Les actions de la CNIL visent à encadrer le traitement des données personnelles. Par « traitement des données », on entend toute opération ou groupe d’opérations portant sur les données personnelles. Cela concerne donc tout le parcours de la donnée : collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, …).
Par conséquent, la tenue d’un fichier de prospection, d’une base de données clients ou encore la collecte de données via des formulaires sur le web doivent répondre aux exigence de la CNIL.
En premier lieu, tout traitement de données doit correspondre à un objectif clair et spécifique. Cette finalité doit être évidemment légale mais aussi légitime au regard de votre activité professionnelle.
Ensuite, si vous collectez des données, vous devez être en mesure d’informer vos contacts sur l’utilisation que vous faites de leurs informations personnelles. Vous devez aussi garantir une utilisation des données respectueuse de leur vie privée.
Ainsi, un traitement de données vertueux devra répondre à plusieurs exigences :
- La pertinence : les données collectées sont-elles vraiment nécessaires au regard de l’objectif visé ?
- La transparence : les personnes dont on traite les données ont-elles fait l’objet d’une information préalable claire et explicite ?
- Le respect des droits : peut-on garantir les droits d’information, d’accès et d’effacement des données ?
- La maîtrise des données : le partage et la circulation des données sont-elles encadrées et contractualisées ?
- La sécurité : les mesures de sécurité informatique sont-elles suffisantes pour garantir la protection des données ?
En pratique, le RGPD oblige désormais les entreprises à disposer d’un registre des traitements mis en œuvre. Mais, surtout, la législation soulève des questions sur 2 points cruciaux : la notion de consentement et le droit à l’opposition.
Les règles en matière de prospection B2B
Pour les professionnels B2B, le RGPD n’a pas bouleversé les règles de droit existantes. Le principe est toujours celui de l’information préalable et du droit d’opposition. Au moment de la collecte de son adresse email, vous devez informer la personne que son adresse électronique sera utilisée dans le cadre d’actions de prospection. Vous devez aussi faire en sorte qu’elle puisse s’opposer à cette utilisation de manière simple et gratuite.
Dans la pratique, le consentement explicite du prospect (opt-in) est fortement recommandé par la CNIL mais il n’est pas obligatoire en B2B (contrairement au B2C). Il est donc autorisé de continuer à faire de l’emailing opt-out à condition de :
- Informer sur les conditions de traitement des données
- Respecter le droit d’opposition
- S’assurer que l’objet de la sollicitation est en rapport avec la profession exercée par le prospect
Dans tous les cas, dans chaque email, vous devez obligatoirement faire figurer :
- L’identité de l’émetteur
- Un moyen simple de s’opposer à la réception de messages ultérieurs (par exemple, sous la forme d’un lien de désinscription à la fin du message)
Quel impact dans le cadre d’un achat ou d’une location de base de données ?
Lorsque vous utilisez un fichier de prospection acheté ou loué, vous réalisez des opérations de traitement des données. Cependant, vous n’intervenez pas sur la phase de collecte des données.
Malgré tout, en contactant des prospects par email en votre nom, vous êtes tenu de respecter les réglementations en vigueur et, idéalement, de respecter les recommandations déontologiques émises par la CNIL.
Lors de votre première communication aux contacts de la liste, vous devez leur mentionner les manières d’exercer leurs droits, notamment le doit d’opposition, ainsi que la source dont proviennent les données utilisées.
Ensuite, chacun de vos messages devrait inclure :
- La mention de votre entreprise
- La raison pour laquelle le contact reçoit une communication de votre part
- Un objet en rapport avec la profession de la personne contactée
- Un lien de désabonnement
Vous devez également mettre à jour régulièrement votre fichier en prenant en compte les demandes de désinscription des contacts.
Choisir un prestataire respectueux de la législation et de la déontologie
Le consentement des contacts est seulement recommandé par la CNIL en B2B. Mais, lorsque vous recherchez un prestataire pour un achat ou une location de fichier, vous gagnerez à vous renseigner sur les modalités de collecte des données.
Certes, vous pouvez contacter des prospects issus de listes non opt-in. Mais attention aux conséquences.
La plupart des services de messagerie disposent d’algorithmes puissant qui leur permettent de détecter des bases non opt-in ou des listes déjà largement surexploitées. En passant par un prestataire peu scrupuleux, vous risquez donc de vous retrouver blacklisté. Vos emails atterriront directement dans les messages indésirables et votre délivrabilité en sera durablement affectée.
Si vos messages arrivent malgré tout dans la boîte de réception de vos destinataires, vous courez aussi le risque que ces derniers les signalent comme indésirables.
Il convient donc de vous assurer auprès du prestataire de la provenance des données. En outre, vous avez intérêt aussi à travailler sur une liste finement segmentée. En effet, la CNIL demande que les sollicitations soient en rapport direct avec le poste de la personne contactée.
Une bonne segmentation rendra votre prise de contact plus naturelle. Enfin, évidemment, la pertinence et la qualité du message auront un impact sur la réaction et l’engagement des contacts.