Cessions de fichiers clients à des fins de prospection : anticiper les contraintes réglementaires

Commercialement stratégique, le rachat de fichiers clients est une opération commune pourtant strictement encadrée. Mais quelles sont ces règles et comment les appliquer ?

Chronique de Florian Viel, juriste chez Bouchara & Avocats, et Vanessa Bouchara, avocat associé chez Bouchara & Avocats. 

Permettant aux entreprises de prospecter de nouveaux clients potentiels, le rachat de bases de données personnelles relatives à des clients et prospects (communément renommées « fichiers clients ») est une opération commune du monde des affaires.

Cependant, les règles encadrant ces cessions ne sont pas toujours correctement appréhendées et anticipées, tant par les cédants que par les cessionnaires, comme le démontre le récent retrait de la vente aux enchères du fichier clients de la feue société CAMAÏEU, en raison des « contraintes liées au respect de la législation RGPD »[1] et du fait qu’il n’est « pas possible de savoir si le futur acheteur allait se conformer aux obligations RGPD »[2].

Mais quelles sont ces contraintes à prendre en considération lors de la cession ou du rachat de fichiers clients ?

Actualisation de la base données

Préalablement à la cession de la base de données, le cessionnaire doit s’assurer que celle-ci a bien été purgée des éventuelles données personnelles dont le traitement n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées initialement par le cédant, à savoir généralement à des fins de prospection commerciale.

La CNIL recommande à ce titre que les données traitées pour une telle finalité soient supprimées sous trois années à compter du dernier contact des personnes avec l’organisme, ou dès lors que ces dernières retirent leur consentement au traitement (voir notamment son Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales).

La base de données ne devrait ainsi pas comprendre de données excédant cette durée, sauf à ce que le cédant soit en mesure de démontrer qu’une durée de conservation plus longue est nécessaire au regard de la finalité du traitement des données, ce qui peut s’avérer rapidement complexe en pratique.

La présence de données dans la base, au-delà de leur durée de conservation recommandée par la CNIL, devrait alerter le cessionnaire sur les possibles autres inconformités au RGPD qui pourraient être associées à cette base (défaut ou mauvaise information des personnes concernées, consentement vicié des personnes concernées…).

Par extension, le rachat d’une base de données ne permettant pas d’établir la date précise de collecte des données et ainsi le respect de leur durée de conservation est strictement à prohiber.

De plus, l’absence d’une telle date de collecte des données a toutes les chances de vicier l’éventuel consentement recueilli par le cédant au traitement des données à des fins de prospection commerciale lors de la constitution de la base puisque ce dernier ne sera probablement pas en mesure de démontrer l’avoir effectivement recueilli si la CNIL lui en faisait la demande.

Pour rappel, ce consentement des personnes concernées est obligatoire a minima s’agissant d’un traitement des données à des fins de prospection commerciale par voie électronique, conformément à l’article L34-5 du Code des postes et des communications électroniques.

En complément de ces due diligences pratiques, il est vivement recommandé au cessionnaire de prévoir de nombreuses garanties contractuelles s’agissant de la licéité de la collecte des données constituant le fichier clients cédé. 

En tout état de cause et indépendamment des éventuelles garanties contractuelles, le cessionnaire doit être conscient que postérieurement à la cession de la base de données, il devra être en mesure de démontrer que les données ont bien été initialement collectées licitement par le cessionnaire, notamment s’agissant de l’information des personnes concernées et le recueil de leur éventuel consentement, au titre de son obligation de responsabilité consacré par l’article 24 du RGPD (Garante Per La Protezione Dei Dati Personali c. Douglas Italia S.p.A., n° 9825667, 20 octobre 2022).

Information antérieure à la cession

Préalablement à la cession de la base de données, le cédant est tenu d’informer les personnes concernées du projet de transmission des données les concernant au cessionnaire, et de la finalité de leur traitement par ce dernier.

