Par Anne Charlotte Andrieux et Rebecca Käppner
Dans la continuité de son ancienne norme simplifiée NS 57, la CNIL est venue apporter des précisions nouvelles quant à l’emploi de dispositifs d’enregistrement téléphonique et leur valeur probatoire.
Ce positionnement fait directement échos aux thématiques prioritaires de contrôle annoncées par la Commission pour 2022, parmi lesquels la prospection commerciale considérée comme un des « irritants du quotidien des français et un sujet récurrent de plainte » auprès de la CNIL.
La CNIL vient appuyer le fait que les enregistrements, notamment conservés à des fins de preuve de la formation d’un contrat, doivent être strictement nécessaires et respecter les principes fondamentaux du RGPD, et en particulier, l’information préalable de la personne concernée.
L’enregistrement doit être nécessaire
Le caractère indispensable
Un professionnel peut réaliser des enregistrements téléphoniques à des fins de preuve de la formation du contrat à condition que ces derniers soient nécessaires. Ce critère implique que le professionnel ne dispose pas d’autres moyens pour prouver qu’un contrat a été conclu et donc qu’on ne se trouve pas en présence d’une autre modalité de preuve tel qu’un document écrit.
S’agissant des contrats écrits, la preuve de la conclusion du contrat repose sur la transmission des documents que la loi impose. Dans l’hypothèse d’un contrat souscrit oralement, si l’enregistrement des conversations téléphoniques apparait nécessaire, il conviendra toutefois de veiller au fait que les données personnelles collectées soient limitées au strict nécessaire. Dès lors, l’enregistrement n’apparait légitime qu’à partir du moment où l’objet de la conversation porte distinctement sur la conclusion d’un contrat.
Attention aux données bancaires
La collecte de données bancaires représente un cas particulier à raison des risques de fraude inhérent à leur traitement. Si l’enregistrement des données bancaires n’est pas prohibé la CNIL recommande la mise en place d’un dispositif permettant d’interrompre ou de supprimer l’enregistrement au moment où la personne concernée prononce ces données.
Les enregistrements prévus expressément par la loi
Dans le secteur financier et des assurances certaines hypothèses d’enregistrement sont expressément prévues par la loi.
Ainsi, l’art. L. 533-10-5 du Code monétaire et financier oblige les prestataires de services d’investissement à conserver un enregistrement des transactions qu’ils réalisent. De même l’art. L.122-2-2 du Code des assurances, ainsi que le récent décret n°2022-34 du 17 janvier 2022 relatif aux démarches téléphoniques en assurance prévoient des modalités particulières de conservation des enregistrements pour permettre la réalisation de contrôles par les autorités de régulation compétentes (ACPR, DGCCRF).
L’application des principes généraux du RGPD aux enregistrements téléphoniques
L’information des personnes concernées
A l’instar de tout autre traitement, le responsable de traitement a l’obligation de délivrer à la personne concernée par l’enregistrement l’ensemble des informations prévues au titre de l’article 13 du RGPD. S’agissant des modalités d’information, la CNIL recommande une information à deux niveaux tel que préconisé habituellement par le CEPD :
- Une mention orale en début de conversation faisant état de l’existence du dispositif d’enregistrement, de la finalité poursuivie et de la possibilité éventuelle de conclure le contrat par d’autres moyens.
- Un renvoi vers un site web ou une touche « mentions légales » pour obtenir une information complète.
Le droit d’accéder à l’enregistrement téléphonique
A toutes fins utiles, la Commission rappelle également qu’en vertu du droit d’accès (art. 15 du RGPD) la personne concernée peut à tout moment solliciter communication de l’enregistrement.
La nécessaire mise en place de mesures de sécurité
En complément de l’obligation générale du responsable de traitement de mettre en œuvre des mesures de sécurité techniques adéquates, l’accès aux enregistrements devra être limité aux personnes habilitées de l’entreprise et des mesures devront être mises en place afin de contrôler les personnes qui ont ou ont eu accès à ces données. Cela peut impliquer la mise en place par le professionnel de dispositifs de traçabilité informatique.
Une conservation limitée des enregistrements
La durée de conservation des enregistrements devra être corrélée à la durée du contrat ou correspondre au délai légal prévu par le texte (si existant).
La durée dépend dès lors de la nature du contrat et devra tenir compte du délai de prescription de 5 ans en matière civile.
****
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.