Fichier de prospection : Comment les vendre et/ou les acquérir conformément au RGPD ?
L’accès à l’information, aux offres de produits et de services s’est intensifié avec le développement d’internet et des nouvelles technologies, générant ainsi une masse de données numériques, autrement dénommée le Big Data.
En effet, la navigation sur les réseaux, la souscription de contrat en ligne (achat de biens ou de services, ouverture de comptes utilisateurs), ou encore l’utilisation de solutions logicielles sont tout autant de sources de collecte de données. Ces données peuvent être purement techniques ou bien être relatives à l’identité ou aux comportements, habitudes ou aspirations des utilisateurs.
La donnée est présentée comme l’« or noir » de la nouvelle économie numérique (« Facebook et Google, géants de la vente de données personnelles », Alain Guillemoles, La Croix, 29/12/2019). Elle constitue des sources d’information importantes et nécessaires aux innovations, à l’optimisation de solutions, à l’étude de comportement de consommation ou encore à la réalisation de transactions.
Aussi, les différents acteurs, qu’ils soient vendeurs, prestataires, éditeurs de sites internet ou de solutions logicielles, qui collectent et traitent des données, peuvent avoir un intérêt à rentabiliser la constitution de leurs fichiers client, en les exploitant et/ou en les revendant.
En effet, l’achat ou la location de fichiers client est l’un des moyens d’étoffer sa base de données pour la prospection et tenter d’atteindre une plus large clientèle.
Ainsi, que vous disposiez de fichiers client que vous souhaitez vendre, ou que vous souhaitiez les acquérir pour effectuer des campagnes de prospection commerciale, des règles s’appliquent.
1. Les informations contenues dans les fichiers de prospection : des données à caractère personnel ?
1.1. Comment identifier des données à caractère personnel ?
Les typologies de données contenues dans ce type de fichiers peuvent être nombreuses. On pense aux noms et prénoms, adresse de contact (courriel, postal, numéro de téléphone), aux données de consommation (types d’achat, quantité), aux données relatives au profil d’une personne (tranche d’âge, genre, centre d‘intérêt, profession).
Par exemple, dans une décision de l’Autorité de la concurrence française (Décision 14-MC-02 du 9 Septembre 2014), le fichier client de l’entreprise GDF dont il était question incluait des coordonnées, des informations techniques et des données de consommation, donc des données personnelles.
Ces données, dès lors qu’elles ont trait à une personne physique identifiée ou identifiable sont qualifiées de « données à caractère personnel » au sens du Règlement (UE) 2016/679 du 27 avril 2016 dit Règlement européen sur la protection des données à caractère personnel ou « RGPD ».
Il convient de préciser qu’un fichier client qui ne contiendrait que des données relatives à des sociétés ou organisations (personnes morales), avec pour adresse de courriel, des adresses génériques de types « contact@société.fr » n’est pas soumise au RGPD et à la Loi Informatique et Libertés dans la mesure où lesdites données ne sont pas qualifiées de données à caractère personnel.
En revanche, si le fichier client contient des données se rapportant à une personne physique identifiée ou identifiable (par exemple, les prénoms (Jean), noms (X), adresses de courriel (jean.x@adressemail.com) d’une personne physique), la constitution et l’utilisation de ce fichier seront soumises à l’ensemble des règles relatives à la protection des données à caractère personnel.
Ces règles sont principalement prévues par deux textes : le règlement européen susmentionné ou « RGPD » et la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés ».
1.2. Quelles sont les règles et bonnes pratiques à suivre pour constituer et exploiter votre fichier client ?
La constitution d’un fichier client et l’envoi de sollicitations commerciales par voie électronique
Dans le cas où vous constituez un fichier pour l’envoi de messages de sollicitations commerciales, il convient de distinguer différents types de catégories de personnes, selon les critères suivants :
- La typologie de relation commerciale que vous entretenez avec eux :
o Vos clients, c’est-à-dire ceux avec lesquels vous avez signé un contrat
o Vos prospects – c’est-à-dire, ceux avec lesquels vous n’avez pas encore conclu de contrat mais qui pourraient être intéressés par votre offre de produit et/ou de service ;
- La typologie de personnes concernées par vos offres :
o Les clients/prospects professionnels – c’est-à-dire les personnes qui agissent dans le cadre de leurs activités commerciales, industrielles, artisanales, libérales ou agricoles
o Les clients/prospects consommateurs – c’est-à-dire les personnes agissant dans le cadre de leurs activités personnelles.
Auprès de vos clients et prospects consommateurs, le principe est que vous devez recueillir préalablement leur accord exprès à recevoir des messages de sollicitation commerciale. Ce consentement doit être recueilli au moment de la collecte de leurs données, de manière libre et explicite.
Une exception existe concernant vos clients consommateurs auxquels il vous est possible d’envoyer des sollicitations commerciales pour des produits et/ou services similaires à ceux antérieurement souscrits. Pour cela, vous n’avez pas besoin de recueillir leur consentement préalable. Les clients concernés doivent toutefois avoir été préalablement informés d’un tel traitement et avoir la possibilité de s’opposer à la réception de tel message par le biais notamment d’un lien de désinscription présent sur les e-mails de prospection.
Enfin, si vos clients/prospects sont des professionnels, la sollicitation doit être en rapport avec la profession des personnes concernées. Vous devez les informer du traitement de leurs données à des fins de prospection et les mettre en mesure de s’opposer à cette utilisation, sans que le consentement de la personne concernée préalablement à l’envoi de tels messages ne soit exigé.
