RGPD ce qui change pour la prospection

Auteur : Nicolas ROUSSEL

De formation marketing et commercial, j'accompagne depuis plus de 20 ans les entreprises technologiques dans leur développement. J'ai créé l'agence I AND YOO pour répondre aux problématiques de génération de leads en vente complexe.
Publié le : 7 juin 2018
Catégorie : RGPD

Depuis le 25 mai 2018 le RGPD est entré en vigueur (règlement général sur la protection des données personnelles). Mais qu’est ce qui change vraiment pour la prospection tant sur le plan marketing que sur le plan commercial ? Ce nouveau réglement s’impose-t-il à tous de la même manière? Quelles sont les personnes concernées? Quelles mesures les marketeurs et les commerciaux vont-ils devoir prendre? Cet article vous donne les clés pour mieux comprendre et vous préparer.

 

RGPD définition

 

RGPD signifie Règlement européen sur la protection des données. Sa traduction anglaise est GDPR (General Data Protection Regulation). Il s’agit d’un règlement de l’union européenne (règlement no 2016/679) entré en vigueur le 25 mai 2018 qui s’applique à toutes les entreprises européennes et toutes les sociétés hors UE qui traitent des données personnelles de citoyens européens.

Ce règlement a un double objectif:

  • renforcer la protection des données personnelles des citoyens européens
  • responsabiliser les acteurs qui traitent ces données dites personnelles

 

Qu’entend-on par données personnelles?

 

L’article 4 du règlement précise ce que sont les données personnelles: “toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;”

Ainsi, il peut s’agir de “toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.

Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.” (source : CNIL)

Peu importe que ces informations soient confidentielles ou publiques : elles restent personnelles.

 

Les principes de la RGPD

 

Vous trouverez ci-dessous les principales dispositions énoncées de façon simplifiée. Pour plus de précision, il est préférable de vous référer au site de la CNIL ou de la Commission Européenne.

 

a – Un renforcement des droits des personnes

Le règlement renforce le droit des personnes et facilite son exercice. Notamment:

 

Consentement

Avant toute collecte de donnée personnelle, une personne doit donner son consentement ou pouvoir s’y opposer. Ce consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

 

Nouveaux droits

  • Le droit à la portabilité des données : pouvoir récupérer ses données sous une forme facilement utilisable afin de pouvoir les transférer à une autre société
  • Des conditions particulières pour le traitement des données des enfants
  • Introduction du principe des actions collectives
  • Un droit à réparation des dommages matériel ou moral

 

b – Transparence et responsabilisation

Il s’agit de limiter le nombre d’informations collectées, et ce dès la conception des bases de données. C’est le fameux “Privacy by Design” (confidentialité dès la conception) ou principe de minimisation.

La responsabilisation constitue aussi un pilier. Afin d’assurer la protection des données collectées, les acteurs qui traitent ces données devront mettre en place des mesures de protection et être capable de démontrer leur conformité à tout moment. Pour cela de nouveaux outils deviennent indispensables. Notamment la nomination d’un DPO (délégué à la protection des données ou Data Protection Officer en anglais), la tenue de registres, l’obligation d’informer les personnes et les autorités en cas de défaillance etc.

Les entreprises devront faire des “études d’impact sur la vie privée” (PIA – Privacy Impact Assessment) dès qu’elles détiennent des données sensibles telles que l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses (non exhaustif).

Obligation de notifier à l’autorité de protection des données dans les 72 heures en cas de violation de données à caractère personnel.

Nommer un Délégué à la Protection des données (Data Protection Officer). Cette nomination est obligatoire pour tous les organismes du secteur public, toutes les entreprises dont l’activité entraîne le traitement de données personnelles à grande échelle et toutes les entreprises traitant des données personnelles “sensibles”.

 

c – Responsabilité des représentants légaux et des sous-traitants

Le DPO ne sera pas personnellement responsable devant la loi. Le représentant légal oui.

De même, le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability.

 

d – Transfert des données hors de l’Union Européenne

Des mesures spécifiques (sécurité) doivent être prise en cas de transfert des données à caractère personnel en dehors de l’UE. Ces données même en dehors de l’UE restent soumises au même principe de traitement.

 

e – Sanctions

Les autorités de protection peuvent agir de différentes manières avant d’infliger une sanction:

  • Prononcer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l’effacement des données

Les entreprises non conformes s’exposent à des sanctions allant jusqu’à 20 millions d’euros pour les PME et 4% du CA global du groupe pour les grandes sociétés.

 

Impact de la RGPD sur la prospection commerciale

 

La prospection consiste à trouver de nouveaux clients éventuels. Cela peut se faire de différentes manières: par courrier, par email, par rencontre physique, par téléphone.

