Vendre et acheter des données client : est-ce légal ?

C’est la question que beaucoup de prospects nous posent, et à juste titre. On entend souvent parler de données personnelles en vente libre sur Internet, de scraping, de prospection hors de contrôle, d’achat illégal de données piratées …

Toutes ces informations (particulièrement rediffusées dans les média), détériorent la compréhension globale du sujet de la vente et de l’achat de données marketing. Cet article a pour visée de faire le point, en synthétisant les réglementations principales mais également les bonnes pratiques. 

Alors, est-ce légal pour une entreprise de vendre et d’acheter des données personnelles ? 

 

Vendre des données client

Commençons par le commencement : OUI, il est tout à fait possible et légal de vendre des données personnelles de clients / prospects.  Mais pas n’importe comment, et sous certaines conditions. Les métiers de la vente et de l’achat de données clients & prospects sont encadrés par plusieurs ensembles de lois et d’institution. 

Que dit la CNIL (Commission Nationale de l’Informatique et des Libertés) à ce sujet ? 

“La revente de données est légale à partir du moment où l’on vous a demandé votre accord et que vous avez accepté.”

Bien évidemment, l’individu ayant accepté que ses données personnelles soient transmises à des partenaires commerciaux peut changer d’avis et le signifier, ainsi ses données personnelles ne devront plus être échangées. 

Pour une entreprise, vendre des données personnelles est donc bien légal. Ceci dit, beaucoup de données personnelles sont aujourd’hui vendues, exploitées et traitées sans le consentement explicite de l’utilisateur : à ce moment, ces pratiques sont illégales et répréhensibles par la CNIL.

Par exemple, il arrive régulièrement que certaines entreprises vous appellent à des fins de prospection sans que vous ayez préalablement donné votre consentement. Cette pratique est frauduleuse, et l’utilisateur concerné par des appels intempestifs a le droit de demander la suppression de ses données personnelles, et même de faire une notification à la CNIL. 

Avant même la vente, les entreprises doivent également se mettre en conformité sur les règles de collecte de données. 

la loi informatique et libertés énumère des principes stricts. Ces principes sont au nombre de 5 ; 

  •   Principe de finalité : l’entreprise doit vous dire comment les données sont utilisées
  •   Principe de pertinence : les données récoltées doivent être réduites au minimum nécessaire
  •   Principe de conservation : le temps de conservation des données est limité à l’atteinte des objectifs fixés par l’entreprise
  •   Principe des droits : l’internaute a le droit de modifier ses données, d’y accéder et de les faire supprimer s’il le souhaite
  •   Principe de sécurité : les données doivent être sécurisées lors du stockage ET de l’échange

 

Acheter des données client

 Bien évidemment, si la vente est légale, l’achat l’est aussi. Encore faut-il créer les conditions nécessaires à la l’achat d’un fichier en bonne et due forme : 

  Vérifier la qualité du fichier : est-ce que les informations sont fiables ? Pouvez-vous tracer la source du fichier, la récence et la fréquence de mise à jour des données ?  Les données dans le fichier sont-elles normalisées et donc correctement exploitables ? 

  Informer les personnes figurant dans le fichier dès l’enregistrement de ce dernier, les informer du contexte dans lequel vous utilisez leurs données (prospection? revente ? partage avec un partenaire ? traitements divers ?)

  Permettre aux utilisateurs de demander l’accès à leurs données, de demander la modification ou la suppression de leurs données simplement et gratuitement lors des campagnes de prospection et autres mises en relation. 

Pour conclure : Acheter et vendre des données est bien possible, ceci dit, comme dans tout métier, il est essentiel de procéder méthodiquement et bien évidemment de respecter les lois en vigueur. 

Respecter ces principes est l’assurance d’une relation de confiance (et de long terme) avec les prospects et clients !

