Camaïeu annonce la vente aux enchères publiques de ses actifs immatériels, et notamment de son fichier clients. Mais le Règlement Général sur la Protection des Données autorise-t-il à vendre un fichier clients ? Tentons de répondre à cette délicate question.
Le projet de vente aux enchères publiques (prévues ce 7 décembre), du fichier clients de Camaïeu (contenant 3,8 millions de clients), a déclenché bien des réactions. Des réactions tout à fait légitimes si on garde présent à l’esprit que le RGPD, applicable en Europe depuis le 25 mai 2018, a fait de la protection des données personnelles sa priorité. Et les arguments pour considérer cette vente peu conforme à l’esprit du RGPD, à notre sens, ne manquent pas.
En tout premier lieu rappelons que le RGPD impose que toute collecte de données et tout traitement de données reposent sur le consentement du titulaire des données. Or, si ce consentement a réellement été donné, il l’a été au profit de Camaïeu, et non de l’acquéreur du fichier.
Par ailleurs, le spamming commercial repose sur le principe du Opt-in. Ce qui signifie qu’un commerçant ne peut adresser par courriel une proposition ou une sollicitation commerciale que si le destinataire lui a expressément donné son accord. Mais là encore, c’est Camaïeu qui a profité de cet accord, non l’acquéreur.
La CNIL a bien-sûr réagi en rappelant sur son site dans un avis en date du 5 décembre les règles applicables, selon elle. Pour la CNIL, la vente d’un fichier clients n’est pas par principe interdite, mais soumise à des règles strictes. Dont acte. Examinons ces règles.
En premier lieu, ne peut être vendu qu’un fichier lui-même conforme au RGPD rappelle la CNIL. Si on veut vraiment appliquer à la lettre ce principe, il va falloir vérifier que le fichier ne contient que des clients qui ont donné leur consentement par un acte positif. On va donc devoir éliminer tous ceux dont le consentement a été acquis par défaut, au moyen d’une case pré-cochée ou par acceptation des CGV (les conditions générales de vente), des pratiques qui étaient fréquentes avant le RGPD. Il va aussi falloir vérifier que le consentement a été donné de manière libre et éclairée, donc en toute connaissance de cause. Si nous poussons l’analyse un peu plus, on en arrive peut-être à la conviction de devoir éliminer du fichier mis en vente tous les clients enregistrés avant l’entrée en vigueur du RGPD ? Pour la bonne raison que leur consentement a peu de chances de réunir toutes les conditions de validité énoncées par le RGPD. Il va également falloir épurer le dossier pour en éliminer les clients qui n’ont pas été actifs depuis plus de 3 ans, durée légale de conservation des données d’un client inactif.
Il va falloir également vérifier si ce client cédé a accepté la transmission de ses données à des tiers. Très souvent le qualificatif utilisé pour ces tiers est celui de « partenaire ». Mais en l’espèce, difficile de considérer (sauf hasard chanceux), l’acquéreur du fichier comme un partenaire de Camaïeu. Ce point nous parait essentiel, car toute transmission de données personnelles à des tiers doit avoir été expressément autorisée, et à des tiers désignés ou pour le moins identifiables. Il nous parait difficile ici de présupposer que les clients de Camaïeu auraient accepté par principe la cession de leurs données personnelles à un repreneur, qui plus est non identifié au jour de la cession.
La CNIL précise également que l’acquéreur devra informer dans un délai court (un mois), chaque client du rachat du fichier. Cette obligation est en effet essentielle puisque toute personne qui figure dans un fichier dispose d’un droit d’information. Au moindre doute l’acquéreur devra également, nous semble-t-il, vérifier le consentement du client à être démarché à des fins commerciales. Car rappelons-le, en matière de données personnelles, la charge de la preuve appartient au responsable du traitement.
On le voit, ce projet de rachat de fichier clients peut générer une véritable insécurité juridique. Il envoie également un message négatif aux consommateurs à un moment où 7 consommateurs sur 10 disent craindre pour la sécurité de leur données personnelles.
C’est sans doute ce qu’a ressenti le Commissaire priseur de la maison Mercier & Cie qui devait procéder à cette vente et qui a finalement retiré le fichier clients des actifs immatériels mis en vente. Une décision que nous saluons pour sa sagesse.