RGPD, ePrivacy : qu’a-t-on droit de faire des données en B2B ?

RGPD et ePrivacy : qu’a-t-on le droit — réellement — de faire ou de ne pas faire en B2B ? Le  RGPD fait partie des marronniers du monde des affaires à tel point que cela en devient quasiment saoulant. D’une part, comme je l’ai décrit dans un épisode précédent, la protection des données n’est pas, contrairement à ce que l’on pourrait croire, l’apanage des seuls Européens. D’autre part, à entendre les discours plus péremptoires les uns que les autres sur ce règlement (dont on a déjà vu qu’il était diversement appliqué), on croirait qu’il s’agit d’un gendarme implacable. Mais qu’en est-il vraiment en B2B ?

RGPD et ePrivacy : qu’a-t-on droit de faire en B2B ?

RGPD en B2B : qu'a-t-on droit de faire en Business to Business ?
RGPD en B2B : qu’a-t-on droit de faire en Business to Business ? L’AFCDP nous dit tout, c’est-à-dire qu’en fait, il n’y a pas beaucoup d’interdits.

Les associations professionnelles du business to business ont toujours, depuis les débuts des règlements sur la protection des données vers la fin des années 90, su échapper aux préconisations sur l’Opt-in en faisant valoir que la prospection était fondamentale pour nos métiers.

S’il est compréhensible et même souhaitable de protéger le droit à la prospection, l’absence de cadre a malheureusement mené à nombre de dérives qui, même en B2B, frisent l’insupportable. Le résultat d’ailleurs, on le connaît, Jean-François Messier nous l’a décrit ici, 323 levées de coudes pour obtenir un seul rendez-vous commercial en 2017, fermez le ban (et je ne pa rle pas du nombre de messages électroniques, les résultats sont encore plus mauvais quand les pratiques sont inadéquates).

Pour bien comprendre ce qui est et n’est pas autorisé, j’ai donc interviewé Patrick Blum, délégué général à l’AFCDP, l’Association française des professionnels de la protection des données personnelles.

Celui-ci a hélas confirmé mes doutes sur le caractère faiblement contraignant de ces règlements à l’égard du B2B. Le permission marketing attendra donc encore un peu et devra se contenter des chartes d’éthique.

L’Opt-in est-il uniquement fait pour le B2C ?

Il y a deux mondes dans la communication électronique, précise Patrick Blum : la communication électronique qui s’appuie sur des données personnelles, est régie par la directive ePrivacy, qui a été traduite dans les lois françaises et qui n’est pas le RGPD, qui lui est la constitution des bases de données, les traitements de données à part entière.

Dès qu’on est sur l’utilisation des fichiers pour faire de la communication électronique, on est régi par la directive ePrivacy. Dans le cadre de cette directive et de la loi française, quand on communique avec des particuliers en B2C, on est dans le mode Opt-in, on doit demander l’autorisation aux personnes avant de communiquer.

Dans le monde B2B, on est dans l’Opt-out, ce qui signifie que l’on peut écrire à quelqu’un dans le cadre de son activité professionnelle sans lui demander son avis préalable, en respectant un certain nombre de règles :

  1. Il faut contacter une adresse (a priori) professionnelle ;
  2. Il faut permettre aux gens de se désinscrire ;
  3. Il faut s’assurer que la communication qu’on va lui apporter est bien relative à son activité professionnelle ;
  4. Il faut aussi prévoir dans le mail la possibilité de se désinscrire, le droit d’opposition doit être prévu dans le courrier.

Bref, rien de nouveau depuis des siècles. Si tant est que ces règles minimum aient jamais été respectées.

Le lien à l’intérieur du mail doit être explicite, mais il n’y a pas de règle écrite sur ce point, précise Patrick. Il est sous-entendu qu’il faut être « de bonne foi », mettre un lien de désinscription en blanc sur blanc ou 25 pages plus bas avec du blanc en bas de la page, ce n’est clairement pas de la bonne foi de la part de l’émetteur. En cas de litige, on ne serait pas reconnu dans son droit.

