La CNIL rappelle les règles sur la vente d'un fichier clients

Actualité
Droit du travail RGPD

La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises.

La CNIL rappelle les règles sur la vente d'un fichier clients
Publié le
Télécharger en PDF

Cet article a été publié il y a un an, il est donc possible qu'il ne soit plus à jour.

La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises. La CNIL rappelle les règles qu’un vendeur et un acquéreur doivent respecter lors de la vente d’un fichier à des fins commerciales notamment s’agissant des droits des personnes.

Le fichier vendu ne doit contenir que les données de certains clients

Tout d’abord, seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente. La vente d’un fichier clients a pour conséquence de permettre à l’acquéreur de démarcher les personnes concernées, ce qui ne sera possible que si le vendeur respecte les règles suivantes.

Le fichier ne doit contenir que les données des clients actifs

Pour rappel, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis, sauf exception, pour une durée de 3 ans à compter de la fin de cette relation commerciale (par exemple, à compter d'un achat, de la date d'expiration d'une garantie, du terme d'un contrat de prestations de services ou du dernier contact émanant du client), conformément aux recommandations de la CNIL.

Les données des clients qui ne sont conservées qu’à des fins administratives (comptabilité, contentieux, etc.) ne devront pas être transmises.

Seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues

Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.  

Les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.

L’acquéreur doit assurer le respect des droits des personnes

Effectuer une information claire des personnes

De son côté, l’acquéreur devra respecter certaines règles afin de s’assurer que l’utilisation du fichier client soit conforme à la règlementation.

Tout d’abord, il devra informer les personnes, dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans un délai d’un mois sauf si les personnes ont déjà reçu les informations nécessaires. Cette information devra notamment comporter la source des données, c’est-à-dire le nom de la société à l’origine de la vente du fichier client.

Vérifier l’existence d’un consentement à la prospection électronique

En plus de l’information des personnes, l’acquéreur devra être en mesure de démontrer qu’il dispose de leur consentement éclairé s’il souhaite utiliser leurs données à des fins de prospection commerciale par voie électronique.

Deux situations peuvent être distinguées :

Cas n° 1 : Le vendeur a déjà recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur.

Lorsque, au moment de la collecte des données, l’identité de l’acquéreur figurait déjà dans la liste des sociétés auxquelles les données seraient transmises à des fins de prospection par voie électronique (parce que l’acquéreur était un partenaire commercial du vendeur), ce dernier pourra démarcher directement les personnes ayant consenti à la transmission de leurs données à ces fins.

Cas n° 2 : Le vendeur n’a pas recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur.

Lorsque le vendeur n’a pas recueilli le consentement pour l’acquéreur, ce dernier doit garantir la conformité de ses opérations de prospection par voie électronique, en recueillant lui-même, préalablement, le consentement des personnes concernées.

Dans toutes les situations, l’acquéreur devra respecter les droits des personnes

Quel que soit le canal de prospection utilisé, chaque sollicitation devra permettre aux personnes d’exprimer, si elles le souhaitent et par un moyen simple, leur refus de recevoir de nouvelles sollicitations (par exemple avec un lien pour se désinscrire à la fin du message).

L’acquéreur devra, en tout état de cause, assurer le respect de l’ensemble des obligations posées par le RGPD (durées de conservation des données, sécurité des données, respect du droit d’accès, du droit à l’effacement, etc.).

Référence

Communiqué CNIL du 5 décembre 2022.