Mise en vente du fichier client Camaïeu : le rappel de la CNIL

Suite à l’annonce par Camaïeu de la vente aux enchères de ses derniers actifs, comprenant son fichier client, la CNIL a rapidement réagi et publié un rappel des règles en cas de vente d’un tel fichier.

Sommaire

1. Le contexte : liquidation judiciaire de Camaïeu et vente aux enchères du fichier client
2. La CNIL réagit et rappelle les règles applicables pour la vente de fichiers client

1) Le contexte : liquidation judiciaire de Camaïeu et vente aux enchères du fichier client

Fin septembre, le tribunal de commerce de Lille décidait de placer en liquidation judiciaire la société Camaïeu, entraînant par conséquent la fermeture de plus de 500 magasins en France. La société Camaïeu faisait face depuis plusieurs mois à des difficultés financières liées notamment à la crise du covid, à la concurrence des sites de vente en ligne mais également à une cyberattaque courant 2021.

Deux mois après cette décision, les derniers actifs de la société Camaïeu étaient vendus aux enchères début décembre. Cette vente comprenait initialement plusieurs lots : vêtements, mannequins d’exposition, marques et noms de domaine, mais également sa base de données clients issue de la carte de fidélité exploitée par la marque de prêt-à-porter. Ce fichier comptait 3,8 millions de clients.

En raison d’une polémique grandissante sur la vente de ce fichier, le commissaire-priseur en charge de l’opération a annoncé que le lot contenant le fichier client ne serait finalement pas mis aux enchères, et ce en raison des contraintes liées au respect du RGPD.

En parallèle , la CNIL, qui avait annoncé vouloir se saisir du sujet, publiait un rappel des règles applicables dans le cadre de la vente de fichier client.

2) La CNIL réagit et rappelle les règles applicables pour la vente de fichiers client

La vente d’un fichier client n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations.

En amont de la vente, il est essentiel de s’assurer que le fichier a été constitué dès le départ dans le respect des règles de protection des données personnelles et par conséquent que le contenu du fichier est « propre ». Une fois la vente réalisée, l’acquéreur devra à son tour respecter certaines règles afin de s’assurer que son utilisation du fichier client soit conforme au RGPD.

Le fichier vendu ne doit contenir que les données de certains clients

Parce qu’un fichier client contient des données personnelles, notamment l’identité et les coordonnées (adresse email, numéro de téléphone…) des personnes, l’objectif est de permettre à l’acquéreur de démarcher les personnes concernées.

Pour cela, la CNIL rappelle que le fichier ne doit contenir que les données des clients actifs, c’est-à-dire des clients dont les données sont en principe conservées pendant la relation commerciale et pour une durée de 3 ans à compter de la fin de cette relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du dernier contact émanant du client, etc.).

Au contraire, les données des clients qui ne sont conservées qu’à des fins administratives (comptabilité, contentieux, etc.) ne devront pas être transmises.

Par ailleurs, les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.

L’acquéreur doit informer les personnes figurant sur le fichier client

Conformément à ce que prévoit l’article 14 du RGPD sur l’information des personnes en cas de collecte indirecte des données, l’acquéreur devra informer les personnes dès que possible, notamment lors du 1er contact avec la personne, et au plus tard dans un délai d’un mois.

Les informations classiques concernant le traitement (article 13 du RGPD) devront être fournies, complétées des informations obligatoires à fournir en cas de collecte indirecte des données : les catégories de données personnelles collectées et la source des données (le nom de la société à l’origine de la vente du fichier client).

L’acquéreur doit vérifier l’existence d’un consentement à la prospection électronique

S’il souhaite utiliser les données du fichier client à des fins de prospection commerciale par voie électronique, l’acquéreur doit s’assurer qu’il dispose d’un consentement éclairé des personnes. Il existe deux situations possibles :

Si le vendeur a déjà recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur (parce que l’acquéreur était un partenaire commercial du vendeur et qu’au moment de la collecte des données son nom figurait dans la liste des sociétés auxquelles les données seraient transmises à des fins de prospection par voie électronique), alors l’acquéreur pourra démarcher directement les personnes ayant consenti à la transmission de leurs données à ces fins.

Si le vendeur n’a pas recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur, celui-ci doit lui-même recueillir le consentement des personnes concernées préalablement aux opérations de prospection.

L’acquéreur devra respecter les droits des personnes

Enfin, l’acquéreur devra mettre en place un moyen pour les personnes concernées d’exprimer leur refus de recevoir de nouvelles sollicitations, et ce par un moyen simple (tel qu’un lien pour se désinscrire à la fin de tout message de sollicitation par exemple) et quel que soit le canal de prospection utilisé.

De manière plus générale, l’acquéreur devra assurer le respect de l’ensemble des obligations posées par le RGPD concernant ce fichier client : durées de conservation des données, sécurité des données, respect des droits, etc.).

Les autres articles d’Anne-Lise Boulet, Juriste Consultante Protection des Données Digitemis

La CNIL a tranché : Google Analytics n’est pas RGPD-compatible

La CNIL estime que les transferts aux États-Unis des données collectées par Google Analytics sont illégaux. Et conseille si nécessaire de plus utiliser l’outil de mesure d’audience de Google. Anne-Lise Boulet, juriste consultante en Protection des Données, fait un point complet sur les conséquences de la décision de la CNIL.

Lire l’article

Amende de 400 000 euros pour la RATP: que retenir de la sanction de la CNIL?

La CNIL vient de sanctionner la RATP à hauteur de 400 000 euros. Pourquoi ? Que retenir de cette sanction ? Comment réduire les risques ?

Lire l’article
miniature article ratp sanction cnil

Je partage

Anne-Lise BOULET

Juriste consultante en protection des données personnelles chez Digitemis, j'accompagne nos clients sur les questions de conformité RGPD et de respect de la vie privée.

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article