quelle que soit sa nationalité. Même les centres de traitement délocalisés doivent s'y conformer. Pour le moment, le Brexit ne change rien aux obligations concernant le Royaume-Uni.

> CM: Pour l'efficacité du recouvrement des créances B to B, je suggère souvent aux chargés de relance de noter des informations du type horaires de travail des interlocuteurs, numéro de ligne directe, etc.

A: On distingue les horaires de travail, qui sont des données personnelles, des horaires de disponibilité, qui sont des données professionnelles. Il vaut donc mieux enregistrer ces dernières. Les noms et numéros de téléphone sont des données personnelles, définies comme "toute information identifiant directement ou indirectement une personne physique".

> CM: Comme le recouvrement est un acte commercial, pour débloquer des paiements, il faut savoir entretenir de bonnes relations. Si je sais que mon interlocuteur passe ses vacances en Corrèze, ou si elle a été en congé maternité, je le note pour en parler lors d'un prochain appel, cela fluidifie les relations.

A: Même si cela sert les objectifs de l'entreprise, et que ces données resteront utilisées dans le strict cadre professionnel, ce sont des données personnelles. Vous devez donc obtenir le consentement de la personne concernée pour les garder.

>> Lire la suite en .

> CM: Pour adapter mes actions de relance lors de retards de paiement, des logiciels m'aident à analyser les comportements de paiement de mes clients. L'historique des retards de paiement ne représente pas des données personnelles, car il concerne la personne morale entreprise cliente, n'est-ce pas?

A: Oui, bien sûr.

> CM: Et si mon client est un artisan ou un indépendant, bien qu'il ait un numéro de Siren, il n'a pas d'entité légale. Est-ce que ces données deviennent alors des données personnelles?

A: Exactement. Si les informations concernent une personne morale entreprise, il ne s'agit pas de données personnelles. Dans le cas contraire, elles permettent d'identifier une personne physique et relèvent des données personnelles. Enregistrer la forme juridique de vos clients B to B est donc essentiel.

> CM: Dans les grands groupes, il existe un service pour gérer les factures fournisseur. Puis-je enregistrer les noms de mes interlocuteurs "préférés" et de ceux qu'il faut "éviter" Avoir un petit commentaire sur chacun?

A: Du moment que vos informations ne relèvent pas du domaine des données sensibles et que leur consentement a été donné, cela ne pose pas de difficulté.

> CM: Vous avez plusieurs fois répété qu'il fallait un accord de la part des personnes dont j'enregistre les données personnelles. Comment le formaliser?

A:Le consentement doit toujours être très clair pour celui qui le donne, notamment quant aux finalités du traitement. Il peut se présenter sous forme papier, électronique, ou être accordé via un logiciel spécialisé. Vous ne pouvez pas faire signer un consentement général quant à l'utilisation des données, et chaque modification dans l'usage de ces données impose un nouveau consentement. Dans le cadre du credit management, les consentements doivent être données côté client, mais aussi côté fournisseur.

> CM: Alors ajouter une clause d'accord implicite dans mes CGV n'est pas une bonne idée?

A: Les CGV sont acceptées par la personne morale "entreprise" qui est votre client, et non par ses employés. Or un employeur ne peut pas donner son consentement au nom de ses employés. Vous devrez donc soumettre un consentement à chacun de vos interlocuteurs "personnes physiques".

> CM: Quelqu'un qui a donné son consentement alors qu'il était dans une entreprise, et qui change de poste ou même d'employeur doit-il fournir un nouveau consentement?

A: En théorie, si la finalité n'a pas changé, ce n'est pas utile. En pratique, il nous semble qu'un nouveau consentement serait requis.

> CM: Quid des sous-traitants en marque blanche? De nombreuses entreprises confient le recouvrement de leurs créances à des sociétés spécialisées qui interviennent au nom de leur donneur d'ordre. C'est transparent pour le client final qui reçoit la relance. Parfois le sous-traitant travaille sur les bases de données du donneur d'ordre, parfois il travaille avec ses propres outils.

A: Le sous-traitant est astreint aux mêmes obligations que son donneur d'ordre, notamment en termes de sécurité des données personnelles. S'il travaille en marque blanche, il doit s'assurer que le consentement reçu par son donneur d'ordre comporte bien la notion d'utilisation des données par un tiers.

> CM: Est-ce que le fait que mes bases de données client ou fournisseur soient dans le cloud, ou hébergées hors Union européenne, change quelque chose?

A: La question de la localisation des données est importante. Ne pas savoir où elles se trouvent est déjà un indice de non-conformité. Les données personnelles doivent être protégées de toute intrusion tant au terme de la loi actuelle que du RGPD qui renforce les sanctions.

>> Lire la suite en

> CM: Dans le cadre d'une cession de factures client qui implique la transmission des bases de données client à des personnes de type fonds de titrisation, dont la gestion est assurée par des sociétés de gestion, et dont les bases sont vérifiées par des banquiers et conservées par des intermédiaires: qui doit faire signer quoi?

A: La chaîne contractuelle prévoira des garanties de conformité RGPD pour tous les acteurs. Il conviendra d'être capable de s'assurer que tous sont conformes. En pratique, le consentement demandé par l'entreprise qui titrise ses créances commerciales devra être rédigé de telle manière que les personnes dont les données seront transmises soient bien consentantes à ces transferts d'information.

> CM: Quel est le rôle de la Cnil dans la mise en place du règlement européen?

A: Chacune des autorités de régulation nationale voit ses pouvoirs très renforcés en termes de sanctions. La Cnil a toujours été très pédagogue: elle émet des documents et des conseils qui aident les entreprises à mieux comprendre comment se conformer au cadre règlementaire.

> CM: Qui pourrait me dénoncer? Est-ce que les CAC ou la DGCCRF, ou même mes simples partenaires clients ou fournisseurs, ont un rôle?

A: Nous pensons qu'il s'agit surtout des usagers qui vont demander en masse ce que les entreprises font de leurs données personnelles. Ces dernières seront obligées de répondre précisément à ces questions. À défaut, il est vraisemblable que les usagers le notifieront à la Cnil, qui saura que l'entité en question n'est pas conforme.

> CM: Finalement, qu'est-ce qui change vraiment par rapport à ce qu'on connaissait déjà? Ne prévoyez-vous pas une non-catastrophe comme le bug de l'an 2000, ou la mise en place de l'Euro?

A: Le bug de l'an 2000 n'a sans doute pas eu lieu parce que les ingénieurs informatiques ont beaucoup travaillé pour qu'il ne survienne pas. Pour le RGPD, l'Europe a décidé que les données personnelles devaient être protégées. Le cadre réglementaire n'a pas fondamentalement évolué. En revanche, les amendes maximales (le projet de loi en cours en France souligne une astreinte de 100000€/jour au maximum) sont particulièrement élevées et aucune entreprise ne peut prendre le risque d'être condamnée à en payer une. Sans compter que les entreprises incriminées risquent de subir un déficit d'image bien plus important dès lors que les usagers seront sensibilisés à la question. Qui voudra acheter sur un site marchand condamné par la Cnil?

Les auteurs

L'avocat:

M^e Thierry Aballéa,

associé / partner,

Ewen Law

L'expert en credit management:

Louis Chavanat

LLBV Management