Les données personnelles des clients peuvent-elles être transmises d’une société à une autre à l’insu des clients ?
La société financière X organise un événement de marketing.
Aux fins de développer son activité, elle requiert et obtient de sa société d’audit, Y, le fichier clients de celle-ci.
C’est ainsi que deux milles invitations à l’événement sont envoyées. Z, client de Y, se rend à l’évènement et reconnaît un des cadres de celle-ci. Il interpelle X sur l’origine de ses données personnelles.
X ne peut pas répondre, car il a interconnecté plusieurs fichiers pour créer le fichier « Prospects ». Z interpelle alors Y sur la communication faite de ses données personnelles.
La confidentialité de mise dans le monde de l’audit est violée, ce qui fait scandale.
Recommandations
Les principes applicables au traitement des données personnelles prévus par la loi fédérale sur la protection des données (LPD), prévoient en particulier que la collecte et le traitement doivent être transparents, et les données traitées de manière confidentielle sauf si le contraire est prévu. Cela implique que les données personnelles de clients, ou de collaborateurs, ne peuvent pas être transféré à des entreprises tierces à l’insu des personnes concernées. Le transfert peut être licite il découle de la loi, du contrat ou de conditions générales, ou que les personnes concernées y ont elles-mêmes consenti.
Principes de base
art. 4 LPD Transparence, art. 7 Sécurité (confidentialité)
Ressources
Voir les informations du PFPDT sur la responsabilité des entreprises en matière de données personnelles :