On peut distinguer deux formes de prospection : la prospection commerciale nécessitant un contact direct, et la prospection marketing (emailing et courrier).

Le fait de démarcher une personne avec un contact direct ne nécessite pas d’être en conformité avec le RGPD. Personne ne vous interdira jamais de frapper aux portes d’un immeuble pour vendre vos produits. De même si vous prenez les pages jaunes et commencez une prospection téléphonique.

En matière de prospection commerciale le problème se pose de deux manières:

  1. La base de données que vous allez utiliser pour prospecter : cette base est-elle conforme à la réglementation RGPD?
  2. Comment allez-vous traiter les données personnelles que vous collectez?

 

Impact de la RGPD sur la prospection marketing

 

La prospection marketing est plus problématique car elle repose systématiquement sur la notion de base de données. Eh oui! Comment envoyer un message à un prospect sans préalablement avoir ses coordonnées?

Il s’agit donc de savoir:

  • Si vous pouvez vous constituer votre propre base de données
  • Si vous pouvez utiliser une base de données
  • Si vous pouvez utiliser votre “vieille bonne base de données interne”

 

a – Se constituer sa propre base de données

Dès que vous allez constituer une base de données avec nom, prénom, adresse email, adresse postale etc. vous entrez dans le champs des données personnelles (permettant d’identifier directement ou indirectement une personne physique).

Vous êtes donc soumis au RGPD. Vous êtes donc censé avoir obtenu l’accord des personnes.

Pire, si vous scrapper une base de données (robot permettant de récupérer les données d’un site web) vous êtes dans la pire configuration. Non seulement n’êtes pas RGPD mais en plus vous mettez à risque l’entreprise que vous avez si négligemment scrappée.

 

b – Acheter une base de données

Du moment que la base que vous achetez est conforme RGPD vous êtes soumis au RGPD car vous détenez des informations à caractère personnel. Il est alors de votre devoir de demander le consentement aux personnes. Autant dire que vous perdrez 90% ou plus de votre investissement.

Vous pouvez cependant effectuer des envois de messages marketing en passant par votre prestataire qui lui doit être conforme RGPD. Ce prestataire doit explicitement avoir demandé l’accord aux personnes de sa base de données de recevoir des messages commerciaux de la part de sociétés tierces.

 

c – Utiliser sa base de données

Ici la question est plus complexe.

Pour tous vos clients la question ne se pose pas: il s’agit d’un intérêt légitime. Pour le reste vous devez vous poser la question de savoir comment ces personnes ont intégré votre base et si vous êtes à même de fournir une preuve de leur consentement :

  • Via un formulaire : dans ce cas il peut s’agir d’un intérêt légitime si la personne a volontairement donné son accord
  • Via un salon : la personne doit avoir donné son accord pour recevoir des informations
  • Un commercial a ajouté une personne: il peut s’agir d’un intérêt légitime si vous avez eu un contact avec la personne et non pas simplement récupéré des informations par ailleur
  • L’achat d’une base ancienne présente dans vos systèmes: il s’agira rarement d’un intérêt légitime et vous n’êtes a priori pas conforme

 

Prospection téléphonique et RGPD

La prospection téléphonique repose aussi sur l’achat de bases de données. Le cold calling ne doit pouvoir se faire qu’à partir d’une base conforme RGPD, c’est-à-dire composée de personnes ayant donné leur consentement.

Ainsi la CNIL précise que la prospection par téléphone (télémarketing) est possible à condition que la personne soit, au moment de la collecte de son numéro de téléphone :

  • informée de son utilisation à des fins de prospection.
  • en mesure de s’opposer à cette utilisation de manière simple et gratuite, notamment par le biais d’une case à cocher.

Ainsi, votre fichier de prospection doit bien être conforme au RGPD.

Si vous prospectez à partir d’un fichier type pages jaunes, vous devez à votre tour recueillir le consentement de la personne et en apporter la preuve (en général via un enregistrement de la conversation ou l’envoi d’un email post conversation).

 

La RGPD et la prospection sur les réseaux sociaux

Les réseaux sociaux permettent aujourd’hui d’avoir potentiellement accès à des millions de personnes. C’est une aire de jeu formidable pour des commerciaux et on se demande comment feraient les commerciaux B2B aujourd’hui sans LinkedIn.

Les plateformes comme LinkedIn, Facebook, Twitter se doivent d’être conformes RGPD. Vous pouvez les utiliser pour entrer en contact avec des prospects et communiquer avec eux. Pour cela vous allez faire une demande de connexion et obtenir un premier consentement : celui de communiquer avec la personne. A ce stade vous ne vous constituez pas une base de données dont vous êtes responsable.

