Placée en liquation judiciaire en septembre dernier, Camaïeu est en train d’être démantelée. L’enseigne de prêt-à-porter, présente depuis près de 40 ans en France, comptait environ 500 magasins. Par ailleurs, sa disparition entraîne la suppression de 2 100 emplois. Parmi les éléments à vendre, il y a les produits de la marque comme les invendus et le stock ; ou des actifs immatériels. Le fichier client de Camaïeu en faisait partie et cela soulevait des interrogations. Trop sans doute pour le commissaire-priseur qui a finalement retiré le fichier clients de la vente aux enchères.
Une décision prise « par précaution » ?
« Compte tenu des contraintes liées au respect de la législation RGPD [règlement général sur la protection des données], en accord avec les organes de la procédure judiciaire, nous avons été contraints de renoncer à la mise aux enchères de ce lot », précise au Monde le comissaire-priseur Patrick Deguines. Alors que la présence de ce fichier soulevait certaines interrogations (voir ci-dessous), cette décision a été prise « par précaution » si l’on en croit maître Yvon Perin, mandataire judiciaire chargé de la liquidation de l’enseigne Camaïeu. Elle serait liée aux « obstacles juridiques » qu’impliquait cette vente, dont des « risques juridiques encourus ». Ce dernier évoque toutefois une décision « regrettable ».
Balance ton fichier !
Si ce fichier pose question, c’est parce qu’il contient les données de plus de 4 millions de clients. Il devait être vendu au plus offrant lors d’une vente aux enchères organisée par Mercier & Cie, le 7 décembre, précise le site 20 Minutes. Forcément, la vente de données n’est pas à prendre à la légère pour les anciens clients et la CNIL. En effet, une revente dans le cadre du RGPD et « dans le cadre d’une société qui ferme, c’est très compliqué et la CNIL est très attentive à ça » ; précisait à 20 Minutes Me David-Joseph Atias, responsable du développement numérique au cabinet DJS Avocats. Si l’opération « comporte des risques », c’est parce qu’elle n’était pas si courante, comme nous l’explique Daniel Markuson, expert en confidentialité chez NordVPN.
« Nous étions habitués aux ventes de fichiers sur le Darkweb mais cette fois nous parlons d’une vente officielle suite à une liquidation judiciaire. Nous pouvons imaginer que ce fichier contient adresses mail, numéros de téléphone, noms, adresses postales, habitudes d’achat etc… toutes les informations que les consommateurs donnent lorsqu’ils adhèrent à un programme fidélité ou commande sur un site. Des informations qui restent sensibles et qui rentrent sous la coupe du RGPD », précise-t-il.
Un tel achat « est quelque peu risqué » pour l’acquéreur de fichier, précise Daniel Markuson. « Ces 4 millions de consommateurs qui n’ont rien demandé, verront leurs données se retrouver aux mains du plus offrant, pour une mise à prix de 500000 euros. L’acquéreur […] devra, dans le cadre du RGPD, recueillir le consentement de ces plus de 4 millions personnes mais en plus il devra utiliser et exploiter ces données de la même manière que le faisait Camaïeu sous peine d’amendes dont le montant pourra très vite atteindre des sommets », ajoute l’expert en confidentialité du célèbre service VPN.
Les anciens clients pouvaient encore protéger leurs données personnelles
Ce fichier pas tout à fait comme les autres était susceptible d’intéresser les acheteurs. Le repreneur aurait toutefois dû composer avec des règles strictes, en obtenant à nouveau le consentement des personnes inscrites dans ce fichier dans le cadre du règlement général sur la protection des données personnelles (RGPD). Pour rappel, Camaïeu indiquait sur son site – désormais inaccessible – que la sécurisation des données des clientes « est une priorité ». « C’est pourquoi, nous mettons tout en place pour vous garantir une totale confidentialité. De la même façon, chez nous, aucune de vos données ne sera transmise à un tiers ou utilisée à des fins commerciales sans votre accord », indiquait l’entreprise.
URGENT 🚨
Une offre curieuse publiée à l’hôtel des ventes de Lille : le fichier-clients de @Camaieu_France en faillite proposé en vente mondiale aux enchères…il contient des #données de 3,8 M de clients ! pic.twitter.com/9ep3LfngjE— Jean-Marie CAVADA (@JeanMarieCAVADA) December 3, 2022
NordVPN nous alerte également sur ce que peuvent faire les anciens clients de l’enseigne pour protéger leurs données. Même si le fichier clients de Camaïeu ne sera pas vendu aux enchères, ces conseils peuvent être utiles :
- Faites supprimer vos données en contactant le DPO ( Data Protection Officer) de Camaïeu : [email protected]. Cependant, il y avait certainement peu de chance que cette démarche aboutisse ; puisque les employés de Camaïeu ont été licenciés.
- Après la vente d’un fichier client, vous allez sans doute recevoir une communication de la part de l’acquéreur – si acquéreur il y a – n’oubliez pas d’y répondre si vous souhaitez qu’il supprime vos données personnelles.
- Saisissez la CNIL si vous constatez que le RGPD n’est pas respecté. Vous le saurez si vous recevez des sollicitations commerciales d’un nouvel interlocuteur.
Enfin, le fournisseur de services VPN livre une astuce pour les adeptes de Gmail. « À l’avenir, si vous voulez savoir si une autre société autre que celle à qui vous avez confié vos données les utilise n’hésitez pas à utiliser cette astuce : un utilisateur s’appelant Pierre Paul se crée une adresse mail [email protected]. En le donnant à Camaïeu il aurait pu leur donner [email protected]. Les mails arrivent dans la même boîte de réception mais c’est un bon moyen de tracer si vos données ont été volées ou même revendues. »
La CNIL rappelle les règles
Notez que la CNIL a également souhaité rappeler les règles concernant la vente de fichier clients. Le gendarme français des données numériques précise qu’une telle vente « n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises ». Il rappelle tout d’abord que le fichier ne doit contenir que les données des clients actifs. De plus, seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues ; tandis que l’acquéreur doit assurer le respect des droits des personnes. Pour connaître tous les détails, vous pouvez consulter le post de la CNIL à ce sujet.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.