La CNIL a sanctionné EDF qui avait notamment obtenu des données de prospects via un databroker. Cette décision est riche d’enseignements.
Un databroker est un courtier en données qui met à disposition des données de prospects.
Quand vous obtenez des données auprès d’un databroker, vous devez :
- vérifier que le databroker recueille bien le consentement de la personne dont vous récupérez les données, en exerçant des vérifications sur les formulaires de recueil du consentement utilisés.
Vous devrez être en mesure de communiquer des pièces démontrant l’obtention d’un consentement valablement recueilli auprès des personnes en cas de contrôle CNIL.
- vérifier que la liste des partenaires destinataires des données, dont votre société, figure bien sur le formulaire de collecte des données
- réaliser des audits sur les databrokers
- informer les personnes au plus tard dans un délai d’un mois de la collecte de leurs données auprès du databroker en lui précisant le nom du databroker auprès duquel ses données ont été collectées.
Il n’est pas possible de rester vague en indiquant que les “données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données” sans indiquer précisément d’où provenaient les données.