L’adoption du Règlement Général sur la Protection des Données (RGPD) en 2018 a changé la donne dans le domaine de la prospection commerciale B2B et le traitement des données personnelles. Depuis l’entrée en vigueur de la réglementation, et par suite des premières sanctions prononcées par la CNIL (Commission de l’informatique et des libertés), les bonnes pratiques RGPD en prospection commercial B2B se dessinent avec plus de précision.
Quelles sont les précautions à prendre pour être en accord avec le RGPD lors de la création de ses fichiers clients en prospection commerciale ?
Que définit le RGPD et quelles sont ses applications ?
Le RGPD, ou Règlement Général sur la Protection des Données, est un texte européen qui fixe les règles applicables à la collecte, au stockage et à l’utilisation des données personnelles.
Pour définir une donnée personnelle : Toute information se rapportant à une personne physique identifiée ou identifiable » est considérée comme une donnée à caractère personnel au titre du RGPD (Source : CNIL). Un courriel professionnel contenant le nom, le prénom ou les initiales d’un prospect s’apparente donc à une donnée personnelle et tombe sous le coup du RGPD.
Applications :
- Le RGPD est applicable à toutes les structures et organisations implantées dans l’UE (Union européenne) ainsi qu’à leurs sous-traitants.
- Les Business Developers et commerciaux freelances sont concernés par le RGPD au même titre que les startups et les PME.
La prospection commerciale B2B n’échappe pas au champ d’application du RGPD.
Il est fondamental de créer des bases de données et d’exploiter vos fichiers de contacts de façon « GDPR friendly » en conformité avec le RGPD au risque de voir votre responsabilité engagée.
Créer des fichiers de prospection commerciale en conformité avec le RGPD
Dans leur activité, toute instance, équipe et prospecteur commercial doit réaliser une bonne base de données( fichiers clients), c’est essentiel dans le domaine de la prospection commerciale BtoB. Dans la constitution de ses fichiers et leur conformité, des précautions s’imposent et notamment dans la collecte des données personnelles : ce qu’il faut bien retenir :
- La collecte des données personnelles doit se faire avec le consentement de la personne concernée.
- Différentes informations listées aux articles 13 et 14 du RGPD doivent être communiquées à l’intéressé et l’utilisation faite à des fins de prospection
- L’intéressé peut demander l’effacement de ses données personnelles de vos fichiers à tout moment.
Si certains outils et logiciels de scraping permettent de construire des listes de leads automatiquement, au niveau du RGPD, certaines applications peuvent conduire à une situation de non-conformité.
- Pour cela, il est préférable de privilégier des SaaS comme Sociétéinfo ou Dropcontact, afin d’obtenir des contacts en respectant la réglementation. Ses logiciels vous assurent de recouper des données légales et des informations diffusées publiquement sur internet consenties par les personnes concernées.
- Lors d’une acquisition d’une base de données auprés d’un prestataire, évaluez bien les garanties de conformité aux conditions du RGPD.
- Evitez d’acheter des fichiers de contacts dans des pays étrangers (hors UE) où le RGPD ne s’applique pas. Sachez qu’acheter une base de données auprès d’un prestataire étranger ne permet pas d’échapper à l’application du RGPD.
Comment informer les personnes et assurer la transparence ?
Le règlement général sur la protection des données (RGPD) impose depuis 2018 une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD. Faisons le point des mesures respectant cette obligation avec les informations de La CNIL mise à jour le 26 juillet 2019.
Le respect de transparence s’évalue ainsi : elle doit donner des pouvoirs aux personnes concernées :
- soit connaître la raison de la collecte des différentes données les concernant
- Comprendre le traitement qui sera fait de leurs données ;
- Etre assurer de la maîtrise de leurs données, en facilitant l’exercice de leurs droits.
Pour les responsables de traitement, elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées.
Quelles procédures pour informer ?
Vous devez informer les personnes concernées dans les cas suivants :
- Collecte directe des données : lors de données personnelles recueillies directement auprès des personnes par un formulaire, un achat en ligne ou lors de la souscription d’un contrat ou par des dispositifs d’observation de l’activité des personnes (vidéosurveillance, analyse de la navigation sur Internet, géolocalisation et wifi analytics/tracking pour la mesure d’audience, etc…) ;
- Collecte indirecte des données : lorsque les données personnelles ne sont pas recueillies directement auprès des personnes (partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes).
