La récente liquidation de la société Camaïeu à fait l’objet de nombreuses interrogations concernant l’intégration dans l’enchère d’un fichier client et de manière plus générale à l’application du cadre juridique relatif à la protection des données personnelles en matière de prospection commerciale. C’est l’occasion de faire un rappel sur les exigences de la réglementation en vigueur.
En attendant les imminentes adaptations que proposera le Règlement ePrivacy en cours d’élaboration par les institutions européennes, la grande majorité des règles édictées en la matière prennent leur source dans la Directive 2002/58/CE du 12 juillet 2022 ainsi que dans le Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après RGPD).
Le cadre juridique de la prospection commerciale
Ce cadre juridique prévoit une première mesure qui se retrouve systématiquement à l’égard de cette activité, quelle que soit la situation dans laquelle se trouve les Responsables de traitement. À partir du moment où une activité de prospection commerciale est réalisée, son auteur doit à la fois informer la personne concernée de son droit d’opposition et permettre à celle-ci de l’exercer.
Une première distinction est faite en la matière. Dès lors que la prospection s’effectue par voie postale ou téléphonique et nécessite l’intervention d’une personne pour la réaliser, seule une information concernant les caractéristiques du traitement et la possibilité pour la personne concernée de s’opposer suffit. Ce régime d’opt-out ne nécessite pas le consentement préalable de la personne contrairement à la prospection électronique et automatisée.
Dans cette dernière situation imposant un mécanisme d’opt-in, le Responsable de traitement n’a d’autre choix que de recueillir le consentement libre, spécifique, éclairé et univoque de la personne concernée lorsque les relations entre ces deux parties révèlent une relation de professionnel à consommateur.
Cependant, si le Responsable de traitement et la personne concernée, évoluent dans des relations de professionnels à professionnels, et que le démarchage à un lien avec la profession de la personne concernée, le mécanisme d’opt-out précédemment décrit est suffisant.
Concernant la constitution du fichier client en lui-même, des durées de conservation guident la validité d’une telle source de données.
En effet, comme la CNIL a pu le rappeler à plusieurs reprises, seules les données des personnes ne s’était pas opposé et au plus tard 3 ans à partir du dernier contact actif ne peuvent être valablement concernés. À titre d’exemple, une simple ouverture d’email ne peut suffire à considérer une personne comme étant active. Cette ouverture doit être suivie d’un clic sur un lien hypertexte pour que le délai soit prorogé.
Dès lors que la constitution de ce fichier de prospection commerciale a été valablement constitué, la vente de ce dernier peut être envisagée.
A cela s’ajoute les exigences, somme toute évidentes, du Règlement Général sur la Protection des Données qui encadre les traitements de données. La transmission de données devant être considéré comme un traitement de données à part entière, une information sur celui-ci et le recueil du consentement des personnes concernées doivent être réalisés. Ces précautions se trouvent être d’autant plus importante dès lors que le destinataires se trouve être État tiers à l’Union européenne.
C’est notamment face à l’ensemble de ces exigences que la société Camaïeu a décidé de retirer le fichier client de ladite vente aux enchères. Ce retour en arrière peut apparaitre à première vue regrettable eu égard à l’attractivité que suscite un tel fichier client, mais se révèle sans doute plus prudent eu égard à l’attention particulière que l’autorité contrôle y dévoue.
Dans la mesure où vous seriez confronté à cette problématique, Achille-Solutions vous aide et vous conseilles dans vos démarches.