Les activités de prospection commerciale répondent à des règles précises en matière de protection des données personnelles, même s’il s’agit de relations entre entreprises (BtoB). Gros plan sur les grands principes à respecter.
La prospection commerciale peut prendre de multiples formes : par e-mail, courrier postal, SMS, MMS, appel téléphonique… Si cette activité est légitime et fait partie intégrante de la panoplie des actions marketing dont une entreprise dispose pour conquérir de nouveaux clients et fidéliser sa base installée, elle n’en demeure pas moins soumise à un certain nombre de règles liées à la protection des données personnelles.
La prospection commerciale par courrier postal et appel téléphonique doit ainsi respecter le sacro-saint principe d’information préalable, ainsi que le droit d’opposition. La démarche de transparence permet aux personnes concernées de connaître la raison de la collecte des différentes données les concernant, de comprendre le traitement qui sera fait de leurs informations personnelles et d’assurer la maîtrise de leurs données en facilitant l’exercice de leurs droits.
Les responsables de traitement doivent informer les personnes concernées en cas de collecte directe des données (formulaire, achat en ligne, souscription d’un contrat…) ou de collecte indirecte (données récupérées auprès de partenaires commerciaux ou de brokers par exemple).
Quant au droit d’opposition, il permet aux personnes qui sont la cible de la campagne de prospection de refuser que leurs données personnelles soient utilisées à cette fin et d’exprimer leur refus de recevoir de futures sollicitations.
De la même manière, la prospection par courrier électronique et SMS/MMS doit prévoir une phase d’information et faire en sorte de recueillir le consentement des destinataires. Ce consentement doit être « libre, spécifique, éclairé et univoque », précise la CNIL. Il requiert, pour être valable, une action positive et spécifique de la personne concernée (par exemple, une case à cocher, et non pas déjà pré-cochée).
Prospection BtoB : l’intérêt légitime, un argument à manier avec précaution
Dans un contexte BtoB (relations d’entreprise à entreprise), la prospection vers les professionnels peut être fondée sur l’intérêt légitime de la société qui prospecte. La personne démarchée doit néanmoins, au moment de la collecte de son adresse de messagerie ou de son numéro de téléphone portable, être informée que ceux-ci seront utilisés à des fins de prospection et être en mesure de s’y opposer par la suite de manière simple et gratuite.
Mais attention, l’objet de la sollicitation commerciale doit être en rapport avec la profession de la personne démarchée. La CNIL a ainsi infligé en décembre 2020 une amende de 20 000 euros à la société Nestor, spécialisée dans la livraison de repas aux salariés, pour avoir sollicité des centaines de milliers de personnes sans leur accord et sans lien direct avec leur activité professionnelle.
Vente de fichiers clients : des règles strictes à respecter
La vente d’un fichier client tombe, elle aussi, dans le giron du RGPD, car un tel fichier contient de nombreuses données personnelles : identité des personnes (nom et prénom), adresse email, numéro de téléphone, adresse postale…
Une des premières règles à respecter est de ne transmettre que les données des clients actifs. La CNIL rappelle à ce titre que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale puis, sauf exception, pour une durée de trois ans à compter de la fin de cette relation. Au-delà de cette période de trois ans, les données ne peuvent donc plus être transmises dans le cadre de la vente d’un fichier client.
La deuxième règle à respecter est de vérifier que seules les données des clients qui ne se sont pas opposés à la transmission de leurs données ou qui y ont consenti peuvent être vendues. « Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur », précise la CNIL.
L’acquéreur du fichier client a lui aussi des obligations
Une fois le fichier client acheté, l’acquéreur devra informer les personnes concernées dès que possible (notamment lors du premier contact) et, au plus tard, dans un délai d’un mois. Cette information devra notamment comporter la source des données, c’est-à-dire le nom de la société à l’origine de la vente du fichier client.
Par ailleurs, l’acquéreur du fichier devra être en mesure de démontrer qu’il dispose du consentement éclairé des destinataires s’il souhaite utiliser leurs données à des fins de prospection commerciale par voie électronique. Si le vendeur du fichier n’a pas recueilli le consentement de ses clients pour les opérations de prospection de l’acquéreur, ce dernier devra lui-même procéder au recueil préalable de ce consentement.
En août 2022, la société ACCOR a écopé d’une amende 600 000 euros, notamment pour avoir procédé à de la prospection commerciale sans le consentement des personnes concernées et pour ne pas avoir respecté les droits des clients et des prospects. Quatre manquements au RGPD ont ainsi été invoqués :
- Manquement à l’obligation d’informer les personnes (art. 12 et 13 du RGPD),
- Manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD),
- Manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD),
- Manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD) en raison de l’utilisation de mots de passe insuffisamment robustes.
Un référentiel dédié à la gestion des activités commerciales
Afin d’accompagner les entreprises dans leur mise en conformité, la CNIL a créé un référentiel relatif à la gestion des activités commerciales. Il encadre les traitements courants de gestion des fichiers « prospects » et « clients », tels que la gestion des contrats, la gestion de programmes de fidélité ou encore la réalisation d’opérations de prospection commerciale.
Le référentiel a vocation à s’appliquer aux relations commerciales existant entre un organisme et ses prospects et clients, que cet organisme soit de droit privé ou public. Compte tenu de la nature particulière de leurs activités, ce référentiel n’a en revanche pas vocation à s’appliquer aux établissements de santé ou d’éducation, aux établissements bancaires ou assimilés, aux entreprises d’assurances et aux opérateurs soumis à l’agrément de l’Autorité nationale des jeux.
Ce référentiel n’est pas contraignant. Les responsables de traitement peuvent s’écarter de ses préconisations, à condition toutefois de pouvoir justifier leur choix, dont ils demeurent responsables.