RGPD et prospection commerciale B2C et B2B : ce que vous pouvez (et ne pouvez pas) faire.

La prospection commerciale est une pratique indispensable pour de nombreuses entreprises souhaitant élargir leur clientèle et multiplier leurs opportunités commerciales. 

Cependant, avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, les pratiques commerciales des entreprises et notamment leurs pratiques de prospection sont encadrées en ce concerne les utilisations de données personnelles résultantes. 

Il est ainsi crucial pour les entreprises de comprendre quelles sont les règles qui encadrent la prospection commerciale, de façon à leur permettre de rester en conformité avec la législation européenne sur la protection des données. 

Dans cet article, nous allons définir ce qu'est la prospection commerciale, nous aborderons les différentes règles imposées par le RGPD et encadrant la prospection commerciale ; et enfin, nous verrons la grande différence entre prospection commerciale B2B ou B2C.

Qu'est-ce que la prospection commerciale ?

La prospection commerciale désigne l'ensemble des actions mises en oeuvre par une entreprise afin d'identifier et de contacter des potentiels nouveaux clients. Les actions de prospection incluent notamment l'envoi d'e-mails promotionnels, des appels téléphoniques, des campagnes publicitaires ciblées sur les réseaux sociaux, etc. La plupart de ces actions de prospection passent par l'utilisation de bases de données permettant de stocker des informations de contact, permettant  aux entreprises de solliciter ces potentiels nouveaux clients, des particuliers ou des entreprises, afin de leur présenter leurs offres. 

Ainsi, ces bases de données : contiennent ainsi des informations considérées comme « personnelles », car permettant d’identifier directement les individus de cette base de données (et notamment grâce aux noms, aux prénoms, aux numéros de téléphone et/ou aux adresses email stockées).

Prospection commerciale B2B et B2C

En termes de prospection commerciale, les règles sont quelques peu différentes en fonction de la cible : les actions de prospection ciblent-elles des particuliers ou des professionnels ?

La principale différence entre la prospection B2B et B2C réside dans la nature des clients ciblés. 

La prospection B2B vise les entreprises (Business to Business), tandis que la prospection B2C cible les consommateurs particuliers (Business to Consumer).

Dans le cas de la prospection B2C, l’entreprise cherche à atteindre directement les particuliers afin de leur proposer ses produits ou services. Les actions de prospection mentionnées précédemment impliquent donc l’utilisation d’informations personnelles sur les prospects : leur nom, leur prénom, potentiellement leur numéro de téléphone, leur adresse email et/ou leur adresse postale.

Les règles RGPD en termes de prospection commerciale

Le RGPD impose un cadre strict concernant la collecte, le traitement et l'utilisation des données personnelles des individus, et notamment dans le cadre de la prospection commerciale. 

Les obligations de base s’appliquent, telles que remplir une fiche de traitement de données concernant ce processus de prospection, qui sera l’occasion de se poser toutes les bonnes questions.

Consentement explicite 

Avant de prospecter un particulier, il est obligatoire d’avoir en amont obtenu son consentement explicite et spécifique pour ce traitement de données personnelles. 

Cela signifie que le prospect (lorsqu’il est un particulier) doit avoir explicitement donné son accord pour être prospecté : il s’est abonné à un emailing strictement promotionnel, il a coché une case (non-obligatoire et non-cochée par défaut) afin d’exprimer son accord, etc.

Le consentement doit être libre, éclairé et donné de manière affirmative.

« Libre », c’est-à-dire que le prospect a véritablement eu le choix (c’est pourquoi la case de consentement doit être non-obligatoire).

« Éclairé », signifie que le prospect sait précisément pour quoi il a donné son consentement, il qu’il a eu accès à tous les éléments d’information dont il avait besoin pour prendre sa décision.

Et « donné de manière affirmative », c’est-à-dire que le prospect a précisément dit « oui », il a réalisé une action dit « positive » pour signifier son accord (c’est pourquoi la case de consentement doit être non-cochée par défaut).

Pour plus de détails sur les conditions applicables au consentement et ses exceptions, consultez notre article de blog à ce sujet.

Transparence

Le principe de transparence stipule que vous devez informer les individus de manière claire et transparente sur la manière dont vous utiliserez leurs données personnelles. Dans ce cas précis, il doit être expliqué clairement aux prospects que leurs données personnelles seront utilisées à des fins de prospection commerciale. 

Ce principe de transparence exige également que la quantité des informations soit suffisamment exhaustive afin de permettre au prospect de faire son choix de manière « éclairée », comme nous l’avons vu précédemment. Ainsi, il sera également nécessaire de fournir des informations sur les types de communications qu'ils recevront (sollicitations par email, par sms, par appels téléphoniques), la fréquence de ces sollicitations, quels sont leurs droit, comment ils pourront par la suite se désabonner de ces communications, et quel est le contact privilégié s’ils souhaitent exercer leurs droits Informatique et Libertés.