Dès lors que les données entendent être transmises au cessionnaire à des fins de prospection commerciale par voie électronique, et conformément à l’article L34-5 du Code des postes et des communications électroniques prémentionné, le cédant doit obligatoirement recueillir un consentement libre, spécifique, éclairé et univoque des personnes concernées préalablement à cette transmission.

S’agissant d’actions de prospection commerciale par voie postale ou téléphonique, le cédant peut s’abstenir de recueillir le consentement préalable des personnes concernées, sous réserve de permettre à ces dernières de s’opposer auprès du cédant à la transmission des données les concernant.

En pratique, il est nécessaire de prévoir un certain délai raisonnable entre l’information de la cession envoyée aux personnes concernées et la transmission des données personnelles au cessionnaire, afin de permettre aux personnes concernées de prendre connaissance du projet de transmission des données les concernant et de s’y opposer ou de ne pas y consentir le cas échéant.

Les données relatives aux personnes n’ayant pas consenti à leur transmission au cessionnaire, ou s’y étant opposées, doivent être purgées de la base de données par le cédant avant leur transmission au cessionnaire.

Lorsque le contrat de cession de la base de données prévoit que le cédant s’engage à supprimer de ses autres fichiers toutes données identiques à celles contenues dans la base cédée et/ou à ne plus traiter ces données à des fins de prospection commerciale, le cédant est dans l’obligation d’en informer les personnes concernées puisque ces dernières seront directement affectées par la cession y compris si elles ne consentent pas ou s’opposent à la transmission des données les concernant.

A ce titre, il est important de rappeler aux cessionnaires que l’acquisition d’une base de données ne leur donne un droit de propriété, exclusif ou non, que sur la base de données et non sur les données personnelles elles-mêmes.

Information postérieure à la cession

Suite à la transmission des données au cessionnaire, ce dernier peut être tenu d’informer les personnes concernées des conditions de traitement des données les concernant conformément à l’article 14 du RGPD, si cela n’a pas été réalisé précédemment par le cédant.

Le cas échéant, lors de la première communication avec les personnes concernées ou dans un délai maximum d’un mois à compter de la cession, le cessionnaire devra alors fournir aux personnes concernées a minima les informations suivantes :

-        Son identité et ses coordonnées, ainsi que celles de son délégué à la protection des données (DPO) le cas échéant ;

-        Les finalités du traitement des données ainsi que la base légale du traitement ;

-        Les catégories de données personnelles concernées ;

-        Les destinataires des données le cas échéant ;

-        L’existence de transferts de données hors de l’Union européenne le cas échéant ;

-        La durée de conservation des données ;

-        Les droits des personnes concernées ;

-        La sources des données.

Les personnes concernées disposeront ainsi d’une nouvelle occasion de s’opposer au traitement des données les concernant par le cessionnaire.

En pratique et par commodité, il est recommandé de prévoir au contrat de cession que ces informations à destination des personnes concernées soient fournies par le cédant lui-même, permettant dans un même temps de renforcer la transparence sur la cession et ainsi le consentement éclairé des personnes concernées.

Le cessionnaire devra, par ailleurs, veiller à indiquer sur toutes les sollicitations commerciales envoyées, les coordonnées auxquelles les personnes concernées peuvent transmettre une demande tendant à obtenir que ces communications cessent sans frais.

***

Correctement appréhendées et anticipées, les règles imposées par le RGPD ne devraient pas être vécues par les entreprises comme des contraintes, mais comme une opportunité d’acquérir des données de meilleure qualité, respectueuses des droits et libertés des clients et prospects.

Si elles ne doivent pas être vues comme des contraintes, ces règles encadrant la cession de fichiers clients restent toutefois complexes.

[1] https://www.lemonde.fr/economie/article/2022/12/05/le-fichier-clients-de-camaieu-ne-sera-pas-vendu-aux-encheres_6153043_3234.html

[2] https://www.20minutes.fr/economie/4013597-20221206-liquidation-camaieu-fichier-client-finalement-vendu-encheres