Vente fichier clients et RGPD

Vente de fichiers clients et RGPD : quelles sont les règles à respecter ?

Publié le : 27/02/2023 27 février févr. 02 2023

Une peur bleue a frappé certains clients de la société Camaïeu lorsque, dans le cadre de la liquidation judiciaire de cette dernière, la vente aux enchères de leurs données contenues dans le ficher client de ladite société était annoncé. 
En fin de compte, ce fichier client ne sera pas proposé aux enchères compte tenu des difficultés que sa vente entrainerait, notamment en matière de protection des données personnelles des clients concernés

Est-ce à dire que la vente d’un tel fichier serait interdite ? Le cas contraire, quelles seraient les règles à respecter afin de s’assurer de la protection des données personnelles des personnes concernées ? 

Cette palette de questions refera peut-être surface, à l’occasion des opérations de liquidation de la société San Marina tandis qu’elle permet de dessiner les contours de la règlementation liée à la vente d’un fichier client

La vente d’un fichier client est une opération classique qui n’est pas interdite par la règlementation en matière de protection des données personnelles ; elle est en revanche encadrée. 

Ce type de fichier contient des données personnelles, comme le nom et le prénom ou encore l’adresse postale des personnes enregistrées dans la base de données, dès lors, sa transmission ne peut se faire que sous réserve de respecter le règlement général sur la protection des données (RGPD).

Tout d’abord, seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente.

Ainsi le fichier ne doit-il contenir que les données des clients actifs, avec lesquels la relation commerciale est toujours en cours ou terminée depuis moins de trois ans, étant précisé que les données conservées à des fins administratives ne doivent pas être transmises. 

Par ailleurs, seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues (art. 6 et 7 du RGPD).

En outre, et c’est peut-être ce point qui a refroidi le liquidateur de Camaïeu, les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.

De surcroît, l’acquéreur devra informer les personnes, dès que possible et, au plus tard, dans un délai d’un mois sauf si les personnes ont déjà reçu les informations nécessaires, de la source des données, c’est-à-dire le nom de la société à l’origine de la vente du fichier client (art. 12 à 14 RGPD).

L’acquéreur devra également être en mesure de démontrer qu’il dispose de leur consentement éclairé s’il souhaite utiliser leurs données à des fins de prospection commerciale par voie électronique.

Quel que soit le canal de prospection utilisé, chaque sollicitation devra permettre aux personnes d’exprimer, si elles le souhaitent et par un moyen simple, leur refus de recevoir de nouvelles sollicitations (art. 21 RGPD).

En tout état de cause, l’acquéreur devra assurer le respect de l’ensemble des obligations posées par le RGPD (durées de conservation des données, sécurité des données, respect du droit d’accès, du droit à l’effacement, etc.) et l’on ne saurait trop conseiller à ce dernier, tout comme au vendeur, de se faire assister par son avocat dans ce cadre.


Cet article n'engage que son auteur.

Auteur

Maxime HARDOUIN

Historique

<< < 1 2 3 4 5 6 7 ... > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK