Pour les vendeurs3 min de lecture

Ce que vous avez LE DROIT de vendre (RGPD & monétisation)

Personnel ou pas ? Anonyme ou pseudonyme ? Quelle base légale pour céder ? La checklist en 5 questions pour monétiser vos données sans risque RGPD.

3 min de lecture

Ce que vous avez le droit de vendre

RGPD & monétisation des données

10 slides · glissez ou utilisez les flèches
d-nvest.com1/10

Avertissement

Ceci n'est pas un conseil juridique

Ce guide vulgarise des règles établies. Pour votre cas, consultez votre DPO, la CNIL ou un avocat.

d-nvest.com2/10

Le point de départ

Personnel, ou pas ?

Tout part de là. Une donnée qui identifie une personne (directement ou non) est « personnelle » → RGPD applicable.

RGPD, art. 4(1)

d-nvest.com3/10

La distinction clé

Anonyme ≠ pseudonyme

Anonyme (irréversible) = hors RGPD (considérant 26). Pseudonyme (réversible) = reste personnel. La CNIL exige 3 tests : individualisation, corrélation, inférence.

RGPD, considérant 26 + art. 4(5) · CNIL

d-nvest.com4/10

La condition

Une base légale pour céder

Consentement, ou intérêt légitime (avec test de mise en balance). « Vendre sous intérêt légitime » n'est PAS une règle générale.

RGPD, art. 6(1)

d-nvest.com5/10

Le piège

Revendre = finalité nouvelle

Une revente est une finalité différente de la collecte → en pratique, nouveau consentement. Des CGU acceptées « en bloc » ne suffisent pas.

RGPD, art. 5(1)(b) + 6(4) · CNIL

d-nvest.com6/10

Le cas B2B

B2B n'est pas hors RGPD

« contact@société » = hors RGPD. Mais « prenom.nom@ » ou un nom de salarié = donnée personnelle. Auto-entrepreneur : souvent personnel.

RGPD, considérant 14 · CJUE C-710/23

d-nvest.com7/10

La checklist

Puis-je vendre ? 5 questions

  • 1. La donnée est-elle personnelle ?
  • 2. Ai-je une base légale pour la céder ?
  • 3. Est-ce compatible avec la finalité initiale ?
  • 4. Les personnes sont-elles informées + peuvent s'opposer ?
  • 5. Les opposés sont-ils exclus (avec preuve) ?
d-nvest.com8/10

La preuve (sanction)

Ce n'est pas théorique

Le 15 mai 2025, la CNIL a sanctionné Solocal Marketing Services (900 000 €) et Caloga (80 000 €) pour usage/revente de données de prospection sans base légale valable.

CNIL, délibérations du 15/05/2025

d-nvest.com9/10

À retenir

La conformité, c'est de la valeur

Une donnée conforme se vend ; une donnée non conforme se sanctionne.

  • Sans base légale, la donnée ne vaut rien (et expose)
  • Privilégiez l'agrégé / l'anonymisé
  • Documentez le consentement et l'opposition
d-nvest.com10/10

Des questions sur la monétisation ou l'achat de données ?

Parlez à un expert — sans engagement.

Réserver un appel gratuit de 30 min

Le guide complet

Avant de monétiser des données, une question prime sur toutes les autres : avez-vous le droit de les vendre ? (Ce guide vulgarise des règles établies et ne constitue pas un conseil juridique : pour votre cas précis, consultez votre DPO, la CNIL ou un avocat.)

Tout commence par une distinction : la donnée est-elle personnelle ? Une donnée qui permet d'identifier une personne, directement ou indirectement, est personnelle et relève du RGPD (art. 4(1)). Vient ensuite une nuance décisive : une donnée anonyme — c'est-à-dire rendue irréversiblement non identifiante — sort du RGPD (considérant 26), tandis qu'une donnée seulement pseudonymisée reste personnelle (art. 4(5)). La CNIL impose trois tests pour parler d'anonymisation : impossibilité d'individualiser, de corréler et d'inférer.

Pour céder une donnée personnelle, il faut une base légale (art. 6(1)) : le consentement, ou l'intérêt légitime assorti d'un test de mise en balance. Attention, « vendre sous intérêt légitime » n'est pas une règle générale — c'est du cas par cas. Autre piège : revendre une donnée constitue une finalité nouvelle par rapport à la collecte (art. 5(1)(b) et 6(4)) ; en pratique, cela suppose un nouveau consentement, et des CGU acceptées « en bloc » ne valent pas consentement (CNIL). Côté prospection, le canal électronique exige un consentement préalable, tandis que la voie postale ou téléphonique peut s'appuyer sur l'intérêt légitime avec droit d'opposition.

Le B2B n'échappe pas au RGPD : une adresse générique « contact@société » est hors champ (considérant 14), mais un email nominatif « prenom.nom@ » ou le nom d'un salarié restent des données personnelles (CJUE, C-710/23) ; pour un auto-entrepreneur, les « données de l'entreprise » identifient souvent la personne. D'où une checklist en cinq questions : la donnée est-elle personnelle ? Ai-je une base légale pour la céder ? Est-ce compatible avec la finalité initiale ? Les personnes sont-elles informées et peuvent-elles s'opposer ? Les opposés sont-ils exclus, preuve à l'appui ?

Ce n'est pas théorique : le 15 mai 2025, la CNIL a sanctionné Solocal Marketing Services (900 000 €) et Caloga (80 000 €) pour usage et revente de données de prospection sans base légale valable. La leçon : une donnée conforme se vend, une donnée non conforme se sanctionne. Privilégiez l'agrégé et l'anonymisé, et faites qualifier vos données avant de les mettre sur le marché.

Sources

Contenu pédagogique — pas un conseil juridique ni financier. Chaque chiffre porte sa source et son année.

Ce que vous avez LE DROIT de vendre (RGPD & monétisation) — d-nvest | d-nvest