Fichier de prospection et RGPD : 3 marches à ne pas louper !

Présentées comme l’« or noir »[1] de l’économie numérique, inépuisables, les données sont indispensables à l’innovation en matière commerciale notamment pour optimiser des solutions, étudier des comportements individuels ou collectifs, tels que les habitudes de consommation.

A ce titre, elles sont sources de nombreuses transactions par les organisations qui les collectent. Ainsi, vendeurs, prestataires, éditeurs de sites internet ou de solutions logicielles sont susceptibles de vouloir les exploiter afin de les valoriser, de rentabiliser leurs bases de données.

Il est donc courant de trouver sur le marché à l’achat ou à la location des fichiers contenant des informations de contacts. L’intérêt pour le locataire ou l’acquéreur est simple : il cherche à augmenter sa base d’information et de clients potentiels.

Avant toute exploitation de ce type de bases de données, des vérifications s’imposent, a minima

1/ Déterminer la nature de la donnée concernée

Dans le cadre des données de prospections clients, la nature des données peut être variée. Il peut s’agir de données de contacts telles que les noms et prénoms, numéro de téléphone, adresses (courriel, postale, etc.) et les données de profil telles que la tranche d’âge, les centres d’intérêt, le métier ou encore le genre. Il est aussi possible de trouver des données en lien avec les habitudes de consommation.

A titre d’illustration, un fichier constitué de données clients intégrant les coordonnées, les informations techniques et les données de consommation est identifié comme un fichier contenant des données à caractère personnel par l’Autorité de la concurrence française[2]. Or, dès qu’une donnée a trait à une personne physique identifiée ou identifiable, son régime juridique est encadré par le Règlement (UE) 2016/679 du 27 avril 2016 dit Règlement européen sur la protection des données à caractère personnel ou « RGPD » » et la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés ».

A contrario, ces réglementations ne s’appliquent pas si les données ne portent que sur des données relatives à des personnes morales, avec pour exemple des adresses de courriel génériques de type « contact@société.fr ».

Au-delà du contenu, il est donc nécessaire de définir l’objectif poursuivi par ce fichier.

2/ Obtenir le consentement pour la finalité commerciale

Quand une organisation sollicite ses clients ou ses prospects, il est essentiel qu’ils [clients ou prospects] identifient ce que l’organisation fait de leurs données. Ce n’est qu’à cette unique condition qu’ils pourront valablement consentir à vous communiquer leurs données. Ce principe d’information est le préalable nécessaire avant d’exploiter la donnée dans l’hypothèse des fichiers clients / prospects.

En fonction de la relation commerciale que l’organisation entretient avec eux, il faut distinguer si les personnes visées sont des clients ou des prospects. Il faut également identifier la typologie de personnes : sont-elles des consommateurs ou des professionnels agissant dans le cadre de leurs activités commerciales, industrielles, artisanales, libérales ou agricoles ?

Évidemment, l’organisation doit obtenir le consentement préalable et non équivoque des prospects / clients consommateurs pour recevoir des sollicitations commerciales. Cet accord doit être obtenu en amont du traitement et donc au moment de la collecte des données. A ce titre, il ne doit pas être obtenu par truchement mais bien de manière libre et explicite.

Un tempérament existe toutefois, pour le consommateur qui a déjà eu recours aux biens ou services de l’organisation. Dans ce cas, l’organisation peut adresser des sollicitations commerciales pour des produits et/ou services similaires à ceux antérieurement souscrits. Le consommateur ayant déjà été informé de la finalité, il suffit de lui donner la possibilité de s’opposer à la réception de ce type de communication.

En pratique, il est recommandé de mettre en place un centre de préférence et de veiller au bon fonctionnement du lien de désinscription dans toutes les communications.

Dans le cadre d’une relation B to B, la sollicitation doit être en rapport avec la profession des personnes concernées. L’organisation doit informer les prospects / clients du traitement de leurs données à des fins de prospection et les mettre en mesure de s’opposer à cette utilisation. Toutefois, le consentement de la personne concernée préalablement à l’envoi de tels messages n’est pas exigé.

Pour diffuser ce type de fichier, à titre gracieux ou onéreux, à des tiers pour qu’ils réalisent des opérations de prospection commerciale par voie électronique (courriel ou SMS), l’organisation, au moment de la collecte des données, doit réaliser les opérations suivantes :

• Informer son client / prospect sur la transmission de ses données à des partenaires ;
• Recueillir un consentement explicite à la transmission des données à ses partenaires ;
• Communiquer la liste des partenaires et notifier, le cas échéant, la mise à jour de cette liste lorsqu’il y a de nouveaux partenaires.

En parallèle, dans la relation avec ses partenaires, il est nécessaire d’encadrer contractuellement la mise à disposition des données. Ainsi, l’organisation circonscrit la portée du traitement des données, leurs finalités et les limites des traitements susceptibles d’être envisagés au regard des consentements recueillis.

3/ Contractualiser la cession ou la location de la base de données

Il est important de rappeler à chaque partenaire ses devoirs vis-à-vis des personnes physiques. En effet, la constitution légalement conforme de la base de données ne suffit pas à exonérer les partenaires de leurs obligations. Ils doivent, eux aussi, informer les personnes dès leur première communication, en leur indiquant :

• les modalités d’exercices des droits, notamment pour qu’elles puissent simplement et efficacement retirer leur consentement ;
• d’où proviennent les données utilisées.

A contrario, si vous envisagez d’acquérir un fichier client / prospects, vous devez vous assurer que le vendeur a bien recueilli le consentement des personnes dont les données sont contenues dans le fichier pour la finalité que vous poursuivez.

La vigilance doit être grande quand vous êtes acquéreur de ce type de base de données car le consentement donné par la personne ne vaut que pour les partenaires figurant sur la liste communiquée au moment de la collecte dudit consentement.

Le commerce de ce type de base est courant et l’opportunité d’y recourir ne doit pas obérer les obligations des parties au contrat. A défaut, au-delà de la perte d’image associée aux scandales de ce sujet, les sanctions sont encourues, tant sur le plan administratif, par une amende de la Cnil, sur le plan pénal, par une peine d’emprisonnement et une amende et sur le plan civil avec l’attribution de dommages et intérêts pour les personnes concernées.

Enfin, le contrat conclu en violation des attentes légales du texte serait sans doute nul et ne pourrait faire l’objet de commerce. En d’autres termes, l’acquéreur pourrait solliciter le remboursement des sommes versées.