Sophie Herbreteau
Recouvrement de créancesL’utilisation de vos données personnelles
L’utilisation des données personnelles est nécessaire pour recouvrer une créance qui s’inscrit dans le cadre d’un contrat. La plupart, voire la totalité, des informations personnelles que la société va traiter à votre sujet lui seront transmises par votre créancier. Vous pouvez exercer vos droits auprès de la société de recouvrement ou de la Commission nationale de l'informatique et des libertés (Cnil).
En vertu de votre contrat avec votre créancier, vos données personnelles peuvent être transmises à un tiers à des fins de recouvrement si les remboursements ne sont pas effectués comme convenu. Dans la gestion de vos données, la société de recouvrement est alors considérée comme un sous-traitant. Elle est autorisée à ce titre à traiter vos données personnelles utiles à l’activité du recouvrement, sans avoir à obtenir votre consentement. Le contrat établi entre le créancier et la société de recouvrement de créances formalise les règles et les responsabilités mutuelles, pour lever toute ambiguïté juridique en cas de contrôle.
De ce fait, la société de recouvrement a l’obligation de faire un usage strictement circonscrit à la finalité déterminée par le créancier. Enfin, elle doit garantir la protection des données qu’elle doit stocker pour l’exercice de son activité, et donc assurer plus généralement la sécurisation de son système d’information.
Si vous souhaitez exercer vos droits (droit d’accès, de rectification, etc.), vous devez contacter le responsable de traitement des données de la société de recouvrement.
→ Lettre type - Vie privée - Demande d’accès à mes données personnelles
→ Lettre type - Vie privée - Demande d’effacement de vos données personnelles
Si vous n’êtes pas satisfait de sa réponse ou si vous estimez que vos droits ne sont pas respectés, vous disposez d’un droit de réclamation auprès de la Commission nationale de l'informatique et des libertés (Cnil).
Articles 4.10, 6, 6.1.b) du règlement général sur la protection des données.
Vos données personnelles ne peuvent être conservées indéfiniment. Une durée de conservation doit donc être indiquée par le responsable de traitement. Celle-ci peut correspondre à une durée légale quand elle existe. Faute de durée légale, cette durée varie en fonction de l’utilité de la donnée au regard du but poursuivi. Dans ce cas, la durée de conservation des données ne doit pas être excessive au regard des raisons pour lesquelles elles ont été collectées.
Il faut savoir qu’il existe plusieurs phases de conservation : en base active (dossier en cours), en archivage intermédiaire (les données sont mises de côté) et en archivage (le dossier est réglé et archivé). Une même donnée peut parfois avoir plusieurs utilités successives ce qui implique donc des durées de conservation différentes et un accès qui peut être plus limité pour le personnel de la société.
Ainsi la société de recouvrement peut préciser dans sa politique d’utilisation des données personnelles qu’elle supprime les données personnelles du débiteur de la base active dans un délai maximum de quelques jours, par exemple 48 h, à compter de la régularisation de la facture. Toutefois, elle peut conserver des données plus longtemps après règlement à condition de justifier que cela est nécessaire (personne régulièrement en recouvrement avec son créancier, par exemple). À défaut de règlement amiable ou en cas d’un éventuel recours, la société peut conserver des informations pendant toute la durée du contentieux ou pendant le délai de prescription applicable à la créance (archivage intermédiaire). Dans ce cas, les données sont conservées dans un but précis et ne sont accessibles que de façon restreinte (par le service juridique, par exemple). Enfin, des données personnelles du fichier de gestion des impayés peuvent être stockées en archivage définitif (conservation des documents comptables pendant 10 ans à compter de la clôture de l'exercice).
En tout état de cause, la durée de conservation doit être proportionnée et justifiable.
En cas de non-respect, une amende administrative est encourue par la société et peut s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Articles 5 et 83.5 du règlement général sur la protection des données.