OUI, il est tout à fait possible et légal de vendre des données personnelles de clients / prospects. Mais pas n’importe comment, et il faut respecter certaines conditions à la revente des données personnelles.
Que dit la CNIL ?
“La revente de données est légale à partir du moment où l’on vous a demandé votre accord et que vous avez accepté.”
Si vous n’avez pas donné votre accord, vos données ne seront pas revendue. Et si vous l’avez donné, la personne ayant accepté que ses données personnelles soient transmises à des partenaires commerciaux peut changer d’avis et le signifier, ainsi ses données personnelles ne devront plus être échangées.
Pour une entreprise, vendre des données personnelles est donc bien légal. Ceci dit, beaucoup de données personnelles sont aujourd’hui vendues, exploitées et traitées sans le consentement explicite de l’utilisateur : à ce moment, ces pratiques sont illégales et répréhensibles par la CNIL.
Par exemple, il arrive régulièrement que certaines entreprises vous appellent à des fins de prospection sans que vous ayez préalablement donné votre consentement. Cette pratique est frauduleuse, et l’utilisateur concerné par des appels intempestifs a le droit de demander la suppression de ses données personnelles, et même de faire une notification à la CNIL.
Avant même la vente, les entreprises doivent également se mettre en conformité sur les règles de collecte de données et l’acheteur devra lui aussi se mettre en conformité.
La CNIL, en décembre 2022 a donné des précisions
La vente de fichiers clients est une pratique courante dans le monde des affaires. Elle consiste à vendre à une entreprise ou à une personne une base de données contenant les coordonnées de clients, afin que ces derniers soient contactés pour une prospection commerciale. Cependant, cette vente n’est autorisée que si elle respecte le règlement général sur la protection des données (RGPD).
Il existe deux cas de figure pour la vente de fichiers clients :
- La vente de fichiers constitués dans le respect de la réglementation : seuls ces fichiers peuvent être vendus. Pour être éligible à la vente, un fichier doit respecter certaines règles : il ne doit contenir que les données de clients actifs, c’est-à-dire de clients ayant été en relation commerciale avec l’entreprise dans les 3 dernières années. De plus, seules les données de clients qui n’ont pas refusé de recevoir de la prospection commerciale par voie postale ou téléphonique, ou qui ont donné leur consentement pour recevoir de la prospection par voie électronique, peuvent être vendues. Enfin, la transmission et la remise des données entre le vendeur et l’acquéreur doivent être effectuées de manière à garantir la sécurité et la confidentialité des données.
- L’acquéreur doit respecter les droits des personnes : l’acquéreur a l’obligation de fournir une information claire aux personnes concernées, notamment sur la source des données (nom de l’entreprise à l’origine de la vente du fichier) et sur leurs droits (notamment le droit de s’opposer à la prospection). De plus, s’il souhaite utiliser les données à des fins de prospection par voie électronique, l’acquéreur doit vérifier l’existence d’un consentement de la part des personnes concernées. En cas de non-respect de ces règles, l’acquéreur s’expose à des sanctions pénales et financières.
En résumé, la vente de fichiers clients est autorisée à condition que le fichier soit constitué dans le respect de la réglementation, et que l’acquéreur s’engage à respecter les droits des personnes concernées. Si ces conditions sont remplies, la vente de fichiers clients peut être une source de revenus intéressante pour les entreprises, tout en permettant aux acquéreurs de développer leur activité commerciale.
Le RGPD énumère des principes stricts.
Ces principes sont au nombre de 5 :
- Principe de finalité : l’entreprise doit vous dire comment les données sont utilisées,
- Principe de pertinence : les données récoltées doivent être réduites au minimum nécessaire,
- Principe de conservation : le temps de conservation des données est limité à l’atteinte des objectifs fixés par l’entreprise
- Principe des droits : l’internaute a le droit de modifier ses données, d’y accéder et de les faire supprimer s’il le souhaite
- Principe de sécurité : les données doivent être sécurisées lors du stockage ET de l’échange !
Le risque est grand pour celui qui se porte acquéreur d’un fichier de prospect ou de clients. En cas de manquement à la réglementation RGPD, la CNIL « peut infliger des sanctions qui vont jusqu’à 20 millions d’euros. Et même au-delà, puisque ça peut atteindre de 2 à 4 % du chiffre d’affaires du groupe qui le rachète. » Cela peut donc devenir rapidement un investissement empoisonné, même si la mise à prix est relativement basse.
Revente des données personnelles Camaïeu
Nous avons aujourd’hui dans l’actualité le fichier de Camaïeu. L’ensemble des données que les clients avaient confiées à l’enseigne de prêt-à-porter est en vente chez Mercier & Cie, il sera vendu le 7 décembre, à Vendeville, dans le Nord.
Sur le site Internet de la marque, désormais inaccessible, on pouvait lire ceci dans la rubrique « Confidentialité de mes données personnelles » : « Chez Camaïeu, la sécurisation des données de nos clientes est une priorité. C’est pourquoi, nous mettons tout en place pour vous garantir une totale confidentialité. De la même façon, chez nous, aucune de vos données ne sera transmise à un tiers ou utilisée à des fins commerciales sans votre accord. »
Il est certain qu’après la vente, chaque personne inscrite dans la base de données recevra un email afin de lui demander son consentement.
Déposer une plainte à la CNIL pour l’utilisation de ses données personnelles.
