12 Déc Commercialisation d’une base de données clients : un cadre règlementaire strict
La vente d’une base de données prospects/clients est autorisée par le Règlement Général sur la Protection des Données (RGPD). Pour autant la Commission Nationale de l’Informatique et des Libertés (CNIL) rappelle les exigences règlementaires que le vendeur et l’acheteur ne doivent pas ignorer dans le cadre d’une exploitation commerciale in fine de la base de données, notamment s’agissant des droits des personnes.
La vente d’une base de données prospects/clients permet à l’entreprise qui l’acquiert de pouvoir exploiter les coordonnées des contacts de la base achetée dans le cadre d’une prospection commerciale.
Parce que des données personnelles sont présentes dans ce type de base de données marketing – notamment l’identité (nom et prénom), l’adresse électronique, les coordonnées téléphoniques et postales des contacts – sa commercialisation ne peut s’effectuer que si le RGPD est bien respecté.
Les contacts d’une base de données prospects/clients qui n’ont pas consenti à l’exploitation de leurs coordonnées dans le cadre d’opérations de prospection devront être écartés avant toute commercialisation.
Seules les bases de données qui ont été bâties en respectant scrupuleusement la réglementation peuvent être vendues. Le démarchage des contacts de la base vendue ne sera possible que si le vendeur respecte les règles suivantes.
La base de données ne doit être constituée que de clients actifs.
Seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues.
Les contacts d’une base de données prospects/clients qui n’ont pas consenti à l’exploitation de leurs coordonnées pour prospecter devront être écartés avant toute commercialisation.
Pour sa part, l’acheteur devra fournir aux contacts de la base acquise la source de leurs données les concernant, c’est-à-dire le nom de la société lui ayant vendu ses coordonnées.
Il devra également procéder à la vérification que les contacts de la base de données ont bien consenti à être contactés par voie électronique.
Mais également, la société qui aura acquis la base prospects/clients devra pouvoir fournir la démonstration qu’il détient le consentement des contacts s’il projette une exploitation de leurs données pour prospecter par voie électronique.
Le fournisseur de bases de données n’a pas obtenu le consentement des contacts composant ses bases pour être potentiellement prospectés par ses clients.
Deux situations peuvent se présenter :
1/ Le fournisseur de bases de données a déjà obtenu le consentement des contacts composant ses bases pour être potentiellement prospectés par ses clients.
Lorsque, au moment du recueil des données, l’identité de la société susceptible d’acheter la base était déjà présente dans la liste des entreprises auxquelles les données seraient transmises à des fins de prospection par voie électronique, cette dernière pourra contacter directement les invividus ayant consenti à la transmission de leurs données.
2/ Le fournisseur de bases de données n’a pas obtenu le consentement des contacts composant ses bases pour être potentiellement prospectés par ses clients.
Lorsque le fournisseur n’a pas obtenu le consentement de ses contacts pour que leurs données soient transmises aux potentiels acheteurs, ces derniers doivent garantir la conformité de leurs campagnes de prospection par voie électronique, en allant chercher eux-mêmes, préalablement, le consentement des contacts concernés.
Quelle que soit la situation, l’acheteur d’une base devra respecter les droits des personnes
Quel que soit le vecteur de prospection utilisé, chaque prise de contact devra permettre aux personnes d’exprimer, si elles le souhaitent et de façon simple, leur non-consentement à la réception de nouvelles communications.