La vente d’un fichier client
Si vous souhaitez vendre votre fichier client, c’est-à-dire transmettre des données à des partenaires commerciaux pour que ceux-ci réalisent des opérations de prospection commerciale par voie électronique (courriel ou SMS), vous devez préalablement, au moment de la collecte des données :
- Informer la personne concernée sur la transmission de ses données à des partenaires ;
- Recueillir son consentement à la transmission de ses données à des partenaires (par exemple, par le biais d’une case à cocher sous un formulaire de collecte) ;
- Communiquer la liste des partenaires et notifier, le cas échéant, la mise à jour de cette liste lorsqu’il y a de nouveaux partenaires ;
- Dans le contrat signé avec vos partenaires, les informer du fait qu’ils devront, lors de la première communication aux personnes concernées, indiquer la manière pour elles d’exercer leurs droits, notamment d’opposition, et d’où proviennent les données utilisées.
Attention, les partenaires pour lesquels le consentement de la personne concernée a été recueilli ne peuvent pas transmettre lesdites données à d’autres partenaires. En effet, le consentement ne vaut que pour les partenaires figurant sur la liste communiquée au moment de la collecte. S’ils souhaitent partager les données à de nouveaux partenaires, ils doivent de nouveau recueillir le consentement de la personne concernée.
Aussi, si vous souhaitez acquérir un fichier client, vous devez vous assurer que le vendeur a bien recueilli le consentement des personnes dont les données sont contenues dans le fichier. Lors de la première communication aux personnes concernées, vous avez l’obligation d’indiquer la manière pour elles d’exercer leurs droits, notamment d’opposition, et d’où proviennent les données utilisées (la source des données).
2. L’ensemble du fichier client : une base de données au sens du Code de la propriété intellectuelle ?
Le Code de la propriété intellectuelle accorde un droit de propriété au producteur d’une base de données. Ce droit est dit sui generis et porte sur le contenu de la base de données lorsque la constitution, la vérification ou la présentation de celui-ci atteste d'un investissement financier, matériel ou humain substantiel.
2.1. Qu’est-ce qu’une base de données et comment la protège-t-on ?
L’article L. 112-3 alinéa 2 définit la base de données comme « un recueil d'œuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen ».
Un fichier contenant des données doit, pour être caractérisé de base de données, constitué :
- D’éléments indépendants
La base doit être constituée d’éléments indépendants. Ainsi, pour qualifier de base de données un calendrier de rencontres de football, la Cour de justice avait précisé que les éléments devaient être « séparables les uns des autres sans que la valeur de leur contenu informatif, littéraire, artistique, musical ou autre s'en trouve affectée » (CJCE, 9 nov. 2004, aff. C-444/02).
- D’éléments organisés
Les éléments doivent être disposés de manière systématique ou méthodique et individuellement accessibles. A titre d’illustration, toujours s'agissant d'un calendrier de rencontres de football, dans l'affaire citée ci-dessus, la Cour de justice a estimé que si la disposition systématique ou méthodique n'a pas à être « physiquement visible », elle « implique que le recueil figure sur un support fixe » et qu'il puisse être interrogé soit par un moyen technique ou par l'intermédiaire d'« un index, une table des matières un plan ou un mode de classement particulier [...] permettant de retrouver chacun de ses éléments constitutifs ».
Une base de données peut être protégée uniquement si sa constitution a entraîné un investissement de la part du producteur. En effet, l’article L.341-1 du Code de la propriété intellectuelle reconnait un droit au producteur lorsque « la constitution, la vérification ou la présentation de celui-ci atteste d'un investissement financier, matériel ou humain substantiel ».
2.2. Quels sont les droits du producteur de la base de données ?
Lorsque le droit du producteur est reconnu, son titulaire dispose :
- D’un droit d’extraction, correspondant au « transfert permanent ou temporaire de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu d'une base de données sur un autre support, par tout moyen et sous toute forme que ce soit » ;
- D’un droit de réutilisation, définie comme « la mise à la disposition du public de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu'en soit la forme » ;
- D’un droit de distribution.
L’attribution de tels droits permet alors au producteur d’interdire l’extraction, la réutilisation et/ou la distribution de parties substantielles de la base.
Ainsi, lorsqu’il concède des droits sur la base de données à une tierce personne, le producteur peut vouloir consolider la protection de la base de données par la conclusion d'un contrat avec l'utilisateur conditionnant l'accès aux données et précisant les modalités d'utilisation de celles-ci. Ce contrat doit notamment préciser si cette autorisation est prévue à titre gratuit ou à titre onéreux et si elle concerne une utilisation commerciale de ces données.
Enfin, il convient de préciser que dès lors que la base de données inclut des données à caractère personnel, les règles et obligations du RGPD et de la Loi Informatique et Libertés s’appliquent.
Le contrat d’autorisation devra alors limiter le domaine d’utilisation des données aux usages autorisés par le RGPD et la Loi Informatique et Libertés.
Par exemple, en cas d’autorisation d’extraction de la base de données pour effectuer des opérations de prospection commerciale, le producteur devra s’assurer que le consentement des personnes concernées a été recueilli préalablement et l’acquéreur devra, lors de la première communication aux personnes concernées, indiquer la manière pour elles d’exercer leurs droits, notamment du droit d’opposition, et d’où proviennent les données utilisées.
Enfin, eu égard aux gains tirés de la collecte et de l’exploitation des données à caractère personnel, plusieurs sociétés se sont lancées dans la monétisation des données. L’on peut citer, à titre d’illustration, la société WeWard qui permet de gagner de l’argent en partageant ses données de géolocalisation.
L’un des arguments de la monétisation des données est qu’elle permettrait aux personnes concernées de reprendre le contrôle sur leurs données. Ce business reste encore à ce jour controversé dans la mesure où il pourrait accentuer les inégalités entre les citoyens, suivant leur situation financière.
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Par Caroline Demangeon, Avocate et Justine Cabanis, DPO, pour le blog La Robe Numérique
Sources :