Ce que vous devez savoir.

Dans le cadre d'une transaction commerciale, la base de données clients est souvent un élément important de l'entreprise cible. En tant que cessionnaire, vous désirez bien évidemment pouvoir continuer à contacter aux clients répertoriées dans cette base de données à des fins de marketing direct. Cependant, l'utilisation ultérieure de ces données à caractère personnel à des fins de marketing direct ne va pas de soi du point de vue de la protection de la vie privée.

Les entreprises actives dans le commerce de données à caractère personnel doivent obtenir le consentement préalable des personnes concernées avant de pouvoir vendre les données personnelles à des tiers (voir, entre autres, la recommandation 01/2020 de l'Autorité belge de protection des données [actuellement uniquement disponible en néerlandais]). L'extension de ce raisonnement aux transactions commerciales rendrait les choses particulièrement difficiles. En effet, aucune transaction ne pourrait alors avoir lieu sans le consentement d'un nombre (suffisamment important) de clients, ce qui ne peut être le but recherché. Cette exigence ne s’applique pas nécessairement en cas de fusion, de scission ou d’acquisition et, dans ce cas, il est autorisé de se fonder sur la base juridique du cédant. Cela suppose néanmoins que le cédant traite les données à caractère personnel de manière licite que les deux sociétés soient transparentes sur le transfert des données et que le cessionnaire utilise les données à caractère personnel à des fins identiques.

Ce que vous devez faire.

Dans le cadre d’une enquête de diligence raisonnable, vous devez avant tout vérifier si le cédant traite la base de données des clients de manière légitime : est-ce qu'un consentement valide est demandé pour être sujet à du marketing direct, ou le cédant peut-elle invoquer la base juridique de l'intérêt légitime ? Est-ce qu'un droit d'opposition réel et effectif existe pour les personnes concernées ? A défaut, le cédant traite les données en question en infraction aux dispositions du RGPD, ce qui rend également illégale l'utilisation ultérieure de ces données par vous, en tant que cessionnaire.

Si le responsable du traitement est remplacé à la suite de la transaction (ou l'un des responsables conjoints), par exemple dans le cas d'une transaction d'actifs, les éléments suivants doivent également être pris en compte. 

Le cédant doit informer les personnes concernées du transfert de leurs données à caractère personnel dans le cadre d'une transaction commerciale. Il est conseillé à toute entreprise d'inclure une telle possibilité dans sa politique de confidentialité. Si tel n'est pas le cas, une nouvelle communication devra de toute manière être envoyée aux personnes concernées avant que le transfert n'ait lieu.

En tant que cessionnaire, vous devez informer les personnes concernées après le transfert concernant votre identité, des finalités et des activités de traitement pour lesquelles les données à caractère personnel seront utilisées, des données traitées, des éventuels (nouveaux) destinataires des données et des droits dont disposent les personnes concernées. Cela peut se faire par une communication générale après la transaction (éventuellement avec une référence à la politique de confidentialité détaillée sur votre site web). 

Si vous utilisez les données à caractère personnel pour la même finalité que celui pour laquelle le cédant les utilisait (c'est-à-dire pour contacter les personnes concernées au sujet des produits ou services du cédant), ce traitement ultérieur est susceptible d'être compatible avec cette finalité initial et vous pourrez donc continuer à contacter les personnes concernées. 

Lorsque vous souhaitez utiliser les données à caractère personnel pur d’autres finalités obtenues à d'autres fins (par exemple, le marketing direct pour d'autres produits ou services de votre entreprise), vous devrez disposer d'une base juridique distincte pour ce traitement ultérieur. Il est fort probable qu’une autorité de protection des données considère cette finalité (différente) comme incompatible avec la finalité initiale. De ce fait, vous devrez obtenir le consentement des personnes concernées pour l'utilisation de leurs données à ces autres finalités (article 5.1 b) en liaison avec l'article 6.4 de la RGPD). Dans une décision récente [actuellement uniquement disponible en néerlandais], l'Autorité belge de protection des données semble indiquer que les autres motifs légaux de l'article 6.1 du RGPD peuvent également être pris en compte, par exemple l'intérêt légitime; toutefois, en cas de traitement ultérieur incompatible, il est peu probable que les conditions du "test de pondération" soit remplies.

Enfin, vous ne devez bien entendu pas perdre de vue les autres obligations du RGPD lorsque vous écrivez aux clients à des fins de marketing direct, comme celle de proposer une option de désinscription.