Vente de fichiers clients : la CNIL rappelle les règles

05 décembre 2022

La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises. La CNIL rappelle les règles qu’un vendeur et un acquéreur doivent respecter lors de la vente d’un fichier à des fins commerciales notamment s’agissant des droits des personnes.

Transaction de données

La vente d’un fichier client est une opération courante. Elle permet à l’acquéreur de disposer de coordonnées dans le but de réaliser, le plus souvent, des opérations de prospection commerciale.

Parce qu’un tel fichier contient des données personnelles – notamment l’identité (nom et prénom), l’adresse email, le numéro de téléphone ou encore l’adresse postale des personnes enregistrées dans la base de données – sa transmission ne peut se faire que sous réserve de respecter le règlement général sur la protection des données (RGPD).

Le fichier vendu ne doit contenir que les données de certains clients

Tout d’abord, seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente. La vente d’un fichier clients a pour conséquence de permettre à l’acquéreur de démarcher les personnes concernées, ce qui ne sera possible que si le vendeur respecte les règles suivantes.

Le fichier ne doit contenir que les données des clients actifs 

Pour rappel, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis, sauf exception, pour une durée de 3 ans à compter de la fin de cette relation commerciale (par exemple, à compter d'un achat, de la date d'expiration d'une garantie, du terme d'un contrat de prestations de services ou du dernier contact émanant du client), conformément aux recommandations de la CNIL.

Les données des clients qui ne sont conservées qu’à des fins administratives (comptabilité, contentieux, etc.) ne devront pas être transmises.

Seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues

Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.  

Les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.

L’acquéreur doit assurer le respect des droits des personnes

Effectuer une information claire des personnes

De son côté, l’acquéreur devra respecter certaines règles afin de s’assurer que l’utilisation du fichier client soit conforme à la règlementation.

Tout d’abord, il devra informer les personnes, dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans un délai d’un mois sauf si les personnes ont déjà reçu les informations nécessaires. Cette information devra notamment comporter la source des données, c’est-à-dire le nom de la société à l’origine de la vente du fichier client.

Vérifier l’existence d’un consentement à la prospection eléctronique

En plus de l’information des personnes, l’acquéreur devra être en mesure de démontrer qu’il dispose de leur consentement éclairé s’il souhaite utiliser leurs données à des fins de prospection commerciale par voie électronique.

Deux situations peuvent être distinguées :

Cas n° 1 : Le vendeur a déjà recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur.

Lorsque, au moment de la collecte des données, l’identité de l’acquéreur figurait déjà dans la liste des sociétés auxquelles les données seraient transmises à des fins de prospection par voie électronique (parce que l’acquéreur était un partenaire commercial du vendeur), ce dernier pourra démarcher directement les personnes ayant consenti à la transmission de leurs données à ces fins.

Cas n° 2 : Le vendeur n’a pas recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur.

Lorsque le vendeur n’a pas recueilli le consentement pour l’acquéreur, ce dernier doit garantir la conformité de ses opérations de prospection par voie électronique, en recueillant lui-même, préalablement, le consentement des personnes concernées.

Dans toutes les situations, l’acquéreur devra respecter les droits des personnes

Quel que soit le canal de prospection utilisé, chaque sollicitation devra permettre aux personnes d’exprimer, si elles le souhaitent et par un moyen simple, leur refus de recevoir de nouvelles sollicitations (par exemple avec un lien pour se désinscrire à la fin du message).

L’acquéreur devra, en tout état de cause, assurer le respect de l’ensemble des obligations posées par le RGPD (durées de conservation des données, sécurité des données, respect du droit d’accès, du droit à l’effacement, etc.)

Les mots clés associés à cet article