skip to Main Content

Lorsque vous menez une enquête de satisfaction ou récoltez des avis clients, vous créez de facto un fichier de données. Cette pratique est réglementée afin de protéger les données personnelles. Que faut-il faire avant de mettre en œuvre ce fichier ?

Déterminer le type de données

Il est primordial de déterminer si les données collectées comportent des informations nominatives. Comment les reconnaître ? Ces informations permettent d’identifier directement ou indirectement une personne physique. Cela comprend :

  • l’identité (nom, prénom, date et lieu de naissance, photo),
  • les adresses, mails et numéros de téléphone, n° d’immatriculation,
  • les informations bancaires,
  • les pseudonymes des personnes déposant un avis…

La suppression du nom de famille ne suffit donc pas. Aujourd’hui, via un moteur de recherche sur le Web, la combinaison de plusieurs données permet parfois de retrouver une personne précise par déduction.

Si vous menez une enquête strictement anonyme, il n’est pas nécessaire de faire une déclaration mais c’est se priver de métadonnées précieuses pour l’analyse de la Voix du Client. Pensez au bénéfice qu’elles apportent, notamment lors d’une enquête à chaud post-achat ou pour recontacter directement un client mécontent afin de lui proposer une solution. Dans ce cas, le fichier doit être déclaré auprès de la CNIL.

Effectuer une déclaration auprès de la CNIL

Pour les enquêtes de satisfaction et le suivi de la relation client, la CNIL permet de faire une déclaration allégée : la norme simplifiée NS-048. Cette déclaration CNIL peut s’effectuer directement via le site internet. Les entreprises des secteurs de la banque, de l’assurance, de la santé et de l’éducation en sont cependant exclues car les informations dont elles disposent sont parfois très sensibles. Pour ces secteurs, il existe également des procédures en ligne.

Collecter les données de manière loyale

Aujourd’hui, la Voix du Client est partout. Vous pouvez la solliciter directement auprès de vos clients mais ces derniers s’expriment également librement sur le Web (via les forums, plateformes d’avis et réseaux sociaux par exemple).

Il est tentant de collecter les feedbacks spontanés mais cette pratique, sans prendre quelques précautions, peut s’avérer périlleuse. Pour être légal, un fichier de données doit être constitué de manière loyale. La personne concernée doit être informée de la collecte de ses informations et de la finalité du traitement, ce qui n’est pas possible lorsqu’on « siphonne » des données sur des sites tiers. Il faut donc être très vigilant et s’assurer qu’elles soient strictement anonymes.

Dans les autres cas, le support de l’enquête doit mentionner l’identité du responsable de traitement, sa finalité et ses destinataires, du caractère obligatoire ou facultatif des réponses et des possibilités de rectification ou de suppression, de la transmission des données si besoin et de la durée de leur conservation.

Veiller au bon usage du fichier

La déclaration auprès de la CNIL ne fait pas tout. Il faut aussi s’assurer de la bonne utilisation de ces données par la suite.

Garantir la sécurité des données

Vos données ne doivent pas être déformées ou consultées par des personnes non autorisées, il faut donc s’assurer de leur sécurité tant au niveau des locaux que du système d’information. En 2014, une société française a été sanctionnée par la CNIL à une amende de 50 000 €. En autres : un manque de sécurité sur son site internet lors de la collecte de données et un « contrat signé par la société avec l’un de ses prestataires [qui] ne contenait pas de clause précisant les obligations de ce prestataire en matière de protection de la sécurité et de la confidentialité des données des clients ». Que faire lorsque vous faites appel à un prestataire pour la collecte ou le traitement ? Assurez-vous que le contrat de la mission mentionne cette obligation et que votre prestataire sécurise bien vos données.

Chez Dictanova, nous sécurisons les données confiées par nos clients et empêchons leur accès physique et ou à distance par un tiers non-autorisé. Leur transmission est notamment chiffrée selon l’état de l’art du marché. Nous nous engageons à respecter les règles édictées par la CNIL en matière de localisation des données : elles sont physiquement hébergées en France métropolitaine. Pour qu’il n’y ait pas de perte d’information ou de dégradation, nous répliquons les données sur plusieurs serveurs afin d’assurer une redondance en cas de panne matérielle.

