Blog Données personnelles
La CNIL rappelle les règles applicables à la vente de fichiers clients
Le 5 décembre dernier, la CNIL a publié sur son site internet un communiqué relatif à la vente de fichiers clients. Par ce biais, la CNIL vient rappeler les règles applicables à ces ventes.
Cette publication intervient au moment où l’enseigne Camieu s’apprêtait dans le cadre de sa liquidation à vendre aux enchères son fichier riche de de 3,8 millions de données clients.
Le RGPD ne vient pas expressément interdire la vente de fichiers clients à des fins commerciales. Néanmoins, certaines obligations doivent être respectées dans la mesure des données personnelles sont collectées et conservées (p. ex. l’identité, l’adresse e-mail, le numéro de téléphone ou encore l’adresse postale des personnes enregistrées dans la base de données).
Quelles données doivent être contenues dans le fichier vendu ?
La vente d’un fichier clients permet à l’acquéreur de réaliser des opérations de prospection commerciale grâce aux coordonnées dont il dispose.
Dans ce contexte, le fichier ne doit tout d’abord contenir que les données des clients actifs. La CNIL rappelle que les données des personnes concernées utilisées à des fins de prospection commerciale ne peuvent être conservées que pendant la relation commerciale, puis en principe pour une durée de trois ans à compter de la fin de ladite relation commerciale.
De la même manière, seules les données des clients ne s’étant pas opposés à la transmission de celles-ci ou y ayant consenti peuvent être vendues. Dans le cas contraire, les données doivent être supprimées du fichier avant que celui-ci ne fasse l’objet d’une vente.
Il va également de soi que les conditions de transmission des données entre le vendeur et l’acquéreur doivent s’effectuer dans le respect des principes de sécurité et de confidentialité des données.
Comment assurer le respect des droits des personnes ?
La CNIL rappelle que plusieurs obligations pèsent sur l’acquéreur, dans le but d’assurer la conformité du fichier client à la règlementation applicable.
Tout d’abord, l’acquéreur doit informer les personnes concernées dès que possible de la vente du fichier client, en indiquant le nom de la société à l’origine de ladite vente.
Ensuite, l’acquéreur doit vérifier et être en mesure de démontrer l’existence d’un consentement des personnes concernées à la prospection commerciale par voie électronique.
Enfin, l’acquéreur doit respecter les droits des personnes tels qu’énoncés par le RGPD, peu importe le canal de prospection utilisé (p. ex. : durées de conservation des données, sécurité des données, respect du droit d’accès ainsi que du droit à l’effacement, etc).