Respect des droits Informatique et Libertés (et contact référent)

Les droits Informatique et Libertés incluent notamment les droits d’opposition, droits d’accès, de modifications, et de suppression des données.

Vos prospects doivent être en mesure de s’opposer à vos communications commerciales, et en mesure de faire appel à leurs droits facilement et à tout moment.

Pour cela, vous devez être en mesure de proposer à vos prospects un contact référent afin de leur permettre l’exercice de leurs droits.

S’il n’est pas obligatoire que ce contact soit un DPO (bien que cela soit vraiment l’idéal), il est cependant obligatoire d’identifier au minimum un contact référent pour cela, et de proposer son contact manière accessible aux prospects.

Minimisation et finalité des données

Les principes de minimisation et de finalité des données stipulent …

• … que vous devez recueillir uniquement les données strictement nécessaires à la finalité poursuivie. Par exemple, si vous souhaitez faire de la prospection commerciale par email, il vous sera interdit de demander un numéro de téléphone ou un code postal, car ces données ne sont pas strictement nécessaires pour l’envoi d’emails. Pour aller plus loin, vous n’auriez pas non plus le droit de recueillir un prénom, dans la mesure où cette donnée non plus n’est pas strictement nécessaire à l’envoi d’emails, et dans la mesure où la finalité de ce recueil de données n’est ici pas justifié.

• Et que vous devez recueillir ces données uniquement pour la finalité explicitée. Par exemple, si vous recueillez une adresse email pour faire de la prospection par email, vous ne pourriez pas ré-utiliser cette adresse email pour inscrire automatiquement ce prospect à d’autres envois d’emailing, que ce dernier n’aurait pas explicitement consenti à recevoir.

Sécurité et protection des données 

Dans le cadre d’actions de prospection commerciale, nous avons vu qu’il était nécessaire de recueillir, de stocker et d’utiliser un certain nombre de données et notamment des données personnelles, dans le cadre de la prospection commerciale B2C.

Dans ce cadre-là, l’entreprise qui réalise chacune de ces actions effectue ce qu’on appelle « des traitements de données », et devient ainsi Responsable des traitements de données. L’entreprise est alors tenue d’assurer la protection et la sécurité des données personnelles qu’elle utilise dans le cadre de ses actions de prospection.

Ainsi, cette dernière doit être en mesure de prouver l’utilisation d’outils de sécurité, de confidentialité, la mise en place de pratiques organisationnelles favorisant les pratiques sécurisés, etc.

Opt-in ou opt-out : la différence fondamentale de la prospection B2B et B2C

Les quelques règles précédemment citées sont applicables pour tous types d’actions de prospection, qu’elles soient à destination des particuliers comme des professionnels.

Cependant, nous avons vu précédemment que les règles de prospection commerciales étaient quelques peu différentes en fonction de ces deux cas de figures.

Cette différence repose notamment dans les principes du opt-in et opt-out.

En B2C, c’est l’opt-in qui s’applique - « Pas de oui, c’est un non. »

Le principe du opt-in stipule que le prospect doit expressément avoir donné son accord pour être sollicité. S’il n’a pas clairement dit « oui », c’est que c’est non, et vous n’êtes alors pas autorisé(e) à le solliciter.

Lorsque la prospection commerciale cible des particuliers, soit en B2C, c’est le principe du opt-in qui s’applique.

En B2B, c’est l’opt-out qui s’applique - « Pas de non, c’est un oui. »

Le principe du opt-out, au contraire, stipule que le prospect ne doit pas obligatoirement donner son accord pour être sollicité (mais il peut toujours demander à ne plus être sollicité dans l’avenir). Ainsi, s’il n’a pas clairement dit « non », c’est que c’est oui, et vous êtes alors autorisé(e) à le solliciter.

Lorsque la prospection commerciale cible des entreprises, soit en B2B, c’est le principe du opt-out qui s’applique.

Pour conclure 

La prospection commerciale est donc une pratique incontournable pour la plupart des entreprises qui dépendent de ces actions de prospection pour remplir leur portefeuille de clients.

Cependant, cette prospection commerciale nécessite l’utilisation de nombreuses données, et notamment des données personnelles.

Dans ce cadre-là, les entreprises effectuant des actions de prospection sont soumises à un certain nombre d’obligations et de contraintes réglementaires, encadrant leurs pratiques, et destinées à protéger les données personnelles des personnes concernées.

Articles complémentaires :

• Ces offres en conformité RGPD qui devraient vous alerter

• 6 bonnes raisons de faire appel à un DPO externalisé

• 7 actions pour la conformité RGPD de votre site web

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez-en plus sur nos prestations d'accompagnement vers la conformité RGPD !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !