Expert du droit > RGPD > Guide complet sur la prospection commerciale : Principes, bases légales et bonnes pratiques de la CNIL
Guide complet sur la prospection commerciale : Principes, bases légales et bonnes pratiques de la CNIL
La prospection commerciale est une pratique essentielle pour le développement des entreprises. Cependant, elle doit être effectuée dans le respect des règles prévues par le RGPD.
Vous vous demandez comment mettre en conformité votre prospection commerciale ? Ce guide est fait pour vous.
Ce guide définit les principes fondamentaux de la prospection commerciale, les bases légales qui la régissent, ainsi que les bonnes pratiques à suivre.
Sommaire :
Le cadre légal de la prospection commerciale
Principes et bases légales
Quelle base légale pour ma prospection commerciale ?
Les principes et les bases légales applicables à la prospection commerciale diffèrent selon la nature de la prospection (BtoB, BtoC, automatisée…).
La prospection commerciale BtoC effectuée par voie commerciale et électronique non automatisée peut être fondée sur la base légale de l’intérêt légitime (article 6.1 du RGPD).
La prospection commerciale BtoC électronique automatisée doit être fondée sur le consentement préalable (article L.34-5 du CPCE et 6.1 du RGPD).
Les règles du consentement sont à respecter : il doit être éclairé, univoque, spécifique et libre.
Cependant, il existe une exception. Lorsque la prospection concerne des produits ou services analogues à ceux déjà souscrits ou achetés par la personne concernée. Dans ce cas, des messages de prospection peuvent être envoyés sans consentement préalable, en se fondant sur l’intérêt légitime.
La prospection commerciale BtoB doit être en lien avec la profession de la personne démarchée. Sinon, elle devient de la prospection BtoC.
Dans tous les cas, il est important d’informer préalablement les personnes et de garantir leur droit d’opposition de manière simple.
Transmission des données à des fins de prospection : achat et transfert des bases de données
Comment transmettre des données à mon partenaire ?
Si une organisation souhaite transmettre des données clients à un partenaire afin que celui-ci effectue des opérations de prospection, le consentement des clients doit être obtenu pour cette transmission.
De plus, il est nécessaire de communiquer aux personnes concernées l’identité précise des partenaires auxquels les données seront transmises. Le consentement donné ne peut être valable pour d’autres partenaires, car il doit être éclairé. Il est essentiel de bien qualifier les acteurs impliqués dans la transmission des données.
Il est crucial d’informer correctement les personnes et de s’assurer que le consentement est valide.
Réutilisation des données publiquement accessibles
Puis-je utiliser des données publiquement accessibles pour faire ma prospection ?
La réponse est qu’en principe, non. Le consentement doit être requis.
De plus, l’information fournie aux personnes doit être concise, accessible et mettre en évidence la source des données.
Dois-je réaliser une analyse d’impact (AIPD) ?
Même si elle n’est pas obligatoire, la CNIL recommande la réalisation d’une analyse d’impact.
Utilisation de logiciels d’aspiration de données
Quid de l’utilisation d’un logiciel d’aspiration des données ?
La CNIL rappelle le principe de minimisation prévu par le RGPD. À cet effet, seules les données strictement nécessaires doivent être collectées par le logiciel.
Attention ! Tous les sites n’autorisent pas la réutilisation de données à des fins commerciales ! Avant toute collecte, le responsable de traitement doit s’assurer de la politique en vigueur sur le site.
Relation contractuelle avec le prestataire
Quelle relation avec mon prestataire qui intervient dans ma prospection commerciale ?
Si vous engagez un prestataire pour effectuer des opérations de prospection commerciale, il est important de définir clairement contractuellement la relation de sous-traitance conformément à l‘article 28 du RGPD.
Conservation des données et gestion des droits d’opposition
Durée de conservation des données
Combien de temps dois-je conserver mes données de prospection ?
Pour les données personnelles des clients, elles peuvent être conservées jusqu’à l’exercice du droit d’opposition ou du retrait du consentement des personnes concernées, et au plus tard pendant la durée de la relation commerciale, plus trois ans après la fin de celle-ci.
Pour les données personnelles des prospects, elles peuvent être conservées jusqu’à l’exercice du droit d’opposition, sinon pendant trois ans à compter de leur collecte ou du dernier contact émanant du prospect (par exemple, le clic sur un lien hypertexte dans un message de prospection), mais pas simplement en raison de l’ouverture d’un courriel.
Gestion du droit d’opposition
Comment gérer l’exercice du droit d’opposition pendant ma prospection ?
Dans certains cas, il peut être utile de gérer le droit d’opposition à la prospection commerciale en utilisant une liste repoussoir. Cette pratique est recommandée lorsque la base de données utilisée pour la prospection commerciale est partagée avec des tiers et qu’il est impossible de distinguer les personnes ayant exprimé leur opposition des autres.
Dans ce cas, la CNIL recommande que les données figurant sur la liste repoussoir soient conservées pendant au moins trois ans pour garantir l’efficacité de la liste d’opposition. La liste repoussoir ne doit contenir que les données strictement nécessaires et ne doit pas être ré-utilisée à d’autres fins que le respect du droit d’opposition des personnes concernées.
Désormais, vous avez toutes les clés en main pour organiser la conformité de votre prospection commerciale. Cependant, ce n’est qu’un pan de la conformité ! Pour être conforme au RGPD, consultez notre comparateur de solutions logicielles de mise en conformité RGPD, ou contactez un DPO.
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Menu RGPD : Guide complet
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €