Vente de fichier client et RGPD : conditions et risques

Peut-on vendre ou céder un fichier client ?

Un fichier client contient généralement des données personnelles : nom, prénom, adresse email, téléphone, adresse postale, historique commercial ou informations de suivi. Sa vente ou sa cession n’est donc pas une opération purement commerciale. Elle doit respecter les principes du RGPD et les recommandations de la CNIL.

En pratique, toutes les données figurant dans une base client ne peuvent pas être transférées indistinctement. Il faut vérifier la finalité de la collecte initiale, la durée de conservation, l’information donnée aux personnes, leur droit d’opposition et, pour certaines prospections, l’existence d’un consentement valable.

Ce que le vendeur doit vérifier avant la cession

Le vendeur doit identifier les clients ou prospects dont les données peuvent effectivement être transmises. Les données conservées uniquement pour des raisons administratives, comptables ou contentieuses ne doivent pas être cédées à des fins de prospection.

Il faut également vérifier la durée de conservation applicable. Le référentiel de la CNIL relatif à la gestion commerciale encadre notamment la conservation des données de clients actifs puis, sous conditions, leur conservation à des fins de prospection après la fin de la relation commerciale.

Enfin, le vendeur doit distinguer les canaux de prospection. Les règles ne sont pas les mêmes selon qu’il s’agit de prospection postale, téléphonique ou électronique.

Ce que l’acquéreur doit vérifier après l’achat du fichier

L’acquéreur devient responsable du traitement qu’il réalise avec le fichier acheté. Il doit donc informer les personnes concernées, sauf si cette information a déjà été valablement fournie par le vendeur.

En application de l’article 14 du RGPD, cette information doit notamment permettre aux personnes d’identifier l’origine des données, le responsable du traitement, les finalités poursuivies et les droits dont elles disposent.

L’acquéreur doit aussi vérifier s’il dispose d’une base valable pour envoyer des sollicitations commerciales. Pour la prospection par email, un consentement préalable peut être nécessaire selon le contexte et la qualité des personnes visées.

Points de contrôle avant une opération

• Identifier les catégories de données contenues dans le fichier.
• Vérifier la finalité initiale de collecte et la durée de conservation.
• Contrôler l’existence d’une information claire des personnes concernées.
• Isoler les personnes qui se sont opposées à la transmission ou à la prospection.
• Vérifier le consentement lorsque la prospection électronique l’exige.
• Encadrer contractuellement les garanties données par le vendeur et l’acquéreur.
• Prévoir les modalités d’exercice des droits RGPD après la cession.

Quels risques en cas de fichier client non conforme ?

Une cession mal sécurisée expose les parties à plusieurs risques : contrôle ou sanction de la CNIL, réclamations de personnes concernées, difficulté à utiliser commercialement la base, voire contentieux entre vendeur et acquéreur sur la valeur ou la conformité du fichier transmis.

Le sujet doit donc être traité avant la signature de l’opération, et non uniquement après le transfert de la base.

Questions fréquentes

Peut-on vendre une base email à un tiers ?

C’est possible seulement si les conditions RGPD et prospection sont respectées. Il faut notamment vérifier l’information des personnes, leur opposition éventuelle et, selon le cas, leur consentement à la prospection électronique.

Le consentement est-il toujours obligatoire ?

Non, mais il peut l’être pour certaines opérations de prospection électronique. La réponse dépend du type de destinataire, du canal utilisé, de la relation commerciale existante et de la finalité poursuivie.

L’acquéreur doit-il informer les personnes ?

Oui, en principe, lorsque les données n’ont pas été collectées directement par lui. Cette information doit être fournie dans les conditions de l’article 14 du RGPD, sauf exception applicable.

Que vérifier dans le contrat de cession ?

Le contrat doit encadrer la composition du fichier, les garanties de conformité, l’origine des données, les oppositions et consentements recueillis, les finalités autorisées et les conséquences d’une non-conformité.