[DONNÉES PERSONNELLES] Vente de fichier client : le rappel de la CNIL sur les règles applicables

[DONNÉES PERSONNELLES] Vente de fichier client : le rappel de la CNIL sur les règles applicables
07/12/2022 , 05h01 Données personnelles

Dans une publication du 5 décembre 2022, la CNIL a rappelé les règles applicables à la vente de fichier client à des fins de prospection commerciale. Quelques réflexes à ne pas oublier pour sécuriser la cession !

Si vous n’avez que 30 secondes

 

Un fichier client contenant par nature des données personnelles (notamment, nom et prénom, adresse email, numéro de téléphone, adresse postale), sa vente doit être sécurisée pour conformité au RGPD :

  • Seules les données personnelles des clients ou prospects qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être cédées ;
  • L’acquéreur du fichier doit veiller au respect de principes tels que l’information des personnes concernées ou le recueil valable de leur consentement pour la prospection commerciale par email.

Les mesures de mise en conformité pèsent tant sur le vendeur que l’acquéreur du fichier clients. À défaut de se mettre en conformité, les parties à la cession prennent non seulement un risque de sanction par la CNIL en cas de contrôle, mais également le risque de voir la vente annulée en cas de contentieux.

 

  1. 1- Le vendeur : identifier les clients ou prospects dont les données peuvent être cédées

 

D’une part, pour rappel, les données personnelles conservées dans le cadre d’un fichier client ne doivent concerner que des clients « actifs ». Le référentiel « gestion commerciale » de la CNIL, daté du 2 février 2022, autorise la conservation des données personnelles des clients à des fins de prospection commerciale pendant la durée de la relation commerciale, puis pendant un délai de 3 ans (à compter d’une vente, de la date d’expiration d’une garantie, du terme d’un contrat de prestation de service ou du dernier contact émanant du client).

Dès lors, seules les données clients conservées conformément à cette durée, à l’exclusion des données personnelles qui sont conservées à des fins administratives (par exemple à des fins de tenue de la comptabilité ou de gestion d’un contentieux), peuvent être cédées.

D’autre part, seules les données personnelles des clients qui ne se sont pas opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission de leurs données personnelles à des fins de prospection par voie électronique peuvent être cédées.

 

  1. 2- L’acquéreur : informer les prospects et vérifier le recueil de leur consentement

 

D’abord, en application de l’article 14 du RGPD, l’acquéreur devra les informer dans un délai maximum d’un mois à compter de la vente du fichier client. Cette information devra notamment comporter le nom du vendeur du fichier client. L’acquéreur sera néanmoins exempté de cette obligation si le vendeur a préalablement informé les personnes concernées par la cession.

Ensuite, l’acquéreur devra vérifier qu’il dispose du consentement des prospects aux fins de prospection commerciale par voie électronique :

  • Soit le vendeur du fichier a déjà recueilli leur consentement pour les opérations de prospection commerciale de l’acquéreur, auquel cas, l’acquéreur pourra directement leur adresser des prospections commerciales par email ;
  • Soit le vendeur n’a pas recueilli leur consentement pour les opérations de prospection commerciale de l’acquéreur, auquel cas l’acquéreur devra préalablement recueillir lui-même leur consentement aux opérations de prospection commerciale par email.

Enfin, plus largement, l’acquéreur devra également garantir les droits des prospects conformément aux articles 15 et suivants du RGPD (droits d’accès, de rectification, à l’effacement, à la limitation des données, le cas échéant, à la portabilité des données).