La CNIL rappelle les règles relatives à la vente de fichiers clients
Après sa liquidation, l’entreprise Camaïeu a souhaité vendre son fichier client, contenant les données de près de 4 millions de clients. C’est dans ce contexte que la CNIL a publié, le 5 décembre 2022, la fiche de rappel concernant les règles applicables à la vente de fichiers clients.
La vente d’un fichier courant est une opération courante qui permet à une entreprise d’étoffer sa base de données, souvent dans le but de réaliser de la prospection commerciale. Cette vente est cependant encadrée par le RGPD dès lors qu’un tel fichier contient des données personnelles. Ce sont ces règles que la CNIL rappelle dans un communiqué du 5 décembre 2022.
Le fichier ne doit contenir que les données des clients actifs : La CNIL rappelle qu’à compter de la fin de la relation commerciale, les données des clients peuvent être conservées, sauf exception, pendant maximum 3 ans à des fins administratives. Ces données ne devront pas être transmises.
Les clients doivent avoir consenti à la transmission de leurs données : Les données des clients qui se sont opposés à leur transmission ou qui n’y ont pas consenti devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.
L’acquéreur du fichier devra effectuer une information claire des personnes concernées : L’acquéreur du fichier devra informer de manière claire les personnes concernées, dans un délai maximum d’un mois après l’acquisition du fichier, de la transmission de leurs données et de la source de cette transmission.
L’acquéreur doit s’assurer du consentement de la personne concernée : Si l’acquéreur figurait sur la liste des sociétés auxquelles les données seraient transmises à des fins de prospection par voie électronique, ce dernier ne sera pas tenu de recueillir le consentement de la personne concernée. Cependant, si le vendeur n’a pas recueilli le consentement des personnes concernées préalablement à la vente, l’acquéreur devra le faire préalablement à toute prospection par voie électronique.
L’acquéreur doit, dans tous les cas, respecter les droits des personnes : La CNIL rappelle que chaque sollicitation devra permettre aux personnes concernées de refuser cette prospection, et assurer le respect de l’ensemble des obligations imposées par le RGPD.
! Face aux nombreuses réactions causées par cette vente, le commissaire-priseur en charge de la vente des actifs de la société Camaïeu a finalement retiré le fichier client du catalogue des ventes.
Pour en savoir plus :
