La CNIL rappelle les règles qu’un vendeur et un acquéreur doivent respecter lors de la vente d’un fichier à des fins commerciales notamment s’agissant des droits des personnes.
Crédit photo : StockAdobe ©
La vente d’un fichier client est une opération courante. Elle permet à l’acquéreur de disposer de coordonnées dans le but de réaliser, le plus souvent, des opérations de prospection commerciale.
Parce qu’un tel fichier contient des données personnelles – notamment l’identité (nom et prénom), l’adresse email, le numéro de téléphone ou encore l’adresse postale des personnes enregistrées dans la base de données – sa transmission ne peut se faire que sous réserve de respecter le règlement général sur la protection des données (RGPD).
Seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente. La vente d’un fichier clients a pour conséquence de permettre à l’acquéreur de démarcher les personnes concernées, ce qui ne sera possible que si le vendeur respecte les règles suivantes.
La CNIL rappelle que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis, sauf exception, pour une durée de 3 ans à compter de la fin de cette relation commerciale conformément à ses recommandations.
Les données des clients qui ne sont conservées qu’à des fins administratives ne devront pas être transmises. Seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consentis peuvent être vendues
Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.
Les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.
La CNIL rappelle également que l’acquéreur devra respecter certaines règles afin de s’assurer que l’utilisation du fichier client soit conforme à la règlementation.
Ainsi il devra informer les personnes, dès que possible et, au plus tard, dans un délai d’un mois sauf si les personnes ont déjà reçu les informations nécessaires. Cette information devra notamment comporter la source des données, c’est-à-dire le nom de la société à l’origine de la vente du fichier client.
En plus de l’information des personnes, l’acquéreur devra être en mesure de démontrer qu’il dispose de leur consentement éclairé s’il souhaite utiliser leurs données à des fins de
prospection commerciale par voie électronique.
Dans toutes les situations, l’acquéreur devra respecter les droits des personnes et assurer le respect de l’ensemble des obligations posées par le RGPD (durées de conservation des données, sécurité des données, respect du droit d’accès, du droit à l’effacement…).
