Arnaud-G. RICHARD : Souvenez-vous de cette phrase de Churchill, « un pessimiste voit la difficulté dans chaque opportunité, un optimiste voit l’opportunité dans chaque difficulté », alors, si comme tout changement il réclame réflexions, investissements humain et financier, le RGPD (sur lequel, il convient de le rappeler, les entreprises avaient toute latitude pour travailler à sa mise en œuvre depuis mai 2016) peut constituer une difficulté, il a pour un principal impact d’être une incontestable et rare opportunité, un vecteur puissant de croissance.

S’intéresser aux données personnelles des prospects, des clients, c’est s’intéresser à vous, à moi, à nous tous, à ce qui nous caractérise, nous identifie, à ce qui fonde nos différences, fait de chacun un être unique, et à ce qui nous unit, nous réunit, démontre nos points communs et notre appartenance à des ensembles.

Tout cela est par conséquent infiniment précieux et comme tout ce qui est précieux, ce peut être une richesse considérable pour l’entreprise mais aussi la source de convoitises.

Je dis souvent à celles et ceux que je conseille, vous avez dans toutes vos communications, vos offres, vos propositions, dans tous vos contrats avec vos clients, dans tous vos actes avec eux, dans votre comportement permanent envers eux, une obligation qui surpasse toutes les autres, une obligation qui vous oriente, une obligation vitale : celle de la transparence.

Plus l’entreprise est transparente, plus elle est claire, plus elle cultive la vérité et le respect, plus elle donne de vrais gages d’honnêteté, plus elle rassure, plus elle fidélise, plus elle attire, et plus elle crée de la valeur, or c’est là la vocation première de l’entreprise, créer de la valeur.

Le client n’achète pas un bien ou service, fut-il l’innovation des innovations, la révolution des révolutions, il entre dans une relation, il choisit, guidé par son intuition, son émotion, sa foi. La raison n’intervient pas ou elle est secondaire.

Pour nous servir toujours au mieux, pour nous offrir le plus bel écrin, l’entreprise doit nous comprendre, nous saisir dans toutes nos dimensions, être attentive, attentionnée, nous admirer ; plus elle nous connaît, plus elle prend soin de nous, plus elle connaît son avenir.

Ainsi, comme nous nous savons désirables, mais aussi fragiles, nous devons être rassurés, nous devons être protégés et savoir que nous pouvons agir et réagir.

C’est aussi en cela que le RGPD est une opportunité car précisément, il fait la synthèse de tous ces impératifs, il est, selon moi, le manuel de la confiance. Le prospect, le client, sait ce que l’entreprise va faire des données le concernant, il sait ce que lui peut faire, il sait qu’il peut exercer des droits auprès des entreprises, il sait qu’il peut s’adresser à une autorité indépendante (en France, la CNIL qui entre mai 2018 et mai 2019 a reçu près de 12.000 plaintes, soit 30% de plus depuis l’entrée en vigueur du RGPD) et il sait que les entreprises récalcitrantes ou insuffisamment protectrices peuvent être sanctionnées (les amendes pouvant aller jusqu’à 4% du CA), Google s’est ainsi vue infliger par la CNIL, une amende de 50 millions d’euros, certainement une goutte d’eau pour cette entreprise internationale et tentaculaire mais rares sont les autorités pouvant prononcer une sanction aussi importante.

Les esprits chagrins diront que le RGPD  ne vaut que pour l’Europe, mais nous sommes quand même 500 millions, et pour le reste du monde, n’oublions pas que seuls ceux qui persévèrent, comme le fit si brillamment celui que j’ai cité au tout début de cet entretien, peuvent exercer une influence et renverser le cours de cette histoire que bien trop souvent l’on croit –au mépris de tout combat- perdue d’avance. Il faut se mettre en ordre, se lever, avancer sans jamais dévier de l’objectif qui in fine est celui de la protection de notre liberté, ce qui mérite l’attention du pouvoir politique en France, en Europe, et avant tout, la nôtre car nous ne pourrons pas dire à nos enfants que nous ne savions pas.

En outre, les Etats-Unis que l’on a pu croire un peu timorés pendant un temps ne le sont pas ou plus du tout. En juillet dernier, la Federal Trade Commission[1] (FTC) a ainsi infligé (accord négocié) 5 milliards de dollars d’amende pour Facebook et surtout la mise en place d’un comité de surveillance indépendant contrôlant la collecte et l’utilisation des données personnelles. Hier on apprenait que YouTube (filiale d’Alphabet (Google)) acceptait de payer 170 millions de dollars[2], l’enquête menée par la FTC démontrant en effet que cette société se serait affranchie de l’obligation d’accord des parents quant à la collecte de données personnelles de mineurs de moins de 13 ans.

[1]  Commission Fédérale du Commerce

[2] A comparer toutefois au 40 milliards de dollars de revenus d’Alphabet sur le seul second trimestre 2019.

