Vente de fichiers clients : oui, mais sous réserve de respecter le RGPD
Corinne Thiérache
Le 5 décembre 2022, la Commission Nationale Informatique et Libertés (CNIL) est venue rappeler que si la vente d’un fichier clients n’est pas interdite par le Règlement général sur la protection des données (RGPD), cette vente doit se faire dans le respect de certaines obligations précises (Vente de fichiers clients : la CNIL rappelle les règles).
Cette communication de la CNIL est publiée alors que, le 7 décembre 2022, une vente aux enchères était organisée à la suite du placement en liquidation judiciaire de la société Camaïeu le 28 septembre dernier. A l’affiche : une vingtaine de lots dont le portefeuille de marques, le portefeuille de noms de domaine et le fichier clients de la société.
La mise aux enchères du fichier clients a fait rapidement débat et la question du consentement des clients concernés s’est notamment posée.
A cette occasion, la CNIL a rappelé les règles à respecter pour vendre des fichiers clients car, si le RGPD ne s’oppose pas à ce type de vente, un fichier clients contient de nombreuses données personnelles dont la transmission ne peut avoir lieu que sous réserve de respecter le Règlement.
Dans un premier temps, c’est au vendeur de s’assurer de deux points :
- Le fichier ne doit contenir que les données des clients actifs ;
- Seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues.
Dans un second temps, c’est à l’acquéreur de s’assurer de deux points :
- L’acquéreur doit informer les personnes concernées, dès que possible, et au plus tard dans un délai d’un mois, de son acquisition. Cette obligation ne s’applique pas si les personnes concernées ont déjà reçu les informations nécessaires ;
- L’acquéreur doit être en mesure de démontrer qu’il dispose du consentement éclairé des personnes concernées, dès lors qu’il souhaite utiliser leurs données à des fins de prospection commerciale par voie électronique.
Outre les sanctions prévues par le RGPD pour non-respect de ses dispositions, l’annulation de certaines ventes de fonds de commerce a pu être prononcée par décision de justice. Notamment, en 2013, la Cour de cassation a jugé que « tout fichier informatique contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de CNIL ; que tout manquement à cette obligation constitue, aux termes de l’article 226-16 du Code pénal, une infraction pénale ; qu’il s’ensuit qu’un tel fichier non déclaré constitue un objet illicite, hors commerce, insusceptible d’être vendu ». Ainsi, la vente du fonds de commerce, comprenant uniquement le fichier clients, a été annulée pour objet illicite et violation des dispositions de l’article 22 de la loi n°78-1 du 16 janvier 1978 (Cass. Com., 25 juin 2013, n°12-17.037).
Pour ces raisons, la veille de la vente aux enchères de la société Camaïeu, le commissaire-priseur annonçait que le fichier clients était retiré de la vente, en raison des risques que cette vente pouvait représenter à l’égard des données personnelles des clients. Finalement, c’est la société Celio qui a fait la dernière offre et a obtenu le portefeuille de marques et de noms de domaine de la société Camaïeu pour la somme de 1,8 millions d’euros.
Désormais, il appartient à la société Celio, si elle souhaite acquérir le fichier clients, de négocier cette vente, en apportant ses garanties en termes de respect des données personnelles des clients et du RGPD.
Les avocats d’Alerion du Département IP/IT/Privacy peuvent assister leurs clients sur toutes les questions liées aux données personnelles, y compris pour mener à bien des opérations de transfert de fichiers clients.
Corinne Thiérache, Avocat Associée, et Océane Desplands, Master II Propriété intellectuelle et Technologies nouvelles (UGA)