> CM: Pour adapter mes actions de relance lors de retards de paiement, des logiciels m'aident à analyser les comportements de paiement de mes clients. L'historique des retards de paiement ne représente pas des données personnelles, car il concerne la personne morale entreprise cliente, n'est-ce pas?
A: Oui, bien sûr.
> CM: Et si mon client est un artisan ou un indépendant, bien qu'il ait un numéro de Siren, il n'a pas d'entité légale. Est-ce que ces données deviennent alors des données personnelles?
A: Exactement. Si les informations concernent une personne morale entreprise, il ne s'agit pas de données personnelles. Dans le cas contraire, elles permettent d'identifier une personne physique et relèvent des données personnelles. Enregistrer la forme juridique de vos clients B to B est donc essentiel.
> CM: Dans les grands groupes, il existe un service pour gérer les factures fournisseur. Puis-je enregistrer les noms de mes interlocuteurs "préférés" et de ceux qu'il faut "éviter" Avoir un petit commentaire sur chacun?
A: Du moment que vos informations ne relèvent pas du domaine des données sensibles et que leur consentement a été donné, cela ne pose pas de difficulté.
> CM: Vous avez plusieurs fois répété qu'il fallait un accord de la part des personnes dont j'enregistre les données personnelles. Comment le formaliser?
A:Le consentement doit toujours être très clair pour celui qui le donne, notamment quant aux finalités du traitement. Il peut se présenter sous forme papier, électronique, ou être accordé via un logiciel spécialisé. Vous ne pouvez pas faire signer un consentement général quant à l'utilisation des données, et chaque modification dans l'usage de ces données impose un nouveau consentement. Dans le cadre du credit management, les consentements doivent être données côté client, mais aussi côté fournisseur.
> CM: Alors ajouter une clause d'accord implicite dans mes CGV n'est pas une bonne idée?
A: Les CGV sont acceptées par la personne morale "entreprise" qui est votre client, et non par ses employés. Or un employeur ne peut pas donner son consentement au nom de ses employés. Vous devrez donc soumettre un consentement à chacun de vos interlocuteurs "personnes physiques".
> CM: Quelqu'un qui a donné son consentement alors qu'il était dans une entreprise, et qui change de poste ou même d'employeur doit-il fournir un nouveau consentement?
A: En théorie, si la finalité n'a pas changé, ce n'est pas utile. En pratique, il nous semble qu'un nouveau consentement serait requis.
> CM: Quid des sous-traitants en marque blanche? De nombreuses entreprises confient le recouvrement de leurs créances à des sociétés spécialisées qui interviennent au nom de leur donneur d'ordre. C'est transparent pour le client final qui reçoit la relance. Parfois le sous-traitant travaille sur les bases de données du donneur d'ordre, parfois il travaille avec ses propres outils.
A: Le sous-traitant est astreint aux mêmes obligations que son donneur d'ordre, notamment en termes de sécurité des données personnelles. S'il travaille en marque blanche, il doit s'assurer que le consentement reçu par son donneur d'ordre comporte bien la notion d'utilisation des données par un tiers.
> CM: Est-ce que le fait que mes bases de données client ou fournisseur soient dans le cloud, ou hébergées hors Union européenne, change quelque chose?
A: La question de la localisation des données est importante. Ne pas savoir où elles se trouvent est déjà un indice de non-conformité. Les données personnelles doivent être protégées de toute intrusion tant au terme de la loi actuelle que du RGPD qui renforce les sanctions.
>> Lire la suite en