RGPD et prospection B2B : comment être « compliant » ?

4.8/5 - (5 votes)

L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a marqué une étape décisive dans la gestion des données à caractère personnel par les entreprises.

A bien des égards, le RGPD est un règlement inédit dans l’histoire législative européenne grâce à son caractère (très) harmonisé, son application extraterritoriale, l’accroissement important du pouvoir régulateur (avec des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial annuel des entreprises) et la création d’une structure européenne pour l’interprétation du règlement (Comité européen de la protection des données).

Comme nous allons le détailler dans cet article, le RGPD s’applique de manière plus flexible dans le B2B, car les données récoltées se rapportent le plus souvent à des personnes morales ou à des professionnels de manière peu ou pas nominative. RGPD et prospection B2B : comment être « compliant » sans brider l’effort commercial ?

Le RGPD n’impose pas de consentement (opt in) dans la prospection B2B… à quelques conditions

Dans le B2B, qui implique donc des transactions entre deux entités, le Règlement Général sur la Protection des Données (RGPD) n’a pas modifié le régime dérogatoire qui prévalait dans les campagnes de prospection commerciale et de génération de leads (LeadGen). En réalité, la prospection commerciale B2B continue de relever de la directive européenne ePrivacy et de l’article L.34-5 du code des Postes et communications électroniques.

Ainsi, le consentement n’est pas exigé dans les communications sortantes, qu’elles soient destinées à des prospects (prospection) ou à des clients effectifs (fidélisation, upselling, cross-selling). Le législateur a toutefois posé trois grandes conditions pour faire de la prospection B2B sans consentement (ou opt-in).

#1 Informer sur les conditions de traitement des données

Pour répondre favorablement à cette injonction, les entreprises du B2B intègrent des messages de type « disclaimer » aux formulaires de contact de génération de leads, aux emails envoyés dans le cadre des campagnes de masse, à la page « politique de confidentialité » de leur site web, etc.

Il s’agit, en somme, de détailler le mode de collecte des données (direct ou indirect), d’identifier l’organisme qui collecte et traite les données (identité et coordonnées), de spécifier la base légale de ce traitement et d’informer sur la durée de conservation des données, le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), etc.

#2 Mettre un lien d’Opt out à la disposition du destinataire

Depuis les premières ébauches du RGPD (2013 – 2014), les professionnels du B2B ont exprimé à de nombreuses reprises leur crainte de voir le règlement restreindre le champ d’action du marketing et de la prospection B2B, avec un impact catastrophique sur la performance commerciale des entreprises.

En réalité, le RGPD a maintenu le statu quo dans le B2B, puisqu’il n’a pas imposé au responsable du traitement des données de recueillir le consentement (opt in) des destinataires professionnels dans le cadre d’une campagne d’emailing B2B. C’est ce que la CNIL appelle « la disposition dérogatoire au principe d’opt in ».

En revanche, l’entreprise doit impérativement permettre au destinataire professionnel de se désabonner (opt out). La CNIL recommande que le lien de désabonnement soit direct, visible et systématique à toutes les communications de prospection B2B. En somme, l’emailing B2B fonctionne en mode opt out (sans consentement), tandis que l’emailing B2C fonctionne en mode opt in (consentement obligatoire).

La définition subtile de la « donnée à caractère personnel »

La flexibilité du RGPD dans le B2B s’explique par la définition même de la « donnée à caractère personnel ». En effet, le législateur a exclu de cette catégorie les données dites « firmographiques », qui se réfèrent à des personnes morales (raison sociale, adresse, activité, gamme de produits, etc.). Sont exclues également les adresses mail génériques du type [email protected] et les adresses mail professionnelles qui ne permettent pas d’identifier directement une personne physique. Attention : le traitement des données à caractère personnel, au sens du RGPD (adresses mail nominatives et numéros de téléphone personnels par exemple) n’est pas exempté du consentement de la personne concernée.

 

#3 L’emailing doit être en rapport avec la profession de la personne démarchée

Les entreprises doivent s’assurer que la sollicitation (emailing notamment) soit cohérente avec la profession de la personne démarchée. La notion de « cohérence » n’a pas été explicitée par le RGPD.

Il est généralement recommandé aux entreprises de faire preuve de bon sens et de contextualiser les campagnes d’emailing pour garantir sa pertinence (objectif de performance) mais aussi sa légalité (conformité au RGPD).

Prospection B2B : que dit le RGPD sur le scrapping ?

Le scrapping désigne un ensemble de techniques permettant d’extraire des données publiquement accessibles ou non d’un ou plusieurs site(s) web de manière automatique. Le scrapping est généralement piloté par des scripts ou des outils exécutant des scripts. Cette technique est utilisée dans un objectif de référencement naturel (SEO) (avec le pillage de contenu), dans un contexte de veille concurrentielle (détecter les variations des prix de la concurrence sur les marketplaces) ou encore pour constituer ou enrichir une base de données dans un objectif de prospection B2B.

Le scrapping n’a pas fait l’objet d’une désignation spécifique par le RGPD. La jurisprudence « Nestor », du nom de l’entreprise de vente de repas sur le lieu de travail, démontre toutefois que la CNIL est plutôt hostile à cette pratique. Pour rappel, la société Nestor utilisait un outil de scrapping sur LinkedIn pour alimenter sa base de données en vue de prospecter des professionnels. L’entreprise se prévalait du principe de l’opt out. La CNIL a estimé que l’activité de Nestor n’avait « que peu de lien avec l’activité professionnelle des prospects », et a statué sur une violation du RGPD du fait du manquement aux obligations d’information et de recueil de consentement.

Peut-on faire du scrapping si l’objet de l’emailing est en phase avec l’activité professionnelle des prospects ? Nous sommes ici dans une zone grise, avec donc un risque de sanction.

Le RGPD autorise-t-il la location des bases de données pour la prospection B2B ?

Le RGPD ne s’oppose pas explicitement au principe de location de bases de données pour la prospection B2B auprès de brokers. En revanche, les conditions de légalité de cette pratique sont contraignantes :

  • Vous devez vous assurer que ce prestataire tiers est conforme au RGPD ;
  • Exigez des preuves sur la « RGPD compliance » des pratiques du prestataire, que ce soit pour la constitution de la base de données ou sa maintenance.

Au-delà de la loi, l’utilisation de bases de données tierces de mauvaise qualité cumule les inconvénients : faible taux de conversion, dégradation de l’image de marque de l’entreprise, gaspillage de ressources commerciales et marketing, etc.

Pour conclure…

Si le législateur européen s’est montré relativement clément avec les entreprises du B2B en omettant l’exigence de consentement pour la prospection B2B (sous certaines conditions), la CNIL encadre de manière très stricte les zones grises avec deux points de vigilance majeurs :

  • Le type de données en question et leur caractère personnel éventuel ;
  • La cohérence du message de prospection et de l’offre commercialisée avec la profession et/ou l’activité de la personne prospectée.

Si l’opt in n’est pas imposé par le RGPD dans le cadre de la prospection B2B, certaines entreprises ont fait le choix d’intégrer une notion de consentement (parfois passif) dans un souci d’éthique et d’image de marque. Certains évoquent même l’émergence d’un « marketing de la transparence » qui consiste à faire de la politique de confidentialité de l’entreprise un argument commercial.

Il reste à noter que les négociations entre les Etats membres de l’UE sur la deuxième mouture du règlement ePrivacy ont repris en 2022, avec une entrée en vigueur prévue pour 2025. Il est très peu probable que ce règlement remette en cause l’exemption de consentement dans le cadre de la prospection B2B, mais un durcissement des conditions n’est pas à exclure.