VIE DES AFFAIRES – RGPD - 15.12.2022

La vente de fichiers clients

Dans un récent communiqué, la Cnil a rappelé les règles en matière de protection des données liées à la vente d’un tel fichier.

La vente d’un fichier clients n’est pas interdite par le règlement général sur la protection des données (RGPD), mais elle doit se faire dans le respect de certaines obligations précises.

Dans un communiqué du 5‑12‑2022 (consultable sur https://www.cnil.fr ), la Cnil rappelle les règles qu’un vendeur et un acquéreur doivent respecter lors de la vente d’un fichier à des fins commerciales, notamment s’agissant des droits des personnes.

La vente d’un fichier client est une opération courante qui permet à l’acquéreur de disposer de coordonnées dans le but de réaliser, le plus souvent, des opérations de prospection commerciale.

Parce qu’un tel fichier contient des données personnelles, notamment l’identité (nom et prénom), l’adresse e-mail, le numéro de téléphone ou encore l’adresse postale des personnes enregistrées dans la base de données, sa transmission ne peut se faire que sous réserve de respecter le RGPD, et notamment les principes suivants :

Le fichier vendu ne doit contenir que les données de certains clients

Tout d’abord, seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente. La vente d’un fichier clients a pour conséquence de permettre à l’acquéreur de démarcher les personnes concernées, ce qui ne sera possible que si le vendeur respecte les règles suivantes.

Le fichier ne doit contenir que les données des clients actifs. Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis, sauf exception, pour une durée de 3 ans à compter de la fin de cette relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client), conformément aux recommandations de la Cnil.

Les données des clients qui ne sont conservées qu’ à des fins administratives (comptabilité, contentieux, etc.) ne doivent pas être transmises .

Seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues. Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et de ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique doivent être supprimées du fichier avant que celui-ci soit transmis à l’acquéreur.

Les conditions de transmission et de remise des données entre le vendeur et l’acquéreur doivent s’effectuer de façon à garantir la sécurité et la confidentialité des données.

L’acquéreur doit assurer le respect des droits des personnes

Effectuer une information claire des personnes sur la vente du fichier client. De son côté, l’acquéreur du fichier doit respecter certaines règles afin de s’assurer que l’utilisation du fichier client est conforme à la réglementation. Tout d’abord, il doit informer les personnes, dès que possible (notamment lors du premier contact avec la personne concernée) et, au plus tard, dans un délai d’un mois, sauf si les personnes ont déjà reçu les informations nécessaires. Cette information doit notamment comporter la source des données, c’est-à-dire le nom de la société à l’origine de la vente du fichier client.

Vérifier l’existence d’un consentement à la prospection électronique. En plus de l’information des personnes, l’acquéreur doit être en mesure de démontrer qu’il dispose de leur consentement éclairé s’il souhaite utiliser leurs données à des fins de prospection commerciale par voie électronique.

Deux situations peuvent être distinguées :

  1. le vendeur a déjà recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur. Lorsque, au moment de la collecte des données, l’identité de l’acquéreur figurait déjà dans la liste des sociétés auxquelles les données seraient transmises à des fins de prospection par voie électronique (parce que l’acquéreur était un partenaire commercial du vendeur), l’acquéreur peut démarcher directement les personnes ayant consenti à la transmission de leurs données à ces fins ;
  2. le vendeur n’a pas recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur. Lorsque le vendeur n’a pas recueilli le consentement pour l’acquéreur, ce dernier doit garantir la conformité de ses opérations de prospection par voie électronique, en recueillant lui-même, préalablement, le consentement des personnes concernées.

Dans toutes les situations, l’acquéreur devra respecter les droits des personnes. Quel que soit le canal de prospection utilisé, chaque sollicitation doit permettre aux personnes d’exprimer, si elles le souhaitent et par un moyen simple, leur refus de recevoir de nouvelles sollicitations (par exemple avec un lien pour se désinscrire à la fin du message).

L’acquéreur doit, en tout état de cause, assurer le respect de l’ensemble des obligations posées par le RGPD (durées de conservation des données, sécurité des données, respect du droit d’accès, du droit à l’effacement, etc.).

Parce qu’un fichier clients contient des données personnelles, sa transmission ne peut se faire que sous réserve de respecter le RGPD, notamment le fichier vendu ne doit contenir que les données de clients actifs et l’acquéreur du fichier doit assurer le respect des droits des personnes.

Contact

Éditions Francis Lefebvre | 42 Rue de Villiers, CS50002 | 92532 Levallois Perret Cedex

Tél. : 03 28 04 34 10 | Fax : 03 28 04 34 11

service.clients.pme@efl.fr | pme.efl.fr

SAS au capital de 241 608 € • Siren : 414 740 852
RCS Nanterre • N°TVA : FR 764 147 408 52 • APE : 5814 Z