RGPD et prospection commerciale : ce que vous pouvez (et ne pouvez pas) faire

Toutes les entreprises sont amenées à faire de la prospection commerciale. Pourtant, dans la pratique, les professionnels méconnaissent encore trop souvent les règles applicables, notamment en matière d’emailing. 

Entre les fichiers achetés, les bases de données privées, l’ajout automatique de prospects dans les CRM et les campagnes automatisées, les dérives sont fréquentes. De ce fait, chaque année, la prospection commerciale est à l’origine de très nombreuses réclamations auprès de la Commission nationale de l’informatique et des libertés (CNIL). Des entreprises sont régulièrement sanctionnées pour avoir contacté des personnes physiques sans base légale ou sans respecter les droits des personnes concernées. La société CALOGA a, par exemple, été sanctionnée par la CNIL à hauteur de 80 000 euros. 

Si la prospection n’est pas interdite, elle demeure strictement encadrée. Il est donc important d’être accompagné par un avocat en données personnelles. Celui-ci vous aide à sécuriser vos campagnes, à choisir la bonne base légale et à éviter tout risque de non-conformité. Et en attendant, nous vous proposons de lire ce guide Infolawyers.

L’essentiel à retenir

La prospection commerciale est autorisée, mais strictement encadrée :

• La prospection BtoC nécessite le consentement préalable (opt-in).
• La prospection BtoB peut reposer sur l’intérêt légitime de l’entreprise, sous conditions strictes.
• Le prospect doit toujours pouvoir exercer son droit d’opposition immédiatement, gratuitement et sans avoir à justifier sa demande.
• Les données collectées doivent être pertinentes, limitées, conservées pendant une durée proportionnée et traitées conformément à la finalité annoncée.
• Le responsable du traitement doit informer clairement les personnes concernées via des mentions d’information et une politique de confidentialité accessible.
• Le non-respect des règles expose à des sanctions CNIL pouvant atteindre plusieurs centaines de milliers d’euros.
• Le recours à des prestataires externes implique des garanties contractuelles et un contrôle des mesures techniques et organisationnelles.

RGPD et prospection commerciale : quel est le lien ?

La prospection commerciale, qu’elle soit réalisée par email, SMS ou via des outils marketing, repose nécessairement sur la collecte et l’exploitation de données à caractère personnel. Dès qu’une entreprise cherche à contacter un prospect, elle traite des informations permettant d’identifier directement ou indirectement une personne.

Les données à caractère personnel dans le cadre de la prospection commerciale

Vous êtes, par exemple, amené à traiter :

• le nom, le prénom, l’email professionnel ou personnel, le numéro de téléphone ou encore la fonction de votre prospect au sein d’une entreprise ;
• les données issues de la navigation ou de l’interaction avec les emails (adresse IP, identifiants cookies, données de connexion, localisation approximative, type de terminal, navigateur utilisé) ;
• les informations dérivées du comportement (ouverture des emails, taux de clics, préférences exprimées, inscription ou désinscription, interactions avec un site ou un formulaire).

Toutes ces données entrent dans le champ du RGPD.

Contrairement à une idée répandue, il n’est pas nécessaire que ces données permettent d’identifier directement une personne pour que le RGPD s’applique. Une adresse IP, un identifiant cookie, un numéro client, un ID CRM ou un email “contact” sont des données personnelles dès lors qu’elles permettent de faire le lien avec une personne par recoupement. En marketing, cela signifie que la très grande majorité des actions de prospection implique un traitement de données personnelles.

Les conséquences pour le responsable du traitement 

Lorsque vous réalisez des actions de prospection pour votre propre compte, vous devenez responsable du traitement au sens du RGPD. 

À ce titre, vous devez respecter un certain nombre d’obligations légales incontournables :

• informer clairement les personnes concernées, dès la collecte, sur l’usage qui sera fait de leurs données ;
• fonder votre prospection sur une base juridique valable 
• assurer la sécurité et la confidentialité des données, y compris lorsque leur traitement est confié à des sous-traitants (routeurs email, agences marketing, CRM, hébergeurs) ;
• limiter la durée de conservation aux besoins réels de prospection ;
• permettre l’exercice effectif des droits des personnes concernées.

Le non-respect de ces obligations peut entraîner des actions de la part des personnes concernées et engager la responsabilité du responsable du traitement. Cela peut également conduire à des sanctions de la CNIL. 

