RGPD : Quel impact sur les centres de contacts ?

Difficile d’ignorer l’entrée en vigueur du RGPD le 25 Mai 2018, tant cette date fait le buzz et les centres de contact n’ont pas été épargnés puisque tout enregistrement  d’appel peut être considéré comme un traitement de données à caractère personnel par la capture notamment des données personnelles identifiables (noms et prénoms etc.) ou d’informations personnelles sensibles (coordonnées bancaires ou financières, rapports médicaux, détails familiaux, croyances religieuses ou préférence sexuelle, etc.).

Les entreprises qui utilisent ou qui souhaitent utiliser l’enregistrement d’appels doivent anticiper et préparer des processus spécifiques répondant aux exigences du RGPD. Cela concerne notamment les conditions d’enregistrement, la possibilité de les refuser, la durée de conservation mais aussi l’information sur les droits des personnes, le stockage et les mesures de protection de ces enregistrements.

Ainsi, pour les centres de contact, la question de l’application du RGPD se pose à la fois pour les salariés, partie soumise au code du travail et au code pénal outre les exigences du RGPD, et les clients.

Les personnes concernées doivent être informées du dispositif, notamment dans leur contrat de travail dont la signature apportera la preuve du consentement donné par le salarié à être enregistré. Ce dernier devra connaître l’identité du responsable de traitement et ses droits afin qu’il soit en mesure de les exercer. Il s‘agit notamment du droit d’opposition pour motif légitime, du droit d’accès et de rectification.

L’entrée en vigueur de la nouvelle réglementation européenne sur la protection des données ne devrait pas révolutionner les choses mais le montant des sanctions et la réputation qui serait entachée par son prononcé, obligent à se poser les bonnes questions et à adopter les bonnes pratiques.

• Dans le cas où le client est encore un prospect, le droit d’opposition s’applique mais il est important de regarder d’autres législations, notamment la loi de consommation de 2014 et en particulier bloctel. En effet, un prospect inscrit sur bloctel ne doit pas être contacté pour du démarchage commercial, et c’est au centre de contact (ou son donneur d’ordre) de s’en assurer.

En cas de non-respect de cette inscription, l’entreprise (même établie à l’étranger) risque une amende allant jusqu’à 75 000 €. Ceci semble bien ridicule comparé aux amendes du RGPD, mais trois points importants sont à noter :

• Il est relativement facile de prouver qu’une entreprise n’a pas fait les vérifications auprès de bloctel : seules les entreprises inscrites à bloctel peuvent voir leur fichier « nettoyer » sur demande
• Cette sanction, ne dispense pas d’une action de la CNIL en parallèle.
• Du fait du non-respect massif de bloctel, le législateur envisage de renforcer la loi, notamment en imposant aux centres de contact d’utiliser le même préfixe téléphonique afin d’être facilement identifiés par les clients.

Le règlement ePrivacy, en négociation entre les états membres de l’UE pourraient également avoir des conséquences significatives sur le fonctionnement des centres d’appels : il imposerait la nécessité du consentement explicite au détriment de tout autre fondement légal.

Alors que, jusqu’à présent, les enregistrements des appels devaient faire l’objet d’une déclaration auprès de la CNIL, le règlement général sur la protection des données (RGPD) entrant en application le 25 mai prochain, la plupart des formalités auprès de la CNIL vont disparaître. Il sera donc opportun de prendre connaissance de vos nouvelles obligations au regard du RGPD et vous préparer à son application sans oublier de vous intéresser aux autres lois et réglementations applicables, qui elles pourraient avoir un impact encore plus significatif sur le fonctionnement de vos centres.