Vous le savez certainement, dans le cadre du Règlement Général sur la Protection des Données (RGPD), la cession de fichiers clients à des tiers est une opération encadrée et soumise à des conditions strictes. En effet, la Commission Nationale de l’Informatique et des Libertés (CNIL) intervient pour préciser les modalités de conformité, et souligne l’importance de la transparence et du respect des droits des individus concernés lors de la vente d’un fichier client pour une utilisation commerciale. Le point sur le sujet avec Closers Group avis !
Critères de sélection des données pour la cession de fichiers clients
Rappelons, au risque de nous répéter, que lors de la vente d’un fichier client, la conformité avec le RGPD est impérative. Il convient de souligner que seuls les fichiers préalablement constitués en respectant les normes en vigueur sont éligibles à la vente. L’enjeu est de taille : l’acquéreur obtient le droit de solliciter les personnes listées, sous réserve que le vendeur ait suivi les règles définies.
Notez également que le fichier doit exclusivement comprendre les données de clients actifs. A ce propos, les directives de la CNIL stipulent que les données exploitées à des fins commerciales peuvent être conservées pour toute la durée de la relation commerciale et, sauf exceptions, jusqu’à trois ans après son terme. Les informations destinées uniquement à un usage administratif ne doivent pas être incluses dans la vente.
En outre, la transaction ne peut concerner que les données des clients qui n’ont pas refusé le partage de leurs informations ou qui ont explicitement consenti à ce partage. Dès lors, il est impératif d’exclure les données des clients ayant marqué leur opposition à l’utilisation de leurs informations pour le démarchage, que ce soit par courrier ou par téléphone, et ceux n’ayant pas donné leur accord pour la prospection électronique.
Enfin, la sécurité et la confidentialité des données doivent être préservées tout au long du processus de transfert du vendeur à l’acquéreur, ce qui implique des mesures techniques et organisationnelles rigoureuses pour garantir la protection des données personnelles lors de leur passage d’une entité à l’autre.
Quelles obligations de l’acquéreur dans la gestion des droits des individus suite à l’achat d’un fichier client ?
D’emblée, il faut savoir que l’acquéreur d’un fichier client a la responsabilité légale de veiller au respect des droits des personnes concernées. Il doit en effet garantir une conformité stricte avec les règles du RGPD dès l’utilisation du fichier acquis :
- Notification obligatoire des individus : l’acquéreur est tenu d’informer les personnes listées dans le fichier de manière transparente et prompte, idéalement lors du premier contact et au plus tard un mois après l’acquisition. Cette communication doit explicitement indiquer la source des données, c’est-à-dire l’entité initiale ayant cédé le fichier ;
- Validation du consentement pour la prospection électronique : une attention particulière doit être portée à l’existence d’un consentement valide pour les démarchages par voie électronique. L’acquéreur doit être en mesure de prouver qu’il possède un accord explicite des individus pour l’utilisation de leurs données à ces fins.
En termes de consentement, deux cas de figure sont possibles :
Cas n° 1
- Consentement préalable pour l’acquéreur : si le consentement a été recueilli par le vendeur et que l’identité de l’acquéreur était déjà spécifiée comme destinataire des données pour la prospection électronique, la communication peut se poursuivre sans entrave.
Cas n° 2
- Absence de consentement préalable pour l’acquéreur : dans le cas où le vendeur n’a pas obtenu de consentement au bénéfice de l’acquéreur, celui-ci doit alors obtenir par lui-même l’accord explicite des personnes avant toute prospection électronique.