Modalités et conditions de revente d'un fichier de clients via internet

Données personnelles 14950 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.
Modalités et conditions de revente d'un fichier de clients via internet

Attention :
Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, les déclarations de fichiers de clients auprès de la CNIL ne sont plus nécessaires, néanmoins la responsabilité pesant sur le responsable de traitement est accrue.

La révolution numérique qui a lieu depuis plus de 20 ans a considérablement bouleversé les méthodes du marketing classique (stratégies commerciales et publicitaires). Les sites marchands numériques recueillent sur les internautes, consommateurs potentiels, diverses informations dans le but de cibler leur demande pour ainsi mieux répondre à leurs besoins. Ces informations collectées portent sur les données personnelles des consommateurs intéressés par le bien ou service offert sur le site Web.

Les fichiers ainsi constitués par les marchands du Web représentent une valeur économique certaine pour l’entreprise puisqu’ils comportent des indices précieux sur les attentes du client. Cet ensemble d’informations sur le client permet aussi de développer le marketing one to one, c’est-à-dire une stratégie de ciblage du client qui épouse parfaitement le profil de l’internaute. Il s’agit d’une nouvelle forme de marketing qui permet de réaliser des économies sans précédent en matière de coût de publicité, d’enquêtes de marché, etc. De fait, les sites marchands ont pris la mesure de cette opportunité et procèdent entre eux à la cession des fichiers en cause.

Cela dit se pose la question de savoir si une telle cession est admissible au regard de la loi. En d’autres termes, est-ce qu’une entreprise ou personne morale, autre que celle qui a procédé à la collecte initiale des données personnelles de l’internaute, peut aussi opérer le traitement de ces mêmes données à caractère personnel ?

Pour répondre à ces questions il faut préalablement rappeler le cadre juridique relatif au traitement automatisé des données à caractère personnel dont la CNIL au nom de la protection de la vie privée est le garant.

La protection par la CNIL des données à caractère personnel des personnes physiques

L'origine de la CNIL et son Ă©volution

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été créée par la loi du 6 janvier 1978 dite loi « Informatique et libertés » afin de contrôler le traitement automatisé ou non des données à caractère personnel des personnes physiques. Cette loi de 1978, qui est toujours en vigueur, a été modifiée à plusieurs reprises, notamment par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Dans son article 1er, la loi de 1978 dévoile l’objectif principal de la protection :

L’informatique doit être au service de chaque citoyen, elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à leur vie privée, ni aux libertés individuelles ou publiques.

Ainsi, l’article 6 de la loi de 1978 (et article 8 de la loi du 6 août 2004) interdit explicitement la collecte d’informations de données sensibles (origines raciales ou ethniques, opinions religieuses ou philosophiques ou encore l’orientation sexuelle). Seules sont donc autorisées selon l’article 2 de la loi du 6 août 2004 les données collectées et traitées de manière loyale et licite et pour une finalité déterminée, explicite et légitime.

La loi de 2004 exige aussi que le responsable du traitement des données personnelles ait recueilli le consentement de l’intéressé et que celui-ci soit dûment informé sur la finalité du traitement, sur son droit d’accès, de contestation, de modification et d’opposition au traitement des données collectées.

Quel est le rĂ´le de la CNIL ?

La CNIL est investie par la loi d’une mission de contrôle : elle veille à ce que tous les traitements automatisés de données à caractère personnel aient fait l’objet d’une déclaration auprès d’elle. Les responsables du traitement de données à caractère personnel sont donc soumis à une autorisation préalable de la CNIL. De cette manière, la CNIL peut en présence de traitements qui risquent de porter atteinte à la vie privé mettre en œuvre la procédure d’autorisation spéciale.

La CNIL est une autorité administrative indépendante et peut par conséquent librement infliger des amendes et des sanctions au responsable du traitement des données en cas d’infraction à la loi du 6 janvier 1978. Elle dispose même du pouvoir de se faire communiquer par l’hébergeur du site l’identité de la personne responsable du traitement et avertir ainsi le Procureur de la République.

Les sanctions sont par ailleurs loin d'être négligeables, il faut citer pour exemple l’article 226-18 du Code pénal qui prévoit en cas d’infraction à cette législation une peine d’emprisonnement de 5 ans et 300 000 euros d’amende. A titre d’illustration, voir un arrêt de la Chambre criminelle de la Cour de cassation du 3 novembre 1987 (réf. 87-83.429 publié au Juriclasseur 1988 doctrine n°3323) qui a retenu l’existence de moyens frauduleux, déloyaux et illicites dans la collecte effectuée auprès de tiers à l’insu des intéressés et sans déclaration de traitement.