 

https://www.berton-associes.fr/blog/droit-de-l-internet/achat-fichier-email-aspects-juridiques/

https://www.companeo.com/fichiers-de-prospection/guide/fichiers-clients-:-les-limites-juridiques

 https://www.cnil.fr/fr/transmission-des-donnees-des-partenaires-des-fins-de-prospection-electronique-quels-sont-les

https://www.avocats-mathias.com/donnees-personnelles/achat-fichier-clients

https://www.actu-juridique.fr/ntic-medias-presse/la-vente-et-la-location-de-fichiers-de-donnees-a-caractere-personnel-a-lere-du-reglement-general-europeen-sur-la-protection-des-donnees-personnelles/

 

Leak de données sur Facebook & Linkedin : ce que cela signifie pour les utilisateurs et les entreprises

Sur ce blog, nous traitons régulièrement de sujets relatifs à la sécurité des données, à l’anonymisation et l’hébergement. Nous avons également parlé de l’importance pour les entreprises comme pour les citoyens de reprendre le contrôle de leurs données relationnelles. Le leak de données de Facebook agrège toutes ces problématiques, et nous en parlons ici !

Si vous n’avez pas suivi l’actualité, voilà l’essentiel 

  • 20 millions de données personnelles de français en accès libre sur des forums de hackers. On parle ici de données relationnelles (ID, email, téléphone, adresse postale, ville) mais également des données sociodémographiques et des données d’appétences. 
  • 533 millions d’utilisateurs de Facebook sont concernés au niveau mondial, soit pratiquement 1 compte sur 5 enregistré sur la plateforme. 
  • Fait notable :  le numéro de téléphone de Marc Zuckerberg a été signalé parmi les données hackées. 
  • A l’instant même où cet article est écrit, on apprend que Linkedin est également victime d’un hack concernant les données de plus de 500 millions de données personnelles.

 

Les risques d’une divulgation malveillante de données 

  • Usurpation d’identité : les identités des utilisateurs peuvent être utilisées lors de paiement online, sur des plateformes où seules les données personnelles font acte de foi. 
  • Phishing, arnaques et extorsions : bien évidemment, l’usurpation d’identité peut être déclinée sous plusieurs formes d’arnaques et d’extorsions sur le web. L’accès direct aux numéros de téléphone permet aux acheteurs de données malveillantes de contourner aisément les protocoles de sécurité bancaires de double authentification, lors d’un achat fait par carte bleue sur le web. 

 

Comment savoir si vos données personnelles ont été hackées ? 

Rendez-vous sur le site https://haveibeenpwned.com/ et saisissez votre adresse email liée à votre compte facebook. Vous verrez immédiatement si votre compte a été sujet au leak, et verrez même si vos données ont été piratées sur d’autres leaks ! 

 

Quelles solutions pour les utilisateurs ? 

  • Préventivement, plusieurs moyens existent pour éviter ces écueils : ne pas fournir aux réseaux sociaux trop de données personnelles, éviter de lier vos données d’identification personnelle (nom, prénom, email) à des numéros de téléphone, mais également disposer de mots de passe complexes, avec des majuscules, des caractères spéciaux et des chiffres. 
  • Utilisez une adresse email secondaire lors de vos inscriptions sur des plateformes grand public.
  • Curativement, si vous êtes sujet à des tentatives de phishing et autres arnaques par téléphone, il peut s’avérer nécessaire de changer votre numéro. 

 

Comment est-ce possible ? 

La base de données utilisateur aurait été hackée en 2019 (https://www.theverge.com/2021/1/25/22249571/facebook-phone-number-hack-telegram-bot). Suite à cela, un script, accessible sur l’application de messagerie instantanée Telegram permettrait de faire des requêtes pour accéder aux données personnelles des utilisateurs piratés, en échange d’argent (20$ pour une requête, 5000$ pour 10 000 requêtes). La possibilité de faire ces requêtes signifie que les données des utilisateurs sont toujours en accès libre sur le web. 

 

Une fuite datant de 2019, et un problème toujours d’actualité. 

