RGPD / GDPR et Marketing B2B : quelles adaptations indispensables ?
On entend beaucoup de choses sur le GDPR ou en français RGPD (Règlement Général sur la Protection des données Personnelles). Face à la multiplication de questions venant de nos clients et partenaires nous avons souhaité nous aussi faire le point et revenir aux origines de ce nouveau règlement, pour comprendre comment il va nous affecter, nous professionnels du marketing B2B.
Pour cet éclairage nous avons fait appel à Maître Betty SFEZ, avocat expert en Droit du numérique et de l’innovation technologique. Et comme nous sommes adeptes du marketing pragmatique nous lui avons demandé des conseils pratiques pour les premières étapes.
Vous avez forcément entendu parler du « RGPD » (ou « GDPR » en anglais). Le volume de conversations sur ce sujet reflète les inquiétudes des entreprises face à l’entrée en application prochaine (Mai 2018) du Règlement européen relatif à la protection des données personnelles (pour rappel : 4 ans de négociations, 4000 amendements, 176 considérants, 99 articles et de nombreux renvois aux droits nationaux).
Si son objectif est parfaitement louable (une protection renforcée des informations personnelles des citoyens européens), le texte est complexe et suscite de très nombreuses interrogations. Les données clients et leur utilisation à des fins marketing sont tout particulièrement concernées par cette réforme, et cela même dans un contexte B2B.
Les informations visées par le RGPD
La définition de « donnée à caractère personnel » figurant dans le texte est très large. Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement). Par exemple : nom, prénom, numéro de téléphone, adresses postale et email, numéro de plaque d’immatriculation, etc.
Dans une relation commerciale B to B, il est important de préciser que les adresses email professionnelles (Par exemple : nom.prénom@dénominationdesociete.fr) sont des données personnelles. A contrario, sont exclues de ce périmètre les données relatives aux personnes morales telles que les coordonnées de l’entreprise ou les adresses email génériques du type contact@dénominationdesociete.com. Dès lors, les bases de données B to B sont visées par le RGPD.
De nombreuses entités impactées par la réforme
Le champ d’application du RGPD est lui aussi très large. Les entreprises privées de toutes tailles (grands comptes, PME, startups) ainsi que les acteurs publics établis en Union Européenne sont concernés. Peu importe le lieu de traitement des données clients (critère de l’établissement). De même, le RGPD s’applique aux entités établies hors de l’Union Européenne traitant des informations personnelles de clients européens (critère du ciblage).
Outre les responsables de traitement, les différents sous-traitants intervenant dans la chaine de traitement des données clients sont soumis au RGPD. Dès lors, les prestataires d’emailing, les éditeurs de logiciels CRM et autres fournisseurs de solutions marketing sont concernés par cette réforme.
De vrais changements pour les opérations marketing B2B ?
Pour les campagnes d’emailing notamment, le régime dérogatoire actuel n’est pas modifié. En effet, le consentement (une exigence clef de la règlementation) n’est pas exigé pour la prospection commerciale ou la fidélisation. Certaines conditions doivent cependant toujours être respectées : informer sur les conditions de traitement des données, respecter le droit d’opposition (lien de désinscription) et s’assurer que la sollicitation soit en rapport avec la profession de la personne démarchée.
Hormis cet exemple, et bien que les risques d’atteinte à la vie privée semblent a priori moins important dans un contexte B to B, les obligations instaurées par le RGDP s’imposent. C’est le cas notamment du renforcement de l’information délivrée aux clients, des exigences en matière de durée de conservation et sécurité des données, des précautions à prendre en matière de cookies et, le cas échéant, de la tenue d’un registre listant l’ensemble des traitements de données (venant pallier la suppression d’une partie des formalités CNIL).
La désignation d’un Délégué à la protection des données (dit « DPO ») est également obligatoire dans certains cas. Cette personne (interne ou externe à l’entreprise) a pour vocation de piloter la gouvernance des données personnelles et d’exercer une mission d’information, de conseil et de contrôle.
Les bons réflexes pour démarrer
Le RGPD est une problématique transverse de l’entreprise nécessitant la mise en place de mesures organisationnelles, techniques et juridiques.
- Une concertation entre la Direction marketing et les autres directions métiers (ex : avec la DSI), ainsi que la désignation d’un chef de projet (en interne ou via un Cabinet de conseil ou d’audit, par exemple) pour lancer la mise en conformité sont incontournables.
- Autre prérequis, compte tenu de la multiplicité des points de collecte des données en entreprise (ex : formulaire de contact de site web corporate, processus de passation de commande sur site e-commerce ou collecte directe en magasins), la réalisation d’un audit. Il permet de recenser les bases de données (B2B et B2C) et d’obtenir un inventaire précis des données personnelles ainsi qu’une cartographie des traitements.
- Enfin, il convient de procéder à une revue et mise à jour des contrats (ex : les CGV des prestataires d’emailing). L’objectif est d’obtenir des partenaires et sous-traitants des garanties sérieuses (ex : sécurité des données) dans le cadre du traitement des données clients.
La transparence et la confiance étant les principes fondamentaux mis en exergue par le RGPD, mais également les piliers d’une relation client de qualité, les entreprises doivent lancer dès à présent des actions de mise en conformité à la règlementation.
par Maître Betty SFEZ
Avocat – Expert en Droits du numérique et de l’innovation technologique
Cabinet Sfez Avocats
Lectures complémentaires
- L’article sur le rôle du DPO publié par Business & Décision, rédigé par Maître Cécile Théard-Jallu
Complément d'information en réponse à vos questions sur le régime dérogatoire actuel en emailing B2B
Aucun texte (Loi Informatique & Libertés actuelle, le projet de Loi I&L en cours de débat, le RGPD et le Code des postes et des communications électroniques), ne fait expressément de distinction entre les rapports B2B et B2C. Cela explique que les enjeux B2B font l’objet de nombreux débats avec l’arrivée du RGPD.
Toutefois, nos interlocuteurs de la CNIL nous ont confirmé à plusieurs reprises le maintien des principes actuels (information, droit d’opposition mais pas de consentement préalable nécessaire) pour la prospection commerciale B to B après le 25 mai 2018 (entrée en vigueur du RGPD). L’article publié sur le site de la CNIL en date du 25 novembre 2016 (https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique) est donc a priori toujours d’actualité.
Cette interprétation impliquerait le raisonnement suivant (certes, quelque peu surprenant) : il conviendrait de distinguer les opérations de prospection commerciale B2B, des autres opérations de traitements de données B2B.
Ainsi, le traitement d’une base de données B2B comportant des données personnelles (ex: adresse email du type paul.dupont@nomdelasociété.fr et numéro de portable personnel) doit respecter toutes les exigences du RGPD. Toutefois, il y aura une exception au respect de l’exigence du consentement préalable pour la prospection B2B.
Maître Betty SFEZ, avocat expert en Droit du numérique et de l’innovation technologique