Respect des objectifs du fichier

Un fichier est construit pour répondre à un objectif bien défini en amont. Les informations collectées doivent être cohérentes avec la finalité de l’exploitation du fichier. Elles ne peuvent pas être détournées et utilisées pour un autre objectif que celui déclaré auprès de la CNIL. En ce qui concerne la durée de conservation, il ne faut pas garder les données au-delà du temps nécessaire à la réalisation de l’objectif.

Pour aller plus loin

La norme simplifiée n° NS-048 relative à la gestion de clients et de prospects : https://www.cnil.fr/fr/declaration/ns-048-fichiers-clients-prospects-et-vente-en-ligne

Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee

Limiter la conservation des données : https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

Cet article comporte 6 commentaires
  1. Bonjour,
    Nous sommes un centre médical et demandons de façon anonyme à nos patients leur satisfaction concernant le séjour qu’ils ont effectués chez nous.
    Les résultats sont saisis sur un logiciel afin d’être analysés.
    Pouvez-vous nous indiquer le délai de conservation légal des questionnaires de satisfaction papier sachant qu’ils ne comportent pas de donnée médicale ni de nom.
    Merci d’avance pour votre retour car nous ne trouvons pas les textes légaux mentionnant ce type d’obligation.

    1. Bonjour Sandrine,
      La Cnil ne donne pas d’indication précise sur la durée de conservation des données : “Les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte” (https://www.cnil.fr/fr/limiter-la-conservation-des-donnees). D’ailleurs, vos données semblent strictement anonymes et sans informations médicales, il ne semble pas qu’elles tombent dans l’obligation de déclaration à la Cnil. Pour en être certaine, vous pouvez contacter directement la CNIL via un formulaire sur leur site. N’hésitez pas à nous faire part de leur réponse, cela sera intéressant !

  2. bonjour,
    Je suis actuellement en stage dans un musée pour réaliser une enquête de satisfaction. Cette enquête est réalisée en deux temps avec une partie quantitative et une autre qualitative.
    Pour la partie quantitative, nous ne demandons pas de noms, prénoms, adresse, mail. Nous demandons cependant un age ou une année de naissance ou une tranche d’âge (au choix des visiteurs), le code postal de résidence, et pour ceux qui souhaite participer au deuxième temps de l’enquête, soit la partie qualitative, nous demandons un numéro de téléphone pour les personnes qui n’ont pas le temps à la fin de leur visite de répondre à nos questions.
    Ce même procédé sera aussi mis en ligne sur le site de l’exposition concernée par cette enquête.
    Devons nous déclarer à la CNIL notre démarche ?
    Merci d’avance pour votre retour, je n’ai pas encore trouvé de réponse sur le sujet.

  3. Bonjour,

    Dans le cas où le client travaille avec un prestataire et que c’est ce dernier qui effectue le traitement des données et les conserve, qui doit faire la déclaration à la CNIL : le client ou le presta ?
    Si c’est le presta, doit-il faire une nouvelle déclaration à chaque nouveau client ?

    Merci !

    1. Bonjour Théo,
      Voici ce que dit le site de la CNIL : https://www.cnil.fr/fr/informatique-et-libertes-suis-je-concerne
      “Un responsable de traitement peut faire appel à un sous-traitant. Le sous-traitant traite des données à caractère personnel pour le compte et sous la responsabilité du responsable de traitement. Le sous-traitant doit donc présenter des garanties suffisantes pour assurer la sécurité et la confidentialité des données personnelles.” et “Le responsable du traitement n’est pas un sous-traitant : est considéré comme un sous
      traitant (ou prestataire), au terme de l’article 35 de la loi susvisée, “toute personne traitant des données à caractère personnel pour le compte du responsable des traitements. Lorsqu’un traitement est sous-traité à un prestataire externe à l’organisme, le dit prestataire ne devient pas le responsable du traitement. Il n’agit que sous les ordres du sous-traitant, ce n’est pas lui qui a défini les finalités et les moyens du traitement et il n’a pas le pouvoir de les modifier a posteriori. En conséquence, un traitement sous-traité reste sous la responsabilité de l’organisme qui a décidé de faire appel à un sous-traitant.”

      (https://www.cnil.fr/sites/default/files/typo/document/20100201_NE_RESPONSABLE_DE_TRAITEMENT_VD.pdf). C’est donc le donneur d’ordre qui doit déclarer le fichier comportant des données nominatives à la CNIL.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back To Top