Le piratage des données a eu lieu il y a déjà deux ans, et pourtant, les data des utilisateurs sont toujours en accès libre, et le seront probablement encore pour plusieurs années. Le problème ici, est la transition progressive de la vente de données du dark web vers le web référencé. Sur le dark web, l’achat et la vente de données piratées est répandue et identifiée depuis plusieurs années. L’aspect inquiétant de l’affaire est la généralisation de la vente illégale de données personnelles piratées via des plateformes de messagerie grand public. 

 

Les conséquences pour les utilisateurs et les entreprises

La vie privée des utilisateurs est effectivement mise en péril. De plus, cette fuite massive met également à mal la relation de confiance que les entreprises européennes essaient  d’établir avec les consommateurs. Les fuites émanant d’entreprises desquelles les citoyens consommateurs acceptent l’utilisation de leurs données personnelles se multiplient. Le risque de cyber sécurité est une menace si réelle et constante que ses répercussions laissent craindre des crises à répétition, dans des mastodontes comme nous l’avons vu précédemment (Facebook & Linkedin) mais également dans des entreprises de taille moindre dont les données sont également une manne financière. En plus des risques de sécurité pour les utilisateurs, les risques économiques sont réels pour les entreprises, quelle que soit leur taille et leur activité.

Les acteurs de la data en France : Qui sont-ils et que font-ils ? 

Le marché de la donnée marketing se développe exponentiellement. En 2018, le marché de la donnée évoluait 3 fois plus vite que le reste de l’économie française. Ceci dit, il devient toujours plus difficile de s’y retrouver dans un marché se développant aussi vite, surtout lorsqu’on souhaite s’adresser au bon interlocuteur. Dans cet article, nous vous présentons les différents acteurs du marché de la donnée marketing.

 

Les vendeurs de données 

Commençons par les vendeurs de données. Ces entreprises, comme leur nom l’indique, vendent des données à d’autres sociétés. C’est le coeur de leur activité commerciale. Ces données peuvent être des données personnelles (à savoir des données de contact comme l’ID, le téléphone, le mail et les autres supports de contact) mais également des données socio-démographiques ou d’appétence. A noter, les vendeurs de données peuvent vendre des données B2C et B2C, mais également des données “d’entreprises”, c’est-à-dire des données sur l’IOT, de flux logistiques, des données financières et bien d’autres… 

 

Certaines entreprises monétisent leurs données : Quelle différence avec les “vendeurs de données” ?

Les entreprises vendant des données génèrent leurs revenus grâce à la vente de data.  

Mais il est également possible de “monétiser” passivement les données.

Une façon de procéder (la plus sûre en terme de sécurité et de respect du RGPD) est de mettre à disposition les bases de données de l’entreprise en les transformant en signatures (opération gratuite sur Hubbi). 

Les données ainsi illisibles, peuvent être utilisées et sorties du système d’information pour permettre de vérifier la véracité et l’authenticité des données d’autres entreprises. Ce procédé est appelé “ID Check” et permet aux sociétés monétisant leurs données de générer des revenus supplémentaires et passifs grâce à leurs données, sans sortir ces dernières de leur système d’information. Découvrez comment monétiser gratuitement vos données sur Hubbi en toute sécurité et sans charge de travail supplémentaire. 

 

Les agrégateurs de données 

Les agrégateurs de données sont spécialisés dans le “regroupement” de données. Qu’est-ce que cela signifie ? 

Les agrégateurs de données regroupent des données relationnelles (données de contact et d’identité) avec des données d’appétence, sociodémographiques ou encore transactionnelles. Ainsi, ces entreprises augmentent la valeur des données en affinant la connaissance des contacts.

Les agrégateurs de données peuvent être également appelés des “onboarders”. 

 

Les data service providers 

Les data service providers sont très nombreux, et on ne pourra malheureusement pas tous les citer, tant les usages et les besoins des entreprises se multiplient.

