Recemment, la marque de prêt-à-porter Camaïeu, qui a fait faillite en Septembre, a vu sa base de données être mis aux enchères. Ce qui a suscité énormément d’indignation. La vente d’un fichier client est toujours sujet à interprétation et donne une très mauvaise image de l’organisme.
Bien que très mal vu par les usagers, la vente d’une base de données n’est pas interdite dans le cadre du RGPD si l’entreprise qui les cède respecte plusieurs obligations.
Quelles sont les obligations pour que la vente d’un fichier client soit légal ? C’est ce que nous allons voir dans cet article.
Les obligations légale de la vente d’une base de donnée
1 – La base de donnée doit être à jour et ne contenir que des clients actifs.
Aux yeux de la CNIL, toute donnée d’un client doit être supprimée au maximum 3 ans après la fin de tout échange ou relation commerciale. Les données plus anciennes (théoriquement supprimées) ainsi que celles utilisées à des fins administratives ne doivent alors pas apparaître.
2 – S’être assuré que le consentement des personnes ait été recueilli
La vente d’un fichier client doit obligatoirement contenir uniquement les données de personnes ayant consentie à leur transmission. L’entreprise doit alors s’assurer que l’ensemble des données du fichier sont valables et que les données des utilisateurs qui ne souhaitent pas les transmettre soient supprimées.
3 – S’assurer que les conditions de transmission et de remise des données entre le vendeur et l’acquéreur garantissent la sécurité des données
Le vendeur et l’acquéreur doivent assurer la protection des données lors de la transmission. La mise en place de procédures de sécurité est obligatoire et les entreprises doivent justifier des moyens mis en place pour assurer l’intégrité des usagers. Pour cela, les entreprises doivent apporter les preuves du consentement et des différentes mesures de protection. Si un contrôle a lieu, les deux entreprises peuvent être sanctionnables.
Quels sont les droits que les entreprises doivent respecter ?
La vente de données personnelles d’une entreprise à une autre entreprise est régie par le droit de la protection des données.
- Les entreprises doivent respecter les lois et règlements nationaux et européens en matière de protection des données.
- Les entreprises doivent s’assurer que les données personnelles qu’elles vendent à une autre entreprise sont collectées, traitées et utilisées de manière légale.
- Les entreprises doivent également s’assurer que les données personnelles sont protégées et qu’elles sont utilisées de manière responsable. Les entreprises doivent également s’assurer que les données personnelles sont utilisées uniquement pour les fins pour lesquelles elles ont été collectées.
- Elles doivent également s’assurer que les données personnelles ne sont pas vendues à des tiers sans le consentement explicite des personnes concernées. Enfin, les entreprises doivent s’assurer que les données personnelles sont traitées de manière confidentielle et que les personnes concernées ont le droit de demander l’accès, la rectification et la suppression de leurs données personnelles.
Unitae RGPD vous accompagne sur la constitution de votre dossier lors de la vente d’une base de donnée et s’assure que tous les paramètres requis sont respectés.