Cher petit papa Noël,
Pour Noël, je souhaiterais acheter un bon fichier client… Tu veux bien m’aider ?
On n’est pas sûr et certain que cette demande soit du ressort de Monsieur Noël, mais Madame la CNIL, elle, est là pour vous aider.
Premièrement : est-il interdit de « vendre » un fichier client ?
La réponse est non. Le RGPD n’interdit pas la cession, la vente ou encore l’achat de données à caractère personnel. Par contre, il vient bien encadrer tout traitement de données réalisé dans un cadre professionnel : vente et cession sont donc bien impactées puisqu’il s’agit dans chacun des cas d’une transmission de données.
Deuxièmement : comment dois-je faire pour « vendre » des données en toute licéité ?
La CNIL met en avant plusieurs éléments à prendre en compte en se focalisant principalement sur le cas d’une vente de données qui servirait à l’acheteur de réaliser des opérations de prospection commerciale. C’est dommage, elle ne précise pas des cas de ventes qui pourraient servir à faire autre chose comme récupérer purement et simplement des clients (comme dans un cas d’absorption de société).
Côté prospection, elle nous rappelle donc que pour vendre des données à un autre organisme qui réalise ses propres opérations de prospection, il faut :
- Se limiter aux données des clients actifs, et,
- Se limiter aux données des clients qui ne se sont pas opposés ou ont consenti à une telle cession pour des fins de prospections.
Mais attention ! Lisons bien ce que dit la CNIL :
Les clients concernés sont en fait ceux qui ne se sont pas opposés à la transmission à des fins de prospection par voie postale ou téléphonique et à ceux qui ont consenti à la transmission des données à des fins de prospection par voie électronique.
Ici la CNIL fait l’état des règles applicables en matière de prospection (le fameux opt-in ou opt-out selon les modes de prospection employés). Rien de nouveau au final, la CNIL reprend ici ses recommandations propres à la cession de données pour prospection en matière de B to C (Si vous les aviez manquées, elles sont ici )
Et pour les bases de données de clients professionnels ? Il semble bien que nous devrions raisonner de la même manière pour le choix des clients dont les données seront commercialisables et celles qui ne le seront pas.
- L’information des clients
Sans surprise non plus, la CNIL rappelle une règle cruciale : l’information des personnes. Non, nous n’y couperons pas, que nous soyons vendeur ou acquéreur.
Pour le vendeur, l’information devra être préalable à la transmission des données (accompagnée des questions d’opt-in ou d’opt-out nécessaire) et devra permettre aux personnes d’identifier les différents organismes partenaires, si on prend en compte les autres recommandations de la CNIL.
Pour l’acquéreur, une fois les données récupérées – après transmission sécurisée bien sûr – il devra informer les personnes concernées, mais aussi, respecter leurs droits. Après tout, l’acquéreur devient responsable du traitement et à ce titre, prend à sa charge toutes les obligations prévues par le RGPD. Là encore, pas de réelle nouveauté.
Mais on est dépité et on reste sur notre faim : les règles sont-elles les mêmes si on transfère en dehors de l’Union européenne ? En cas de cession transfrontalière ? Pour des cessions au sein d’un groupe ? Pour des ventes qui n’ont pas des objectifs de prospection ?
Chère CNIL, pour les fêtes on voudrait en savoir plus !
Et vous ? Que pensez-vous de ce rappel de la CNIL ?
Source : https://www.cnil.fr/fr/vente-de-fichiers-clients-la-cnil-rappelle-les-regles
