Nos données peuvent-elles être vendues ?
La donnée personnelle est définie par l’article 4 du RGPD comme étant « toute information se rapportant à une personne physique identifiée ou identifiable« . Cette définition large regroupe un grand nombre de données. Ces informations se rattachant à des individus, certaines opérations ne sont pas tolérées sur ces données et leur traitement ne peut se faire que dans le respect des droits et libertés des personnes concernées. L’une des pratiques qui s’est répandue ces dernières années consiste en la commercialisation des données personnelles. Les entreprises ont en effet intérêt à mener de telles activités dans la mesure où ces opérations génèrent d’importants bénéfices et contribuent par conséquent à l’accroissement du chiffre d’affaires. Mais de telles pratiques sont-elles autorisées ?
Des points de vue divergents
Bien que la patrimonialisation des données personnelles ne soit pas pleinement réfutée, ce concept ne semble pas remplir l’ensemble des critères de légalité.
Certains considèrent que la reconnaissance d’un droit de propriété sur les données personnelles permet de rééquilibrer les pouvoirs entre les individus et les entités collectant ces données. Ils admettent que la gestion des données par la personne même est susceptible de permettre une prise de conscience de l’importance de protéger ce patrimoine et favoriser par conséquent un comportement vigilant de sa part.
D’autres en revanche prônent pour le respect des données en tant qu’éléments de la personnalité. Ainsi, à l’instar du corps humain, leur appropriation ne doit pas être tolérée. Le droit de propriété donne en effet au propriétaire un pouvoir sur le bien concerné. Il permet à la personne de jouir et de disposer de la chose de la manière la plus absolue. Ces prérogatives peuvent impliquer un risque de destruction de l’identité. Or, ceci n’est pas en harmonie avec les droits et libertés des personnes.
Cette approche est celle des Etats-Unis qui constitue un point de divergence avec l’Europe. En plus du modèle économique des grandes firmes américaines qui repose essentiellement sur la commercialisation des données, le California Consumer Privacy Act réfère aux pratiques de commercialisation des données personnelles et tient compte pour certaines de ses exigences de la vente (ou pas) de ces données. Ainsi, d’un côté, il exige l’affichage d’un lien “do not sell my information”, de l’autre côté, il prohibe l’application de prix différents en cas de refus. L’approche américaine qui s’intéresse essentiellement à la valeur économique des données se distingue dès lors de l’approche européenne qui repose sur le renforcement de la protection des personnes.
Une pratique tolérée sous certaines conditions
Or, malgré ces discordances, la CNIL tolère la vente des fichiers client sous certaines conditions. Il est vrai que de tels fichiers contiennent des données personnelles, mais dans ces cas, la propriété porte sur le fichier même, non pas sur les données personnelles.
Ces fichiers sont le plus souvent acquis pour permettre à l’acquéreur de réaliser des opérations de prospection commerciale. Le vendeur doit ainsi veiller à ce que la vente se réalise dans le respect des règles sur la protection des données personnelles. Seules les données collectées à des fins de prospection commerciale peuvent être concernées et les données qui sont recueillies à d’autres fins ne doivent être transmises.
La collecte doit ainsi se faire conformément aux dispositions applicables en la matière et les données personnelles relatives à un prospect, utilisées à des fins de prospection commerciale, ne peuvent être conservées que pendant 3 ans à compter de leur collecte.
La vente des données ne peut, par ailleurs, avoir lieu que dans le cas où les clients concernés ne se sont pas opposés à la transmission dans le cas de la prospection par voie postale ou téléphonique, ou s’ils ont bien consenti à cet envoi dans le cas d’une prospection par voie électronique.
D’autres obligations portent sur les conditions de transfert des données à l’acquéreur qui doit se faire de manière sécurisée. Ce dernier doit également veiller à informer les personnes concernées lors du premier contact, et au plus tard dans un délai d’un mois après avoir obtenu les données, à moins qu’elles ne disposent déjà de ces informations. Ces informations doivent porter notamment sur :
- L’identité du responsable de traitement
- Les finalités du traitement
- La durée de conservation
- Les transferts éventuels de données
- Les droits des personnes
- La source des données, voire l’organisme auprès duquel les données ont été acquises
Les personnes concernées doivent également pouvoir s’opposer à la prospection commerciale, via par exemple un lien de désinscription.
Par ailleurs, l’acquéreur doit être en mesure de démontrer la collecte effective du consentement à la réalisation de la prospection électronique, dans les conditions imposées par la règlementation. Ce consentement doit notamment être recueilli de manière informée, c’est-à-dire que lors de la collecte, le nom de l’acquéreur doit apparaître dans la liste des destinataires de données qui utiliseront les données à des fins de prospection commerciale. Dans le cas où le consentement n’a pas été collecté par le vendeur, l’acquéreur doit le recueillir préalablement à toute opération de prospection électronique.
Dans tous les cas, l’acquéreur doit mettre en place l’ensemble des mesures nécessaires afin d’assurer un respect effectif de l’ensemble des exigences du RGPD et veiller à contrôler au préalable la conformité du fichier.
