Comment s’assurer qu’une base de données BtoB est conforme à la réglementation qui s’impose en matière de traitement de données à caractère personnel ?

L’un des premiers réflexes à avoir lorsque vous souhaitez acquérir une base de données BtoB, dans la perspective d’une action de prospection commerciale, est de vous assurer des conditions dans lesquelles la base a été constituée.

En effet, les données doivent être collectées et traitées de manière licite (art.5 RGPD). Le responsable du traitement des données doit pouvoir vous prouver que la collecte a été faite dans le respect des articles 13 et 14 du RGPD, s’agissant de l’obligation d’information. Il vous appartiendra, en outre, au moment de l’envoi du mailing, de préciser aux destinataires les conditions dans lesquelles vous avez obtenu leurs données, et celles dans lesquelles ils peuvent exercer leurs droits (accès, rectification, suppression, opposition…) Ces informations sont généralement à indiquer au bas des emails accompagnées du lien de désabonnement.

Petit rappel

En matière de prospection commerciale en BtoB, nul besoin de recueillir le consentement de la personne concernée. Contrairement à une idée reçue et malheureusement largement répandue, l’entrée en application du RGPD n’a pas modifié les conditions légales encadrant la prospection en BtoB, l’intérêt légitime du responsable de traitement primant sur le consentement de la cible. De telle sorte que l’opt out est toujours la règle en matière de prospection BtoB. Ce qui va sans dire va parfois mieux en l’écrivant !

Fraîcheur des données

Naturellement, il est indispensable que la base de données à laquelle vous avez accès soit une base de données qualifiées, c’est-à-dire une base contenant des données à jour, actualisées régulièrement. A défaut, vous risquez de perdre du temps et de l’argent, à l’occasion d’une action marketing totalement inefficace, voire contreproductive si vous démarchez des personnes ayant exercé leur droit d’opposition…

« A ce titre, il nous semble pertinent de rappeler que la CNIL a condamné une société pour démarchage téléphonique illégal, et a prononcé à son encontre une amende de 500 000 €. En effet, la société condamnée n’avait absolument pas pris en compte le droit d’opposition que les personnes concernées avaient pu exercer, et continuaient à les démarcher (Dél. CNIL N°SAN 2019-010 du 21 novembre 2019). »

Assurez-vous que les listes d’opposition sont gérées correctement par la société qui vous met à disposition une base de données. Pour mémoire, le droit d’opposition doit pouvoir être exercé sans frais, à tout moment, et n’a pas à être motivé.

Sécurité et confidentialité

Enfin, le responsable de traitement a l’obligation de prendre toutes les précautions qui s’imposent pour préserver la sécurité et la confidentialité des données à caractère personnel traitées. Ces mesures, d’ordre technique et organisationnel, doivent permettre d’empêcher que les données soient endommagées, modifiées ou que des tiers non autorisés y aient accès. Elles doivent être mises en œuvre notamment au moment où les données vous sont transférées.

En toute hypothèse, les garanties présentées par le fournisseur de données auquel vous faites appel ne vous exemptent pas à votre tour de respecter l’ensemble des règles imposées par le RGPD et la loi informatique et libertés.

« Une jurisprudence ancienne et désormais bien ancrée (TGI Paris, 17è ch. 17 oct. 1994) qualifie de responsable de traitement la personne qui acquiert un fichier de données personnelles auprès d’un tiers pour ensuite l’exploiter pour son propre compte, et ce, à des fins commerciales. »

Vous devez donc, vous aussi, être garant du respect de la réglementation.

 

Stéphane BAÏKOFF
Avocate Associée
Kacertis Avocats