[2022] RGPD : peut-on revendre un fichier clients ?

👀 Les déclarations auprès de la CNIL

Auparavant, il fallait déclarer la création de fichiers clients (recueillant les données de vos clients) auprès d’un organisme appelé la CNIL (Commission Nationale de l'Informatique et des Libertés) à la création de votre entreprise (surtout dans le e-commerce).

La vente d’un fichier clients/prospects qui ne faisait pas l’objet d’une déclaration auprès de la CNIL préalablement à sa constitution était jugée illicite car le fichier en question était alors lui-même considéré comme illicite !

Le RGPD a supprimé les déclarations de fichiers à effectuer auprès de la CNIL… ce qui ne veut pas dire que l’on peut faire tout et n’importe quoi avec un fichier clients, loin de là !

😒 Le RGPD c’est quoi ?

Il s’agit du « Règlement Général sur la Protection des Données » au niveau européen. Il est venu remplacer la CNIL en France*.

Le RGPD réaffirme les droits pour les personnes concernées de maîtriser leurs données en leur conférant les droits : d’accès, de rectification, d’effacement, d’opposition, etc.

⚡ Ce qu’il faut absolument retenir

• L’entreprise qui vend le fichier clients ou prospects doit avoir respecté les règles RGPD
• Le repreneur devra lui-même les respecter

Concrètement on veut s’assurer ici que les données des clients sont protégées et que si par exemple un client enregistre sa carte bancaire sur un site, ces données ne seront pas revendues à l’entreprise X qui en ferait un usage frauduleux. L’usage des données doit être bien défini.

Ce qui veut dire aussi que dans la politique de confidentialité de l’entreprise, elle doit s’engager entre autres à :

• Avoir le consentement exprès du client pour recueillir ses données
• Offrir à ce dernier le droit de les supprimer à tout moment
• Limiter l’usage des données à une finalité ou aux finalités mentionnées lors de la collecte
• Et permettre au client d’exercer ses droits d’accès aux informations.

👉 Comment savoir si l’entreprise est conforme ?

Demandez-lui quelles procédures ont été mises en place. Pour un site internet, vous pouvez le savoir en vérifiant qu’il y ait un moyen d’empêcher les cookies (fenêtre pop up quand vous arrivez sur le site) & dans les conditions générales ou mentions légales, vous devriez trouver les obligations de l’entreprise dans le cadre du RGPD.

Pour aller plus loin

Vous pouvez télécharger le guide du RGPD écrit par la BPI & qui explique très bien les enjeux.

*Seuls certains secteurs continuent de faire l’objet de déclarations préalables : la santé & les activités régaliennes de l’Etat voir ici pour les détails.

Crédits photos :
John Noonan