Voici tout de même une liste non exhaustive pour y voir un peu plus clair : 

 

Data quality management providers

Les entreprises spécialisées dans la DQM (Data Quality Management) proposent aux sociétés d’améliorer la qualité des données (services de restructuration, normalisation et validation des données), mais également des prestations d’enrichissement de données de contact (telles que l’enrichissement d’emails, de téléphones, d’adresses…). 

 

Les DMP (Data Management Platform)

proposent des solutions logicielles pour identifier les prospects visitant vos plateformes web. Les identifications de prospects sont soit effectuées via un enrichissement de cookies, soit par l’envoi de mailing disposant de trackers.

 

Les CDP (Customer Data Platform)

proposent des solutions logicielles permettant de centraliser toutes les données clients de l’entreprise en un seul et même endroit; le but final étant de créer des profils clients cohérents, et d’avoir une vision globale et unifiée des contacts dans le SI. 

 

Les hébergeurs

Toutes les entreprises ne possèdent pas l’infrastructure nécessaire pour stocker leurs données. L’essor de ce segment est lié à l’explosion du volume des données créées chaque année. 

Les sociétés proposant des services d’hébergement se sont multipliées : 18% des investissements des entreprises dans la donnée sont consacrés à l’hébergement. Elles se spécialisent aujourd’hui dans des offres plus complètes avec le cloud computing, permettant aux entreprises clientes une plus grande flexibilité et de meilleures performances de stockages, et la mise en place place rapide d’outils d’Analytics, d’IA ou de reporting.

 

Solutions analytiques 

Les acteurs de l’intelligence artificielle et de l’analyse représentent 37% du marché de la donnée en France. Les solutions d’analyse de données sont  généralement plus plébiscitées par les grands groupes. Ces dernières permettent sans connaissance technique d’établir des segmentations et de créer des vues graphiques sur des ensembles de données. 

 

Solutions de Datamining (littéralement exploration des données) 

Les solutions de datamining analysent les données afin de trouver des corrélations statistiques entre différents segments de clients / prospects ou bases de données. Le datamining est particulièrement utilisé pour comprendre et anticiper les comportements des consommateurs. 

 

Solutions de Machine Learning 

Le machine learning appliqué au marketing prend différentes formes. Généralement, les vraies solutions de machine learning ne sont pas des solutions user friendly; elles nécessitent la coordination de plusieurs métiers pour les faire fonctionner correctement (ingénieurs, data managers, développeurs, marketers…).

Ces solutions sont généralement utilisées en marketing pour trouver de nouveaux gisements de connaissances dans d’immenses volumes de données. 

 

Les solutions de machine learning sont d’ailleurs utilisées dans plusieurs domaines, bien au-delà du marketing : maintenance informatique, santé et opérations de chirurgie, conduite autonome de véhicules, aérospatiale … 

 

Les marketplace de données 

Les marketplace de données sont des OVNIs du marché de la donnée. Ce sont des plateformes permettant de mettre en lien des offreurs et des acheteurs de données / services data. Bien évidemment, Hubbi est une data marketplace ! 

Il faut cependant distinguer les marketplace de données marketing (données de contact, données sociodémographiques, données d’appétence…) et les marketplace de données d’entreprises (données sectorielles, flux logistiques, IOT…).

Hubbi data marketplace vous permet d’acheter et vendre des données en toute sécurité, sans jamais les sortir de votre système d’information ! 

Pré-inscription ici

 

*sources 

https://www.ovhcloud.com/fr/public-cloud/data-analytics/

https://www.ellisphere.com/les-chiffres-cles-du-marche-de-la-data-marketing/

https://www.e-marketing.fr/Thematique/data-1091/Breves/marche-fran-ais-data-usage-marketing-pese-milliard-euros-326442.htm#

    Saisissez votre nom complet

    Saisissez un courriel valide

    Create A product first!

    Create a product first please!