Bon à savoir : rappelons que les sanctions en cas de non-respect du RGPD peuvent être particulièrement lourdes. La CNIL dispose d’un large éventail de mesures allant du simple avertissement à une obligation de mise en conformité sous délai en passant par les restrictions de traitement et les amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise. La CNIL peut également décider de rendre publique sa décision, ce qui représente un impact réputationnel majeur pour les entreprises. Enfin, les personnes concernées peuvent introduire une réclamation ou agir en justice pour obtenir réparation. Autrement dit, la prospection commerciale ne peut se faire sans un strict respect des règles. La non-conformité peut coûter cher, tant financièrement qu’en termes d’image.

Lisez notre article pour savoir comment mettre votre site internet en conformité avec le RGPD.  

Prospection commerciale et RGPD : ce que vous devez faire

Avant même d’envoyer un email ou de préparer une campagne marketing, il est essentiel de vérifier que votre démarche repose sur des bases juridiques solides. L’accompagnement d’un avocat pour votre prospection commerciale est nécessaire pour sécuriser l’ensemble du dispositif. En attendant, voici les règles indispensables à suivre pour éviter les sanctions et instaurer une relation de confiance avec vos prospects.

Utiliser la bonne base légale RGPD pour votre prospection commerciale

Le choix de la base juridique est l’un des fondements de la conformité RGPD en matière de prospection commerciale. Selon que vous ciblez des particuliers (BtoC) ou des professionnels (BtoB), les règles diffèrent. Une erreur à cette étape entraîne souvent, à elle seule, la non-conformité de l’ensemble de votre campagne marketing.

En BtoC : le consentement obligatoire pour prospecter

En BtoC, aucun email commercial ne peut être envoyé sans consentement préalable du prospect. Cette règle vise à protéger les personnes physiques contre les sollicitations non désirées.

Le consentement doit être :

• libre : il ne doit y avoir aucune contrainte exercée sur la personne concernée. Le refus ne doit pas être conditionné à l’achat d’un service par exemple ;
• spécifique : vous devez proposer une case distincte pour accepter les communications commerciales ;
• éclairé : la personne doit clairement savoir ce à quoi elle s’engage ;
• univoque : la démarche doit être positive (case cochée par la personne elle-même).

A contrario, voici les pratiques à bannir en matière de consentement de vos prospects : 

• insérer des cases précochées dans vos formulaires RGPD ;
• imposer une inscription automatique à une newsletter lors d’un achat ;
• rédiger des formulaires ambigus ou trompeurs. 

Plusieurs entreprises ont été sanctionnées pour avoir envoyé des newsletters à des personnes n’ayant jamais donné leur accord. Sur ce point, la CNIL rappelle que l’achat d’un produit ne vaut pas consentement à recevoir des offres commerciales.

À noter que vous pouvez contacter un client existant pour lui proposer des produits ou services similaires à ceux qu’il a déjà achetés, à condition :

• de l’avoir informé de votre démarche au moment de l’achat ;
• et de lui offrir un moyen d’opposition simple et immédiat.

Cette exception ne doit pas être étendue au-delà de son cadre. Proposer un abonnement mobile après l’achat d’un livre, par exemple, n’entre pas dans la catégorie des produits similaires.

En BtoB : l’intérêt légitime pour prospecter sous conditions

En BtoB, la prospection commerciale peut reposer sur l’intérêt légitime de l’entreprise. Mais cette base juridique n’est jamais un passe-droit. Elle ne peut être utilisée que si trois conditions cumulatives sont réunies :

• il doit exister un lien direct avec l’activité professionnelle du destinataire. Sur ce point, la CNIL a, en effet, rappelé que contacter des professionnels dont l’activité n’a aucun lien avec l’offre constitue un traitement non conforme à la finalité initiale. L’intérêt légitime ne peut jamais justifier une prospection non ciblée ou hors sujet. Vous pouvez, par exemple, proposer un logiciel de gestion RH à un DRH ou présenter un outil CRM à un directeur commercial. En revanche, il est interdit d’envoyer une offre de voyage à un expert-comptable ou de démarcher un responsable informatique pour des produits sans lien avec ses missions ;
• la personne concernée doit avoir été informée de ses droits et notamment de son droit d’opposition, qui doit être clairement mentionné dès le premier contact ;
• vous devez lui proposer une solution simple, immédiate et gratuite pour se désinscrire de votre mailing list : vous ne pouvez pas conditionner cette démarche à une obligation de créer un compte ou de remplir un formulaire.

Consultez notre article pour connaître les 7 bonnes pratiques à mettre en place pour sécuriser vos ventes en BtoB. 

Informer les personnes concernées

Une personne doit toujours savoir qui traite ses données, pourquoi, comment, pendant combien de temps et quels sont ses droits.

Cette information doit par ailleurs être :

• claire ;
• complète ;
• facilement accessible (pas enfouie dans 15 pages de CGV) ;
• compréhensible sans jargon juridique inutile.

