@Olivier_Feldman bien fait en effet c’est possible. Je n’ai pas encore vu de prestataire qui ont des base de données vraiment clean de ce point de vue là.
3- La location de bases de données désormais mieux encadrée
S’agissant des données Third-Party, le RGPD considère deux responsables de leur traitement : l’entreprise qui met à disposition sa base et celle qui l’utilise. La première doit avoir informé des finalités de la collecte et de la « cession » à des tiers et doit permettre à la personne concernée de s’y opposer. La seconde entreprise doit informer les personnes, notamment quant à l’origine des données (article 14 du RGPD).
En matière de respect de la nouvelle réglementation avec les sous-traitants, il y a une obligation de formaliser contractuellement certaines obligations. Si le sous-traitant y manque, alors sa responsabilité pourra être engagée au regard de la réglementation sur la protection des données.
La règle à respecter est celle du droit d’opposition : dans ce cas de figure, l’utilisateur devra avoir coché une case explicitant qu’il accepte que ses données soient transférées à des sites partenaires.
Source : http://www.cabestan.com/adapter-vos-emails-marketing-a-nouvelle-reglementation-rgpd/
La phrase l’utilisateur devra avoir coché une case explicitant qu’il accepte que ses données soient transférées à des sites partenaires est essentielle.
Un cas illustré :
Le RGPD exige que les consommateurs soient clairement avisés chaque fois que leurs données personnelles seront utilisées, sans option pré-cochée ni obligation d’accepter les conditions contre l’accès à un produit ou un service.
A partir du 25 mai 2018, les utilisateurs devront cocher une case, s’ils le souhaitent, disant « Nous avons l’intention de vendre vos informations à des courtiers en données, si bien que d’autres sociétés pourront vous envoyer des offres spontanément et suivre vos mouvements en ligne . »[1] . Autant dire que très peu – voire pas – de personnes donneront leur accord afin que leurs données soient revendues à d’autres entreprises.
Il semblerait donc que la fin des données tierce partie en Europe soit annoncée. Pour rappel, les données tierce partie sont « des données de ciblage publicitaire ou marketing Internet qui sont fournies à l’annonceur par une société tierce autre que l’éditeur utilisé comme site support pour une campagne ».[2] La nécessité d’une audience primaire
Seules les listes 100% opt-in seront utilisables légalement : les entreprises pourront continuer à renforcer leur base de données avec des contacts issus d’opt-in partenaires, mais devront fournir la preuve que ces contacts ont bien coché la case prévues à cet effet.
Source : https://www.redsen-consulting.com/fr/inspired/compliance/rgpd-donnees-tierce-partie
Même une entreprise comme CocaCola ne peux pas partager les données d’une marque à une autre. Par exemple une données récupérer sur le site de Fanta ne peux pas être ré-utilisé par CocaCola.
@Olivier_Feldman si tu connais des prestataires qui sont clean sur le sujet RGPD (et qui sont OK pour se faire auditer) je suis prêt à échanger avec eux. Je n’en connait pas et pourtant c’est une bonne partie de mon quotidien. 
Au plaisir de continuer la discussion,
Pierre