La CNIL rappelle les règles s’appliquant aux transferts de fichiers clients

À la suite d’une décision de sanction en novembre 2022, relative à l’utilisation à des fins de prospections par email, d’un fichier acheté à un data broker, la CNIL a jugé utile de rappeler le 5 décembre 2022 les règles s’appliquant aux transferts de fichier clients ou prospects.

L’acquisition de tels fichiers permet à l’acquéreur de disposer de coordonnées dans le but de réaliser, le plus souvent, des opérations de prospection commerciale. Parce qu’un tel fichier contient des données personnelles, sa transmission ne peut se faire que sous réserve de respecter le Règlement Général sur la Protection des Données (RGPD).

Obligations concernant le fichier

Seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente ou d’un transfert.

Le fichier ne doit contenir que les données des clients actifs. En application des recommandations de la CNIL, les données peuvent être conservées jusqu’à 3 ans après la fin de la relation commerciale (ou du dernier contact).  Les données des clients qui ne sont conservées qu’à des fins administratives (comptabilité, contentieux, etc.) ne devront pas être transmises.

Ne peuvent pas être transmises les données des clients (i) qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et/ou (ii)  qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique. 

Obligations relatives à la transmission

Les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.

Obligation à la charge de l’acquéreur d’un fichier

L’acquéreur d’un fichier doit :

• Informer les personnes concernées :
  • L’information doit être communiquée dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans un délai d’un mois, sauf si les personnes ont déjà reçu les informations nécessaires.
  • Cette information devra notamment comporter la source des données, c’est-à-dire le nom de la société à l’origine de la vente du fichier client.

• Vérifier l’existence d’un consentement à la prospection électroniques et être en mesure de démontrer qu’il dispose de leur consentement éclairé. Deux situations peuvent être distinguées :
  • Au moment de la collecte du consentement, l’identité de l’acquéreur figurait déjà dans la liste des sociétés auxquelles les données seraient transmises à des fins de prospection par voie électronique, et dans ce cas, l’acquéreur peut démarcher directement les personnes ayant consenti à la transmission de leurs données à ces fins.
  • L’identité de l’acquéreur n’était pas connue, et celui doit recueillir lui-même, le consentement des personnes concernées avant toute action marketing.

• Lors de chaque communication publicitaire, permettre aux personnes d’exprimer leur refus de recevoir de nouvelles sollicitations.

• Respecter l’ensemble des obligations imposées par le RGPD (durées de conservation des données, sécurité des données, respect du droit d’accès, du droit à l’effacement, etc.)

*

La décision de sanction de la CNIL en novembre 2022 relève le non-respect d’un certain nombre des règles ci-dessus, ainsi que l’absence d’audit par l’acquéreur des méthodes du data broker. Le montant élevé de la sanction (600K euros) démontre l’importance qu’elle accorde à ce type de sujets.