Achat ou location de fichier, qu'impose la RGPD ?

Vous souhaitez acheter un fichier de clients avec des données à caractère personnel ? Voici les précautions à prendre pour être en conformité avec le RGPD.

Une fois que vous avez acheté ou loué un fichier, vous êtes soumis à des obligations en matière de protection des données personnelles. 

Vérifiez que le fichier a été déclaré à la CNIL

Une entreprise qui vend ou loue un fichier client contenant des données personnelles de personnes physiques a l’obligation de déclarer ce fichier à la CNIL selon l’article 3 de la loi Informatique et Libertés. Dans le cas contraire, la cession peut être frappée de nullité.

De votre côté, dès lors que vous souhaitez acheter ou louer un fichier contenant des données personnelles, vos devez vous assurer que le fichier est conforme à la loi Informatique et Libertés. Vous pouvez donc demander au prestataire de vous apporter la preuve de la déclaration du fichier auprès de la CNIL ou de son inscription au registre du Correspondant Informatique et Libertés (CIL).

Contrôlez la qualité du fichier

La collecte de données à caractère personnel est encadrée par cinq grands principes clé de la protection des données personnelles :

  • La finalité du traitement
  • La pertinence des données
  • La conservation limitée des données
  • La sécurité des données
  • Le respect des droits des personnes. 

On retrouve ces principes dans l’article 5 de la proposition de règlement européen en matière de collecte et d’utilisation des données personnelles de personnes physiques. Il faut également préciser que les personnes concernées par la collecte de données doivent être informées et donner leur consentement. Vous devez donc être vigilant quant à la qualité du fichier acquis en vous appuyant sur les cinq principes mentionnées ci-dessus.

Informez les personnes qui figurent dans le fichier

Lorsque vous achetez ou louez un fichier chez un prestataire, vous procédez une collecte indirecte de données personnelles, selon l’article 32, III de la loi Informatique et Libertés « Lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données ». L’entreprise qui acquiert un fichier de clients se doit ainsi d’informer les personnes dont les données figurent dans ledit fichier dès l’enregistrement des données.

Mettez en place une stratégie d’Inbound pour constituer votre propre fichier

Vous l’aurez compris, le consentement est le point principal de la collecte de données car à tout moment une personne peut revenir sur son consentement et récupérer ses données. Ce cas de figure a de grandes chances de se produire si elle est contactée par une entreprise qu’elle ne connaît pas et qui a obtenu ses coordonnées via l’achat ou la location d’un fichier client. Vous devez en outre leur donner la possibilité de récupérer et de supprimer les données les concernant.

La meilleure méthode pour obtenir des adresses de façon durable tout en étant en conformité avec le RGPD est l’inbound marketing qui permet de remplir les conditions du consentement. Avec cette technique, le prospect est attiré grâce à des contenus intelligents et pertinents et non plus sollicité par de la publicité.

Comment Trouver des Clients grâce à l'Achat ou la Location de Fichier ?