Elle doit mentionner :

• les finalités de la prospection ;
• les catégories de données collectées ;
• la base juridique utilisée ;
• les destinataires ou sous-traitants ;
• la durée de conservation ;
• l’existence du droit d’opposition ;
• les droits des personnes et leur modalité d’exercice.

La CNIL a ainsi sanctionné la société Nestor, notamment pour ne pas avoir recueilli le consentement des personnes avant l’envoi de messages de prospection par courriel. L’entreprise a été condamnée à une amende de 20 000 euros, assortie d’une injonction de mise en conformité sous trois mois, avec une astreinte de 500 euros par jour de retard.

Garder les données pour une durée raisonnable

Les données utilisées à des fins de prospection doivent être supprimées ou anonymisées au terme d’une durée raisonnable. La CNIL recommande de ne pas dépasser trois ans après le dernier contact ou la dernière interaction avec le prospect.

Conserver des données au-delà de ce délai, sans justification légitime, constitue une violation du principe de limitation de conservation. Ce manquement est fréquemment relevé lors des contrôles RGPD.

En pratique, il est donc exclu de conserver indéfiniment toutes les adresses email que vous collectez. 

Permettre aux personnes de s’opposer au traitement

Le droit d’opposition est l’un des droits les plus importants en matière de prospection.

Une personne doit pouvoir refuser la prospection :

• sans justification ;
• gratuitement ;
• simplement ;
• immédiatement.

Chacun de vos emails doit contenir un lien de désinscription visible et qui fonctionne. Vous ne devez imposer aucune identification supplémentaire au prospect qui souhaite se désinscrire de votre mailing list. En clair, aucune procédure complexe ne peut être imposée. 

La CNIL sanctionne régulièrement des entreprises qui continuent d’envoyer des emails malgré des demandes répétées de désinscription. Ce manquement est jugé très grave.

Sécuriser les contrats avec les sous-traitants

Dans la majorité des cas, la prospection commerciale implique des acteurs externes qui traitent, transmettent ou exploitent des données personnelles pour le compte de l’entreprise. 

C’est le cas par exemple : 

• des routeurs email ou plateformes d’envoi (Mailchimp, Sendinblue, Brevo) qui gèrent l’envoi massif des campagnes ; 
• des CRM (HubSpot, Salesforce, Pipedrive) qui centralisent et structurent les données prospects ;
• des agences marketing qui conçoivent les campagnes de prospection et automatisent les séquences d’emails ;
• des hébergeurs qui stockent les données et les fichiers clients ;
• des prestataires analytiques qui mesurent les performances de vos campagnes de marketing ;
• des closers qui vous aident à conclure une vente. 

Ces acteurs sont bien souvent des sous-traitants au sens du RGPD.

Vous devez donc :

• signer avec ces acteurs un contrat de sous-traitance conforme au RGPD et à l’article 28 ;
• vérifier les mesures de sécurité qu’ils mettent en place pour protéger les données de vos prospects (chiffrement, accès restreints, sauvegardes) ;
• contrôler les éventuels transferts hors UE ;
• les inscrire dans votre registre des traitements.

Gardez en tête que même si la faute vient du sous-traitant, c’est souvent le responsable du traitement (c’est-à-dire vous) qui reste exposé aux sanctions.

Prospection commerciale et RGPD : ce qu’il ne faut pas faire

Certaines dérives, souvent banalisées dans la prospection commerciale, sont pourtant parmi les causes les plus courantes de sanctions. Voici celles que vous devez absolument éviter.

Utiliser des fichiers achetés ou externes sans précaution

Voilà ce qu’il ne faut surtout pas faire ! 

L’achat de fichiers de prospects reste l’une des sources de non-conformité les plus répandues. En pratique, la majorité des fichiers disponibles sur Internet ne respectent ni l’obligation d’informer les personnes, ni l’exigence de consentement, ni les règles de conservation, ni même l’origine licite des données. Beaucoup comportent des adresses collectées sans aucune transparence, voire sans base légale, ce qui suffit à rendre tout traitement ultérieur illicite.

Une entreprise doit pourtant être en mesure de démontrer l’origine des données, la base juridique sur laquelle repose son action de prospection, l’information réellement fournie aux personnes au moment de la collecte, ainsi que la conformité du fournisseur. À défaut de pouvoir apporter ces preuves, l’utilisation du fichier est tout simplement interdite.

Les décisions de la CNIL montrent que cette négligence est fréquente. Plusieurs sociétés ont été sanctionnées pour avoir utilisé des fichiers acquis auprès de prestataires qui ne respectaient pas le RGPD. Dans certains cas, les entreprises n’avaient aucune trace de l’origine réelle des données, ce qui rendait toute prospection irrégulière.

