Pour Noël, je veux être en conformité RGPD (ou presque)

Pour Noël, je veux être en conformité RGPD (ou presque)
Article RGPD Minute RGPD

Cher petit papa Noël,

Pour Noël, je souhaiterais acheter un bon fichier client… Tu veux bien m’aider ?

On n’est pas sûr et certain que cette demande soit du ressort de Monsieur Noël, mais Madame la CNIL, elle, est là pour vous aider.

Premièrement : est-il interdit de « vendre » un fichier client ?

La réponse est non. Le RGPD n’interdit pas la cession, la vente ou encore l’achat de données à caractère personnel. Par contre, il vient bien encadrer tout traitement de données réalisé dans un cadre professionnel : vente et cession sont donc bien impactées puisqu’il s’agit dans chacun des cas d’une transmission de données.

Deuxièmement : comment dois-je faire pour « vendre » des données en toute licéité ?

La CNIL met en avant plusieurs éléments à prendre en compte en se focalisant principalement sur le cas d’une vente de données qui servirait à l’acheteur de réaliser des opérations de prospection commerciale. C’est dommage, elle ne précise pas des cas de ventes qui pourraient servir à faire autre chose comme récupérer purement et simplement des clients (comme dans un cas d’absorption de société).

  • Le choix des clients

Côté prospection, elle nous rappelle donc que pour vendre des données à un autre organisme qui réalise ses propres opérations de prospection, il faut :

  • Se limiter aux données des clients actifs, et,
  • Se limiter aux données des clients qui ne se sont pas opposés ou ont consenti à une telle cession pour des fins de prospections.

Mais attention ! Lisons bien ce que dit la CNIL :

Les clients concernés sont en fait ceux qui ne se sont pas opposés à la transmission à des fins de prospection par voie postale ou téléphonique et à ceux qui ont consenti à la transmission des données à des fins de prospection par voie électronique.

Ici la CNIL fait l’état des règles applicables en matière de prospection (le fameux opt-in ou opt-out selon les modes de prospection employés). Rien de nouveau au final, la CNIL reprend ici ses recommandations propres à la cession de données pour prospection en matière de B to C (Si vous les aviez manquées, elles sont ici )

Et pour les bases de données de clients professionnels ? Il semble bien que nous devrions raisonner de la même manière pour le choix des clients dont les données seront commercialisables et celles qui ne le seront pas.

  • L’information des clients

Sans surprise non plus, la CNIL rappelle une règle cruciale : l’information des personnes. Non, nous n’y couperons pas, que nous soyons vendeur ou acquéreur.

Pour le vendeur, l’information devra être préalable à la transmission des données (accompagnée des questions d’opt-in ou d’opt-out nécessaire) et devra permettre aux personnes d’identifier les différents organismes partenaires, si on prend en compte les autres recommandations de la CNIL.

Pour l’acquéreur, une fois les données récupérées – après transmission sécurisée bien sûr – il devra informer les personnes concernées, mais aussi, respecter leurs droits. Après tout, l’acquéreur devient responsable du traitement et à ce titre, prend à sa charge toutes les obligations prévues par le RGPD. Là encore, pas de réelle nouveauté.

Mais on est dépité et on reste sur notre faim : les règles sont-elles les mêmes si on transfère en dehors de l’Union européenne ? En cas de cession transfrontalière ? Pour des cessions au sein d’un groupe ? Pour des ventes qui n’ont pas des objectifs de prospection ?

Chère CNIL, pour les fêtes on voudrait en savoir plus !

Et vous ? Que pensez-vous de ce rappel de la CNIL ?

Source : https://www.cnil.fr/fr/vente-de-fichiers-clients-la-cnil-rappelle-les-regles

Partager l'article

Articles similaires

Plan stratégique 2025-2028 : la CNIL face aux enjeux du numérique
Article RGPD Minute RGPD

Plan stratégique 2025-2028 : la CNIL face aux enjeux du numérique

La CNIL (Commission Nationale de l’Informatique et des Libertés) dévoile son plan stratégique pour 2025-2028. Dans ce nouveau plan stratégique, La CNIL se positionne sur des enjeux importants comme l’intelligence artificielle (IA), la cybersécurité et la protection des mineurs.
Lire la suite
Transfert de données personnelles : la Commission Européenne condamnée par le Tribunal
Article RGPD Minute RGPD

Transfert de données personnelles : la Commission Européenne condamnée par le Tribunal

Lire la suite