Le recours ultime : la plainte auprès de la CNIL

Cela fonctionne-t-il ? « La CNIL a les moyens qu’elle a, et des obligations qui vont très au-delà des moyens dont elle dispose », reconnaît Patrick. En d’autres termes, elle n’a pas les moyens de ses ambitions.

Elle est donc obligée de s’organiser et de traiter les urgences. Si vous êtes seul à vous plaindre de la société X ou Y, il y a donc de fortes chances que la CNIL ne puisse pas faire grand-chose.

Par contre, si la société X ou Y fait l’objet de plaintes répétées et nombreuses, au bout d’un certain temps — je n’ai pas plus de précisions — la CNIL risque bien de s’apercevoir de l’accumulation de plaintes auprès de la même entreprise et dans ce cas, elle pourra éventuellement diligenter des actions, soit des contrôles, soit même directement des actions contre l’entreprise [NDLR voir ici quelques exemples avec les sociétés de ciblage Vectaury, Fidzup, Teemo et Singlespot qui ont été épinglées en 2018].

Dans certains cas, ça peut faire très mal nous explique Patrick. On commence à voir des amendes assez importantes. Mais la CNIL va commencer en général par écrire à l’entreprise en demandant des explications au vu du nombre de plaintes reçues. S’il existe un délégué à la protection des données au sein de l’entreprise, il sera informé, et c’est à lui qu’on demandera des explications, et si le problème peut être réglé.

Même Carrefour s’est fait épingler (deux fois) pour son manque de transparence et de respect des règles « concernant notamment l’information délivrée aux personnes et le respect de leurs droits ».

Les sites web et listes de diffusion sont tellement nombreux dans les entreprises qu’il est très compliqué de s’assurer que tout est conforme

Quand il existe, le délégué à la protection des données essaie de réguler, contrôler, d’auditer, mais il peut y avoir des choses qui passent à travers les contrôles. C’est inévitable, nous explique Patrick Blum.

La CNIL se penche aussi sur la posture de l’entreprise. Si elle démontre une volonté d’être le plus possible en conformité, de se mettre en règle dès qu’il y a une alerte, la CNIL fera alors le constat de ses efforts pour corriger ses erreurs. Elle est évidemment plus virulente si on y met de la mauvaise foi.

En matière de protection des données aussi, on a donc le droit à l’erreur, mais comme expliqué dans l’exemple Fidzup ci-dessus, il ne faut pas trop mettre le pied en touche tout de même.

En conclusion, les règles sont claires et plutôt souples, mais l’étau se resserre peu à peu

La fameuse directive ePrivacy va être bientôt remplacée par un règlement qui sera beaucoup plus contraignant, précise Patrick. Ce sera un texte européen, qui sera le même dans toute l’Europe, ce qui n’est pas le cas actuellement.

En conclusion, on peut recommander à nos lecteurs marketeurs, quelle que soit la loi, de respecter l’éthique et les utilisateurs, et si nécessaire, de leur envoyer une invitation pour s’inscrire, et de toujours bien être en conformité avec les règles que l’on vient d’édicter, qui sont simples et finalement assez peu contraignantes.


(*) L’AFCDP, Association française des professionnels de la protection des données personnelles, regroupe des délégués à la protection des données (DPO), et des professionnels, consultants, avocats qui s’intéressent à la protection des données dans leur activité. Elle fédère les gardiens du temple de la protection des données personnelles dans les organismes.

 

 

Yann Gourvennec
Follow me

3 thoughts on “RGPD, ePrivacy : qu’a-t-on droit de faire des données en B2B ?

    1. Merci, la question mérite en effet d’être posée. Peut-être faudrait-il changer le vocabulaire. « Collecter de la donnée » ça fait marketeur de l’ancien temps qui essaie de racler des contacts à tout prix sans forcément se soucier de ses audiences. Il faut passer au marketing de la permission, du respect et de l’éthique. Quand on est gentil avec les gens, ils vous le rendent bien en général. Il y a un véritable ROI de la générosité.

Comments