Non, le problème peut se poser si vous faites une extraction de vos archives. Il est notamment possible de télécharger ses archives LinkedIn avec les données sur les contacts de son réseau. A partir de ce moment vous détenez chez vous des données personnelles.

Vous ne pouvez donc a priori pas contacter ces personnes via des actions marketing type emailing.

 

Impact du GDPR sur votre CRM et vos données

Dès que vous insérez des données relatives à des personnes physiques dans votre CRM vous entrez dans le champs du règlement général sur la protection des données. Vous devez donc indiquer pour chaque personne pour quelle raison ces données intègrent votre CRM

  • Intérêt légitime car venant d’un téléchargement sur votre site, ou d’un appel entrant par exemple
  • Intérêt légitime car déjà client
  • Personne sous contrat avec votre société
  • Personne vous donnant librement son consentement

Mais ceci n’est qu’une partie car vous devez aussi indiquer dans quel cadre vous allez communiquer avec elle:

  • newsletter
  • campagnes marketing (et lesquelles le plus souvent)
  • communication one to one
  • etc.

Autre aspect de la RGPD : la durée de détention des informations. La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.

 

Le cas de la prospection B2B dans le cadre de la RGPD

Prospection B2B et prospection B2C ne répondent pas exactement aux mêmes règles, notamment pour la prospection via email

Le principe de la CNIL est simple : pas de message commercial sans accord préalable du destinataire.

En BtoC : pas de message commercial sans accord préalable du destinataire (CNIL). Pour pouvoir utiliser des données de particuliers vous devez donc avoir un consentement explicite avec opt-in.

En BtoB : information préalable et droit d’opposition (CNIL). Vous devez informer les personnes et donner la possibilité de modifier l’usage qui est fait des données. L’objet de la sollicitation doit aussi être en rapport avec la profession de la personne démarchée (CNIL).

 

RGPD, Inbound marketing, outbound marketing et inbound sales

L’inbound marketing est une nouvelle forme de marketing, plus respectueuse des données personnelles. La philosophie de l’inbound marketing est d’attirer des inconnus sur votre site grâce à du contenu pertinent puis de le séduire suffisamment pour qu’il s’engage avec vous. De fait votre base se trouve conforme à la réglementation.

A l’inverse, l’outbound marketing est une action volontaire de la marque pour aller toucher le consommateur via du marketing interruptif. L’email de masse est alors largement utilisé et il faut alors s’appuyer sur des prestataires de qualité pour la location de base de données.

L’inbound sales est une technique commerciale proche de l’inbound marketing. L’approche des clients potentiels se fait en utilisant des données existantes (CRM, réseaux sociaux, sites internet) et en fournissant du contenu pour aider à la progression dans le parcours d’achat. C’est une approche one to one qui nécessite un travail préparatoire de recherche. Le plus souvent cette approche se fait depuis les leads apportés par le marketing.

Nos autres articles sur la RGPD:

Cet article vous a intéressé et vous souhaitez travailler avec une agence qui vous accompagne dans votre stratégie et dans l’opérationnel? Découvrez nos services et notre solution de mise en conformité RGPD.

 

P.S. Lorsque vous serez prêt… Voici 3 façons dont nous pouvons vous aider à développer votre activité :

1. Laissez-nous vous aider à élaborer une stratégie de marketing réussie. Nous vous accompagnons tout au long de votre démarche pour vous assurer de maximiser les résultats. Vous conservez le contrôle sur votre production de contenus et sur vos campagnes marketing, mais bénéficiez de notre expertise pour les améliorer. Agissez dès maintenant et découvrez comment nous pouvons vous aider à atteindre vos objectifs de marketing.

2. Profitez de notre expérience en copywriting pour maximiser la qualité de votre production de contenus. En nous sous-traitant la rédaction de vos articles, livres blancs, posts LinkedIn, etc., vous gagnez en temps et en qualité. Nos experts en copywriting savent comment rédiger des textes convaincants qui attirent les prospects et les incitent à agir. Prenez une longueur d'avance sur vos concurrents en nous confiant votre production de contenus dès à présent.

3. Nous mettons notre expertise en marketing à votre disposition pour générer des leads de qualité avec des campagnes inbound et outbound. Nous nous chargeons de tout, de l'élaboration de votre stratégie à la mise en œuvre des campagnes, en passant par la production de contenus. Profitez d'une approche globale et professionnelle pour atteindre vos objectifs de marketing. Contactez-nous dès maintenant pour en savoir plus.

Inscrivez-vous pour recevoir des dernières actualités