Nous faisons tous des achats sur internet, nous recevons des validations par SMS de rendez-vous médicaux sur « Doctolib », des confirmations de rendez-vous chez nos coiffeurs par exemple sur « Planity ». Nous détenons pour beaucoup d’entre nous des cartes de fidélités ou d’abonnements de nos enseignes favorites sur le net et de nos magasins préférés. Lorsque nous lisons un article en ligne, nous acceptons bien souvent les « cookies » sans même prendre le temps d’aller regarder la liste des autorisations que nous donnons implicitement. Ces informations vont être enregistrées, elles vont permettre de nous identifier et de mémoriser le type d’achats que nous faisons et de suivre notre navigation à des fins d’analyses statistiques ou publicitaires…Nous pourrions continuer à énumérer à l’infini bien d’autres possibilités de prendre possession sans notre consentement de nos données personnelles et sensibles. Par exemple, grâce à notre carte vitale les informations sur les médicaments que nous prenons peuvent être transmises à des fins de vérifications de stocks et d’analyses statistiques à des sites dédiés.

Ce marché extrêmement lucratif est en pleine expansion et fait l’objet de transactions illégales par des entreprises spécialisées qui en font commerce en transgressant toutes les règles de la protection des données telles qu’elles figurent dans le RGPD. Et nous ne parlons pas ici de celles qui sont volées par des logiciels espions…

Ce qui est absolument scandaleux c’est que ces opérations se font parfois, à l’initiative de professionnels parfaitement légitimes, dans lesquels nous devrions pouvoir avoir confiance car ils sont sensés ne pas ignorer la Loi. Ils ont pignon sur rue, affichent publiquement leurs propositions de vente de fichiers de données personnelles sans que cela ne fasse réagir, à quelques exceptions près, les médias.

Le dernier exemple en date est édifiant : 

Le mercredi 7 décembre 2022 à 14H00, Camaïeu, via son mandataire judiciaire, proposait la vente aux enchères publiques de l’intégralité de ses actifs immatériels : la marque, le nom de domaine, les logos et… ses fichiers clients. Mise à prix : 500.000 euros. Ce fichier ne comportait rien moins de 3,8 millions de clients, et l’on peut légitiment douter que le consentement de chacun d’entre eux ait été recueilli. Ou bien les opérateurs de cette vente manquaient de compétence juridique, ou bien ce mercredi 7 décembre allait devenir un vrai scandale par l’absence totale de respect du RGPD qui date pourtant de 2018.

La CNIL, garante de la bonne application du règlement en France, a publié une réponse très claire ce lundi 5 décembre sur son site.  Sans jamais citer Camaïeu, elle rappelle les obligations de la législation en vigueur sur la protection des données en ce qui concerne la vente d’un fichier clients. Une telle vente n’est pas illégale, mais l’entreprise doit tout d’abord céder des fichiers qui sont licites. Par ailleurs, la CNIL précise que l’entreprise doit rappeler à ses clients qu’ils ont la capacité de s’opposer à ce que leurs coordonnées postales soient mises à disposition d’organismes extérieurs à des fins de prospection. Enfin, elle rappelle que l’entreprise doit impérativement recueillir le consentement exprès de ses clients si les fichiers qui sont cédés contiennent des adresses électroniques (article L.34-5 du code des postes et des communications électroniques). 

Camaïeu étant placée en liquidation judiciaire, c’est donc son mandataire judiciaire qui devait veiller au respect strict de toutes les conditions mentionnées ci-dessus à savoir : les fichiers mis en vente sont-ils licites, contiennent-ils des adresses postales, contiennent-ils des adresses mails ? 

Suite à l’alerte lancée par notre Institut sur les réseaux sociaux, l’affaire a donc pu être portée à la connaissance d’un plus grand nombre de personnes et plusieurs spécialistes du droit et de la protection des données ont ainsi relayé l’information.  Nous nous félicitons de l’issue de cette action commune puisque dès le lundi 5 décembre dans l’après-midi, nous avons appris que la vente du fichier avait été abandonnée pour « des questions de conformité à la législation RGPD ».

CELIO le mercredi 7 décembre a racheté outre des lots de vêtements et accessoires, la marque, les logos et les noms de domaines de Camaïeu pour un montant de 1.8 million d’euros. Le fichier-clients ne figure pas dans la transaction. Interrogé sur ce point avant la mise en vente, le mandataire judiciaire avait indiqué que cette décision était « regrettable car la valeur du nom de l’enseigne pourrait être diminuée par le renoncement à recourir à cette base de données » C’est justement là que se situe la pierre d’achoppement : tirer un bénéfice substantiel de la vente de données personnelles de particuliers sans avoir recueilli au préalable leur consentement exprès, est formellement interdit par le RGPD. Si ce fichier devait un jour être vendu ou si CELIO, ce qui est vraisemblable souhaite le racheter, il est en revanche incontestable que le représentant légal du vendeur et le futur acquéreur des données de Camaïeu vont devoir se conformer à la législation en vigueur, c’est-à-dire recueillir le consentement des 3,8 millions de clients répertoriés pour l’un et proposer à ces mêmes clients un droit de supprimer leurs données à tout moment pour l’autre.  

Par ailleurs, l’acheteur ne pourra exploiter ces données que de la même manière que le faisait CamaÏeu. En clair, il ne pourra pas en étendre l’utilisation sous peine de très importantes amendes. 

Cette affaire en elle-même était très délicate et méritait d’être soulignée. En effet, dans  le cas de Camaïeu, la Société n’ayant  pas été reprise lors  de la décision de liquidation le 28 septembre dernier,  le fichier des clients risquait de se retrouver au moment de la vente aux enchères,  à la merci d’une structure dont on ignorait l’identité, le statut juridique,  la probité,  n’exerçant pas nécessairement une activité similaire à celle de Camaïeu, et surtout on prenait le risque  qu’elle soit localisée sur un continent où  ne s’appliquent pas les règles protectrices du RGPD  et qui aurait pu disposer de données personnelles de tiers  à des fins pas toujours avouables. Le commissaire a indiqué que « seuls 20% des enchérisseurs avaient manifesté de l’intérêt pour ce fichier en déposant une caution de 50 000 euros » Ce n’est pas si négligeable qu’il n’y paraît et l’Institut considère même que 20% de personnes physiques ou morales dont on ignorait tout, susceptibles de s’approprier des données de particuliers sans leur consentement ce n’est pas rien et c’est une infraction au regard du droit des personnes.

Nous devons rester très vigilants sur les risques liés à nos données à caractère personnel et à leur utilisation.

Nous laissons beaucoup de traces et nous n’en sommes pas toujours conscients. Il faut absolument imposer le respect de nos vies privées dont la transgression peut avoir de graves conséquences. Mobilisons-nous pour que leur exploitation soit soumise à davantage de contrôles pour juguler les nombreux dommages co-latéraux qui peuvent aller jusqu’à l’usurpation de notre identité.

Sources : 

• Article L.34-5 du code des postes et des communications électroniques : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155961/
• Cession ou échange de fichiers entre organismes commerciaux : est-ce légal ? : https://www.cnil.fr/fr/cnil-direct/question/cession-ou-echange-de-fichiers-entre-organismes-commerciaux-est-ce-legal
• Modalités et conditions de revente d’un fichiers de clients via internet : https://www.cgv-expert.fr/prestation-conformite-rgpd/modalites-conditions-revente-fichier-clients