Logiciel ERP et CNIL : Soyez vigilants avec vos données !

blog

La CNIL (Commission Nationale de L’Informatique et Libertés) est un organisme de contrôle en matière de protection des données personnelles. Elle épingle régulièrement des entreprises qui ne respectent pas la loi. Plusieurs grandes entreprises ont été mis en demeure, notamment Facebook, Microsoft et plus récemment Cdiscount. L’occasion de faire le point sur ce que dit la loi concernant les logiciels ERP et CNIL

Les logiciels ERP n’ont pas besoin d’être déclarés à la CNIL et ne sont pas soumis à la loi informatique et libertés. C’est l’utilisation qui en est faite pour traiter des données à caractère personnel qui doit respecter les prescriptions de la loi.

Les éditeurs de logiciels n’ont aucune obligation concernant les produits qu’ils proposent. Ils n’ont pas à les paramétrer pour qu’ils soient conformes aux principes de la CNIL. C’est à vous, utilisateurs, d’être vigilant sur ses fonctionnalités pour ne pas être en infraction avec la loi.

Chez SILOG, par exemple, nos solutions ERP disposent d’une fonction permettant la suppression et/ou l’archivage des données personnelles. De plus, il est utile d’examiner les champs de saisie de l’outil afin de vérifier que les données collectées sont pertinentes au regard de la finalité du traitement.

A terme, la CNIL envisage de labelliser des produits informatiques, ce qui permettra d’attester de leur conformité à la loi.

Logiciel ERP et CNIL : Que faut-il savoir ?

Les données sur vos clients :
Vous pouvez enregistrer dans votre ERP ou votre CRM toutes les données sur vos clients relatives à leur identité, à leur vie professionnelle et à leurs centres d’intérêts, à l’exception des données dites sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, état de santé ou vie sexuelle).

Vous êtes ainsi autorisé à collecter et traiter les données sur vos clients concernant :

  • Leur identification : nom, prénom, adresse postale, numéros de téléphone et de fax, adresse de courrier électronique, date de naissance, code interne d’identification (ce code doit être distinct du numéro de sécurité sociale ou du numéro de carte bancaire),
  • Leurs moyens de paiement (relevé d’identité postale ou bancaire, numéro de transaction, numéro de chèque, numéro de carte bancaire),
  • Leur situation familiale, économique et financière (vie maritale, nombre et âge des enfants du foyer, profession, domaine d’activité, catégorie socio-professionnelle),
  • La relation commerciale que vous entretenez avec eux,
  • Les règlements des factures.

ATTENTION : Si vous décidez de constituer une liste de mauvais payeurs, vous devez en informer vos clients et leur communiquer l’identité du responsable du traitement (CIL). Vous devez préciser les finalités que poursuivez avec ce fichier, le caractère obligatoire ou facultatif de leurs réponses, les conséquences éventuelles d’un défaut de réponse, les destinataires des données les concernant, leurs droits d’accès, de rectification et d’opposition au traitement. Cela à la transmission ou à cession de leurs données ainsi que, le cas échéant, des transferts de données à destination d’un État non membre de l’Union européenne.

Les données sur vos salariés :
Vous avez le droit de collecter et traiter dans la GRH de votre ERP des informations relatives à vos salariés hors données sensibles : recrutement, gestion des carrières et des compétences, suivi du temps de travail, géolocalisation des véhicules par exemple. Ce cadre légal est définit afin de protéger vos salariés. Etant donné que la divulgation ou la mauvaise utilisation de ces informations pourrait porter atteinte à leurs droits et libertés personnels, ou à leur vie privée.

Le respect des règles de protection des données à caractère personnel est donc un facteur de transparence et de confiance à l’égard de vos salariés. C’est aussi un gage de sécurité juridique, car tout responsable qui ne respecterait pas ces règles, engagerait sa responsabilité, notamment pénale.

Par ailleurs vos salariés, anciens salariés ou collaborateurs justifiant de leur identité doivent pouvoir accéder à leur dossier professionnel auprès du service des ressources humaines ou de la personne en charge du personnel. Ils peuvent ainsi avoir accès aux données enregistrées dans votre ERP concernant :

  • Leur recrutement,
  • Leur historique de carrière
  • Leur rémunération
  • L’évaluation de leurs compétences professionnelles (entretiens d’évaluation, notation).

En revanche, ils n’ont pas le droit d’accéder aux données concernant la situation personnelle d’un tiers ni celles concernant leur carrière qui n’ont pas été utilisées pour prendre une décision les concernant.

Logiciel ERP et CNIL : Les 5 grands principes à respecter

1. Le principe de finalité : une utilisation encadrée des fichiers
Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé explicite et légitime.

2. Le principe de proportionnalité
Seules les informations pertinentes et nécessaires peuvent faire l’objet d’un enregistrement dans un traitement de données à caractère personnel.

3. Le principe d’une durée de conservation limitée des données
Les informations figurant dans votre fichier ne peuvent être conservées indéfiniment. Une date limite de conservation doit être déterminée. Par exemple, les données concernant un prospect inactif pendant 3 ans devront être supprimées.

4. Les principes de sécurité et de confidentialité
Les données contenues dans votre CRM ou GRH ne peuvent être consultées que par les personnes habilitées à les consulter du fait de leurs fonctions et doivent être conservées de manière totalement sécurisée.

5. Le principe du respect des droits des personnes
Les personnes physiques concernées par un traitement de données à caractère personnel doivent être préalablement informées de l’identité de son responsable du fichier, le CIL, (ou du représentant légal de l’entreprise), de sa finalité, du caractère obligatoire ou facultatif du recueil des données, des destinataires, des modalités d’exercice des droits d’accès et de rectification et des éventuels transferts des données vers un État non-membre de l’Union européenne.

Déclaration de fichiers et des traitements informatisés

Vous l’avez compris, tout fichier ou traitement informatisé comportant des données personnelles doit être déclaré à la CNIL préalablement à son utilisation, sauf s’il bénéficie expressément d’un allègement des formalités préalables (dispense de déclaration ou déclaration simplifiée) ou relève du régime de l’autorisation préalable.

Une déclaration simplifiée pour les opérations de gestion de la clientèle les plus courantes :
Le responsable de traitement peut effectuer une déclaration simplifiée pour les opérations concernant la gestion de vos clients telles que les contrats, les commandes, les livraisons, les factures et la comptabilité, en particulier la gestion des comptes clients.

Il est important de désigner un CIL (Correspondant Informatique et Libertés). Cela facilitera grandement vos démarches. Le CIL est le référent en ce qui concerne la collecte, le traitement et la sécurité de vos données. De ce fait, seuls les traitements soumis à autorisation ou avis préalables de la CNIL devront faire l’objet des formalités. Les autres traitements n’auront plus qu’à être référencés dans une liste tenue localement par le correspondant.

Si vous souhaitez en savoir plus, n’hésitez pas à visiter le site de la CNIL.