Vendre ou céder un fichier client : règles RGPD et CNIL

Vendre ou céder un fichier client : règles RGPD et CNIL
07/12/2022 , 05h01 Données personnelles

En bref. Vendre ou céder un fichier client n’est pas interdit en soi, mais l’opération doit respecter le RGPD, les règles de prospection commerciale et les recommandations de la CNIL. Avant toute transmission, il faut vérifier quels clients peuvent être inclus, si les personnes ont été informées ou ont consenti lorsque c’est nécessaire, et comment l’acquéreur pourra utiliser la base.

Peut-on vendre une base de données clients ?

Un fichier client contient généralement des données personnelles : nom, prénom, adresse email, téléphone, adresse postale, historique commercial ou informations de suivi. Sa vente ou sa cession n’est donc pas une opération purement commerciale. Elle doit respecter les principes du RGPD et les règles rappelées par la CNIL pour la vente de fichiers clients.

En pratique, toutes les données figurant dans une base clients ne peuvent pas être transférées indistinctement. Il faut vérifier la finalité de la collecte initiale, la durée de conservation, l’information donnée aux personnes, leur droit d’opposition et, pour certaines prospections, l’existence d’un consentement valable.

Les règles CNIL à vérifier avant la vente

Le vendeur doit identifier les clients ou prospects dont les données peuvent effectivement être transmises. Les données conservées uniquement pour des raisons administratives, comptables ou contentieuses ne doivent pas être cédées à des fins de prospection.

Il faut également vérifier la durée de conservation applicable. Le référentiel de la CNIL relatif à la gestion commerciale encadre notamment la conservation des données de clients actifs puis, sous conditions, leur conservation à des fins de prospection après la fin de la relation commerciale.

Enfin, le vendeur doit distinguer les canaux de prospection. Les règles ne sont pas les mêmes selon qu’il s’agit de prospection postale, téléphonique ou électronique.

Ce que l’acquéreur doit vérifier après l’achat du fichier

L’acquéreur devient responsable du traitement qu’il réalise avec le fichier acheté. Il doit donc informer les personnes concernées, sauf si cette information a déjà été valablement fournie par le vendeur.

En application de l’article 14 du RGPD, cette information doit notamment permettre aux personnes d’identifier l’origine des données, le responsable du traitement, les finalités poursuivies et les droits dont elles disposent.

L’acquéreur doit aussi vérifier s’il dispose d’une base valable pour envoyer des sollicitations commerciales. Pour la prospection par email, un consentement préalable peut être nécessaire selon le contexte et la qualité des personnes visées.

Points de contrôle avant une opération

  • Identifier les catégories de données contenues dans le fichier.
  • Vérifier la finalité initiale de collecte et la durée de conservation.
  • Contrôler l’existence d’une information claire des personnes concernées.
  • Isoler les personnes qui se sont opposées à la transmission ou à la prospection.
  • Vérifier le consentement lorsque la prospection électronique l’exige.
  • Encadrer contractuellement les garanties données par le vendeur et l’acquéreur.
  • Prévoir les modalités d’exercice des droits RGPD après la cession.

Quels risques en cas de fichier client non conforme ?

Une cession mal sécurisée expose les parties à plusieurs risques : contrôle ou sanction de la CNIL, réclamations de personnes concernées, difficulté à utiliser commercialement la base, voire contentieux entre vendeur et acquéreur sur la valeur ou la conformité du fichier transmis.

Le sujet doit donc être traité avant la signature de l’opération, et non uniquement après le transfert de la base.

Questions fréquentes

La CNIL autorise-t-elle la vente de fichiers clients ?

La vente d’un fichier client n’est pas interdite par principe, mais elle doit respecter des obligations précises. La CNIL rappelle notamment que le vendeur et l’acquéreur doivent tenir compte de l’information des personnes, de leur consentement lorsque celui-ci est requis, de leur droit d’opposition, de la sécurité des données et des durées de conservation.

Peut-on vendre une base email à un tiers ?

C’est possible seulement si les conditions RGPD et prospection sont respectées. Il faut notamment vérifier l’information des personnes, leur opposition éventuelle et, selon le cas, leur consentement à la prospection électronique.

Le consentement est-il toujours obligatoire ?

Non, mais il peut l’être pour certaines opérations de prospection électronique. La réponse dépend du type de destinataire, du canal utilisé, de la relation commerciale existante et de la finalité poursuivie.

L’acquéreur doit-il informer les personnes ?

Oui, en principe, lorsque les données n’ont pas été collectées directement par lui. Cette information doit être fournie dans les conditions de l’article 14 du RGPD, sauf exception applicable.

Que vérifier dans le contrat de cession ?

Le contrat doit encadrer la composition du fichier, les garanties de conformité, l’origine des données, les oppositions et consentements recueillis, les finalités autorisées et les conséquences d’une non-conformité.

Pour aller plus loin

L’équipe LexCase intervient sur les opérations impliquant des fichiers clients, bases de données, prospection commerciale et traitements RGPD. Consultez l’expertise Données personnelles ou contactez LexCase pour faire vérifier une cession de fichier client.

Source utile : rappel de la CNIL sur la vente de fichiers clients.