La société Camaïeu, placée en liquidation judiciaire en septembre dernier, a procédé le 7 décembre 2022 à la vente de ses actifs immatériels. Outre les marques et noms de domaines, l’annonce préalable de la vente d’un fichier concernant 3,8 millions de clients actifs a suscité de vives réactions.

Un tel fichier contient en effet par nature de nombreuses données personnelles. Sa vente doit donc faire l’objet d’attentions particulières afin de se conformer aux dispositions du Règlement 2016/679 du 27 avril 2016 (RGPD). Attentive à l’actualité, la CNIL a rappelé, dans une note parue le 5 décembre 2022, les obligations incombant au vendeur et à l’acquéreur d’un fichier clients.

Le vendeur, d’abord, doit s’assurer que seuls les fichiers constitués en conformité avec la règlementation sont vendus. Il doit limiter cette vente aux données de clients actifs collectées à des fins de prospection commerciale. Les données conservées à des fins administratives (telles que la comptabilité de l’entreprise ou la gestion de contentieux) ne peuvent être vendues.

Le vendeur doit par ailleurs s’assurer que les données vendues ne sont pas conservées pour une durée excessive. La CNIL préconise en effet la conservation des données de prospection pendant 3 ans maximum à compter de la fin de la relation commerciale.

Enfin, une telle vente doit être limitée aux clients qui ont consenti ou ne se sont pas opposées, selon la base légale, à la transmission de leurs données à des fins de prospection.

Concernant l’acquéreur, il lui revient d’abord de s’assurer de l’information des personnes concernées lors de leur démarchage, notamment quant à la source des données et à l’identité de leur vendeur.

Afin d’user de ces données à des fins de prospection électronique, l’acquéreur veillera également à pouvoir démontrer l’existence du consentement éclairé des personnes concernées. Deux situations peuvent ici être distinguées. Dans le premier cas, l’acquéreur étant un partenaire du vendeur, son identité figurait déjà dans la liste des sociétés destinataires des données recueillies par ce dernier. Dans le second cas, en l’absence d’un consentement recueilli par le vendeur, c’est à l’acquéreur de l’obtenir et d’en conserver la preuve préalablement à toute campagne de démarchage.

Il revient en outre à l’acquéreur de prendre les dispositions nécessaires afin d’assurer l’entière conformité de ce traitement avec le RGPD. Cela inclut notamment les démarches nécessaires afin que les personnes concernées puissent exercer les droits qui leurs sont conférés par le chapitre… du Règlement. Notamment, l’acquéreur veillera à prévoir un moyen simple d’exprimer le refus de recevoir de nouvelles sollicitations.

Il apparaît en conclusion que la vente d’un fichier clients génère, tant pour le vendeur que l’acquéreur, des obligations contraignantes, qui limitent tant la portée de la vente que les usages qui en découlent. Face à ces « obstacles juridiques », les commissaires-priseurs chargés de la vente des actifs de Camaïeu ont finalement annoncé y renoncer.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion des données personnelles recueillies dans le cadre de votre activité.

Pour toute question, n’hésitez pas à nous contacter.