Définition des information prioritaires
Dans tous les cas, vous devrez communiquer à la personne concernée :
- l’identité et coordonnées de l’organisme responsable du traitement des données,
- les finalités,
- la base légale,
- durée de conservation des données,
- droits d’accès, de rectification et d’effacement,
- les droits d’introduction à la CNIL.
Selon le RGPD, L’information donnée devra être compréhensible, concise, accessible. Différents outils et techniques peuvent ainsi être utilisés pour rendre l’information aisément accessible selon les environnements ou les technologies (QR code, message audio, vidéo, panneaux d’affichage, documentation papier, campagne d’information, fenêtres contextuelles, etc.).
Quand informer les personnes concernées ?
- Dans le cadre de la collecte directe ou indirecte : au moment de la collecte des données personnelles. Pour un achat en ligne par exemple, l’acheteur est informée par le site dans les mentions légales ou CGV ou dans un contenu d’informations qu’il pourra accepter ou non. En collecte indirecte : informez lors du 1er contact et au plus tard dans un délai de 30 jours.
- En cas de modification substantielle ou d’événement particulier : nouvelle finalité, nouveaux destinataires, changement dans les modalités d’exercice des droits, violation de données.
Communiquer une information régulière participe à l’objectif de transparence, en particulier pour les traitements à grande échelle ou de données sensibles. Dans la pratique, il est important de prioriser l’information pour respecter la transparence. L’information peut se faire à plusieurs niveaux et plusieurs canaux.
Dans l’exemple d’un environnement numérique, vous pouvez informer à différentes étapes du parcours utilisateur : soit à l’occasion de la création de compte client directement sur la page d’inscription. Sur cette même page, un lien peut renvoyer vers une notice d’information complète. Celle-ci doit être également lisible et peut dès lors se présenter sous la forme de menus dépliants.
Pour aller plus loin : https://www.cnil.fr/conformite-rgpd-information-des-personnes-et-transparence
Quelles sont les sanctions encourues en cas de non-respect du RGPD ?
L’autorité chargée de faire respecter le RGPD est la CNIL. La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante française.Dans ses missions, elle effectue régulièrement des inspections auprès des entreprises et des administrations. La plupart du temps, ces contrôles sont souvent institués par des plaintes déposées par des utilisateurs et prospects qui n’ont pas pu se désinscrire d’une liste mailing pour exemple. Lors d’une infraction au RGPD, le contrevenant risque des sanctions.
Le processus suivi par la CNIL lors d’un infraction vérifiée au RGPD
- Envoi d’une mise en demeure. La CNIL impose à l’organisation de se mettre en conformité avec le RGPD dans un délai déterminé. En fonction de la gravité et de l’étendue du manquement, la mise en demeure peut être rendue publique (source : CNIL).
- Les sanctions. En cas de non-conformité avérée au RGPD, la CNIL peut prononcer différentes sanctions allant du simple rappel à l’ordre à l’amende (jusqu’à 4 % du chiffre d’affaires mondial pour une entreprise) et la suppression de toutes les données non conformes.
En conclusion
Le RGPD a changé la donne en matière de prospection commerciale à destination des professionnels que vous soyez un TPE, PME, grands comptes, commercial freelance. Pour traiter des données personnelles dans le respect de la réglementation, soyez toujours vigilent à la provenance de vos bases de données. Les données personnelles doivent avoir été collectées dans le respect de la loi ( consentement, droits d’accès, rectification et suppression et information). Prospecter uniquement des entreprises BtoB et des personnes dont l’activité a un rapport direct avec votre offre.
Textes de référence
> Articles 12 et 14 du règlement général sur la protection des données (information)
> Article 21 du RGPD (droit d’opposition)
Sources d’informations extraites du webinaire « Comment construire des fichiers de prospection RGPD friendly » animé par Maxime Pari, co-fondateur de MyBizDev, Alexandre Conraud, CEO de Sociétéinfo.com et Alan Walter, avocat associé au sein du cabinet Walter Billet Avocats et spécialisé en droit de la tech :