Intimement liée à la vie privée, la protection des données personnelles a été érigée au rang de droit fondamental par le RGPD1. En parallèle, la généralisation de l’utilisation des nouvelles technologies a fait de cette protection et de son caractère uniforme un enjeu étroitement lié aux principes du marché intérieur et de libre circulation au sein de l’Union européenne.
S’en est suivie une prise conscience sur le fait que le traitement de ces données représentait une source de valeur. Il est alors devenu nécessaire de penser des moyens juridiques pour opérer des « cessions » de données d’une personne à une autre sans pour autant porter atteinte à la reconnaissance de ce droit fondamental à la protection qui s’accommodait pourtant mal à l’idée d’une « patrimonialisation » des données. L’encadrement de la vente de fichiers clients ou prospects constitue un cas concret de conciliation de ces différents impératifs et a récemment fait l’objet d’un rappel des règles par la CNIL2.
1. Le respect de la réglementation comme prérequis
S’il est fréquent de s’interroger sur la conformité des traitements que l’on initie pour son propre compte, il est plus rare de s’interroger sur le fait de savoir si des données provenant d’un tiers peuvent faire l’objet d’un second traitement par une personne différente. Cette analyse est d’autant plus essentielle qu’elle conditionne la conformité de l’opération et qu’elle ne remet pas en cause l’obligation de l’acquéreur du fichier d’être en mesure de démontrer qu’il respecte ses opérations au regard du RGPD3, quand bien même ce n’est pas lui qui aurait collecté les données et les aurait traitées dans un premier temps.
Il convient ainsi de s’assurer, avant même la conclusion du contrat, que le traitement initial est conforme et a été correctement documenté. Le contenu du contrat joue par ailleurs un rôle essentiel pour se prémunir contre les risques de non-conformité du...