Les modalités de revente des fichiers clients

La cession de fichiers clients avant l'entrée en vigueur du RGPD

Avant d’envisager la cession de fichiers clients, il faut immédiatement observer que l’article 38 de la loi pour la confiance dans l’économie numérique du 21 juin 2004, permet à un particulier, personne physique, de s’opposer à ce que les données collectées ne soient utilisées à des fins de prospection commerciale par le responsable du traitement. Dans la pratique cela se concrétise par la case à cocher dans le formulaire d’engagement. A ce stade, les internautes doivent rester vigilants car il arrive que pour exprimer son opposition au traitement, il faille cocher la case (alors qu’habituellement il suffit de ne pas la cocher ).

L’article 2 de la loi 1978 définit le traitement automatisé de données à caractère personnel :

Toute opération ou ensemble d’opérations portant sur de telles données quelque soit le procédé utilisé notamment la communication par transmission, diffusion, rapprochement ou toute autre forme de mise à disposition.

La cession d’un fichier clients par une entreprise à une autre entreprise constitue donc une mise à disposition en vertu de cet article.

L’article 14 du décret d’application du 25 mars 2007 (de la loi du 6 août 2004), impose au professionnel d’exiger en priorité le consentement de l’internaute pour la cession de ses données personnelles à un autre commerçant. Afin que cette disposition soit effective, il est prévu que ce consentement doit avoir été requis avant que le commerçant ne demande à l’internaute de cocher l’acceptation des conditions générales de ventes. Or, dans la pratique, nous remarquons que l’adhésion aux conditions générales de vente est systématiquement imposée à l’internaute pour lui permettre de passer aux étapes suivantes du processus d’engagement.

C’est lors de la 1ère démarche publicitaire du professionnel que l’internaute devra être informé de la finalité de la sollicitation, c’est-à-dire du sort qui sera réservé aux informations transmisses et notamment si elles feront ou non l’objet d’une transmission à d’autres professionnels à des fins commerciales. En pratique sur le formulaire à remplir, une case à cocher sera prévue à cet effet .

Le consentement donné par l’internaute au transfert des données le concernant est un consentement spécifique. Cela signifie qu’il ne vaut que pour la demande actuelle et pour une finalité déterminée. A chaque nouvelle demande de la part du professionnel le consentement devra être réitéré.

La cession de fichiers clients depuis l'entrée en vigueur du RGPD

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations de fichiers auprès de la CNIL ne sont plus nécessaires. En contrepartie, la responsabilité du responsable de traitement s'en trouve accrue et il convient donc de se montrer vigilant.

Pour autant, les règles relatives à l'échange ou la cession de fichiers client n'ont pas ou peu variées, le consentement demeure la règle d'or. En effet, pour être licite, la cession d'un fichier clients suppose que le responsable de traitement ait informé ses clients de la cession de leurs données et de l'identité du cessionnaire. Ces derniers doivent également consentir à cette cession.

 
Suivez-nous sur Linkedin
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
poteau sur lequel il est Ă©crit "big data is watching you"
Le RGPD, un outil de protection des données personnelles
Donnees personnelles 4531 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Google Ads (AdWords) et protection des données personnelles
Donnees personnelles 4569 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Hébergement et stockage de données médicales sensibles
Donnees personnelles 7759 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Statut d'hébergeur/éditeur : conservation des données personnelles
Donnees personnelles 4619 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
RGPD : le registre des activités de traitement de données personnelles
Donnees personnelles 7251 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Désignation d'un délégué à la protection des données (DPO)
Donnees personnelles 5786 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
L'identification d'une personne à partir d’une adresse IP
Donnees personnelles 35797 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Comment réussir sa mise en conformité au RGPD ?
Donnees personnelles 5392 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
RGPD : l'indispensable politique de confidentialité
Donnees personnelles 8223 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

photo en noir et blanc de quelqu'un tapant au clavier de son MacBook
Données à caractère personnel : conservation et suppression
Donnees personnelles 10589 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?

une personne utilisant Google Analytics sur son ordinateur portable
RGPD : comment réaliser une cartographie des données à caractère personnel ?
Donnees personnelles 5349 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.

une caméra sur un mur
Le RGPD et son applicabilité dans les États membres de l’Union Européenne
Donnees personnelles 4368 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.

des personnes vues d'en haut en train de marcher sur un passage piéton
RGPD : L'anonymisation des données personnelles
Donnees personnelles 11276 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Audit de conformité au RGPD : gage de respect du règlement
Donnees personnelles 4344 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?

une personne utilisant un ordinateur portable
Étapes d'une mise en conformité au RGPD
Donnees personnelles 3366 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.