Négliger les cookies, trackers et pixels invisibles

Plusieurs contrôles récents ont d’ailleurs montré que les entreprises sous-estiment toujours l’ampleur de ces traitements, en pensant à tort qu’il ne s’agit que de « données techniques » ou de simples statistiques anonymes.

La prospection commerciale s’appuie de plus en plus sur des outils de suivi permettant de mesurer l’ouverture des emails, les clics réalisés ou le comportement de navigation ultérieur du prospect. Ces technologies reposent sur des cookies, des identifiants uniques ou encore des pixels invisibles intégrés dans les emails marketing.

Or, ces traceurs ne peuvent pas être utilisés sans respecter les règles du RGPD. Il faut donc éviter :  

• d’envoyer un email comportant un pixel invisible recueillant l’adresse IP sans informer votre prospect ; 
• d’établir un profil marketing en cumulant des données de navigation non déclarées ; 
• de déposer des cookies de suivi sans consentement préalable.

La CNIL rappelle régulièrement que ces mécanismes constituent des traitements de données personnelles à part entière. À ce titre, ils doivent être transparents, proportionnés et mis en œuvre sur une base juridique valable. 

Votre prospection commerciale ne peut être performante que si elle repose sur des pratiques conformes et transparentes. Le non-respect du RGPD expose votre entreprise à des risques importants. Avec le Bouclier 360 d’Infolawyers, vous sécurisez durablement votre croissance tout en gagnant du temps, de l’argent et de la tranquillité d’esprit. Vous bénéficiez de l’assistance d’avocats RGPD expérimentés pour structurer votre activité, sécuriser vos opérations marketing et protéger votre entreprise. Vous avez accès à une hotline pour obtenir des réponses rapides et efficaces à vos problématiques juridiques du quotidien. Il vous permet, en parallèle, de profiter d’un traitement prioritaire et sur mesure en cas de litige ou de besoin spécifique.

Cet accompagnement inclut également l’accès à des modèles exclusifs solides et des ressources conçues pour protéger votre entreprise sur le long terme. Enfin, le Bouclier 360, c’est aussi l’accès à un club privé d’entrepreneurs, un réseau sérieux et bienveillant où partager, échanger et grandir ensemble, tout en développant vos compétences juridiques sur des sujets incontournables.

Notre solution vous aide à transformer vos obligations réglementaires en véritable avantage concurrentiel, tout en accompagnant votre développement avec sérénité.

FAQ : prospection commerciale et RGPD

La prospection commerciale est-elle autorisée sans consentement ? 

C’est possible en BtoB à condition qu’il existe un lien direct avec l’activité professionnelle du destinataire et si le droit d’opposition est clairement proposé. En BtoC en revanche, le consentement préalable est obligatoire, sauf exception pour les clients ayant déjà acheté un produit similaire. Sans consentement, la prospection constitue un traitement de données personnelles illicite.

Une adresse générique est-elle une donnée personnelle ?

Cela dépend. Une adresse générique comme contact@entreprise.com ou info@entreprise.com n’est pas une donnée personnelle si elle renvoie réellement à une équipe, un service ou une boîte partagée. En revanche, si cette adresse générique permet d’identifier indirectement une personne (par recoupement, taille de l’entreprise, réponses signées, etc.), elle redevient une donnée à caractère personnel au sens du RGPD. 

Les bases de données achetées sont-elles conformes au RGPD ? 

Dans la très grande majorité des cas, la réponse est non. Beaucoup de fichiers vendus ne respectent ni l’information des personnes, ni la preuve du consentement, ni les règles de durée de conservation. Il est donc essentiel de vérifier leur conformité avant toute utilisation. Car c’est bien l’entreprise qui exploite le fichier, et non le vendeur, qui sera considérée comme responsable du traitement et pourra être sanctionnée par la CNIL en cas de non-respect du RGPD.

Pendant combien de temps peut-on conserver les données de ses prospects ?

La CNIL recommande un maximum de trois ans après le dernier contact (clic, ouverture, message ou interaction commerciale). Au-delà, les données doivent être supprimées ou anonymisées, sauf motif légitime justifiant une conservation plus longue. 

Quels sont les risques si une entreprise ne respecte pas le RGPD dans sa prospection commerciale ?

Le premier risque est l’amende, qui peut atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. La CNIL peut aussi rendre la sanction publique, imposer des restrictions de traitement ou ordonner une mise en conformité sous délai. Au-delà de la sanction, l’entreprise s’expose à une atteinte à sa réputation et des plaintes de la part des personnes concernées. L’accompagnement d’un avocat spécialisé en protection des données ou d’une solution comme le Bouclier 360 d’Infolawyers permet de limiter ces risques.