AR : Le RGPD s’adresse à toute personne qui effectue un traitement, automatisé ou non, de données à caractère personnel, sauf lorsque ce traitement concerne une activité purement personnelle et non professionnelle.

Une donnée à caractère personnel est une information professionnelle ou personnelle relative à une personne physique identifiée ou qui peut être identifiée. Il peut, par exemple, s’agir de l’adresse email professionnelle d’une personne physique.

Le traitement s’entend de toute opération ou ensemble d’opérations qui a pour objet la collecte, l’enregistrement, la conservation, l’organisation, l’adaptation ou la modification, la consultation, l’utilisation, la communication, etc., de données à caractère personnel.

AR : Le RGPD ne fait aucune différence entre les activités B2B et B2C.

Il fait en revanche faire la différence entre deux sortes de consentement :

• le consentement au traitement de données personnelles. Le RGPD précise que ce consentement est obligatoire, quelle que soit l’activité de l’entreprise qui collecte les données.
• et le consentement à la prospection commerciale électronique et aux campagnes d’emailing. C’est là où réside la différence fondamentale entre les activités B2B et B2C. Les règles en la matière ne changent pas et ne sont pas fixées par le RGPD, mais par une directive européenne distincte, la directive e-privacy[1].

Comme avant l’entrée en vigueur du RGPD, le consentement pour les activités de B2B  n’est ainsi pas nécessaire, mais le prospect doit être :

1. informé, lors de la collecte de ses données personnelles et généralement de son adresse mail, que celle-ci sera utilisée à des fins de prospection,
2. en mesure de s’opposer gratuitement à cette utilisation, par exemple par une case à cocher non préremplie, car cela est contraire à la loi.

De plus, les adresses professionnelles génériques non attachées à une personne physique en particulier, du type info@societeABC.fr ou contact@societeABC.fr, qui constituent les coordonnées de la personne morale, ne sont pas considérées comme des données à caractère personnel et ne sont donc pas soumises au principe du consentement préalable ni à celui de l’information préalable et du droit d’opposition.

Si l’ensemble de ces conditions sont respectées, il est tout à fait possible de prendre contact avec un prospect sans consentement préalable.

• [1] du 12 juillet 2002, transposée par la loi du 9 juillet 2004 : article L34-5 code des Postes et des communications électroniques.

AR : Le RGPD ne procède pas à des aménagements selon la taille ou les moyens des entreprises qui traitent des données. Les dispositions relatives aux conditions du traitement des données sont donc les mêmes pour tous.

Cependant, certaines dispositions ne s’appliqueront pas de la même manière aux différentes entreprises, mais il faut garder à l’esprit l’objet du RGPD, qui est la protection des données lors de leur traitement. 

Dès lors, les critères de « modulations » ou d’« adaptabilité » des règles du RGPD ne sont pas attachés aux caractéristiques de l’entreprise, mais aux caractéristiques des traitements et des suivis de données qu’elle réalise.

On pense notamment à la nomination d’un délégué à la protection des données (DPO) qui n’est obligatoire que pour les entreprises qui effectuent des traitements et des suivis de données à caractère personnel à grande échelle. C’est aussi le cas pour les données dites sensibles à grande échelle comme les informations médicales, les condamnations pénales, les opinions politiques, les données génétiques, etc.  

Ces types de règles sont très résiduels et même si elles ne sont pas obligatoires, la CNIL recommande très fortement de les appliquer, ne serait-ce que pour faciliter la mise en œuvre du RGPD au niveau de l’entreprise, mais également la prise de contact et les échanges avec la CNIL.

AR : L’élément crucial et central du traitement de données est le consentement de la personne dont les données sont traitées. 

C’est donc le contenu et le domaine du consentement qui déterminent l’utilisation qu’on aura le droit de faire des données personnelles. 

Un consentement est donné à LinkedIn pour la collecte, la transmission et l’usage des données personnelles communiquées par la personne. 

La personne consent également aux finalités du traitement de ses données à savoir, pour LinkedIn, la mise en relation avec d’autres personnes, prospects ou employeurs éventuels ainsi que la communication et la suggestion de sujets ou de publicités susceptibles de l’intéresser. 

Le fait pour le prospect d’accepter l’invitation du développeur commercial d’ABC constitue alors : 

1. un accord pour lui donner accès aux données personnelles mises sur le site LinkedIn et à celles-ci uniquement,
2. un accord à la prise de contact, mais uniquement dans le cadre des finalités définies et prévues par LinkedIn dans sa politique de confidentialité : lui proposer une offre d’emploi, le solliciter pour recourir à ses services, solliciter des informations sur des sujets professionnels ayant trait à des activités ou des problématiques communes et lui communiquer de la publicité portant sur des offres et produits en lien avec son activité professionnelle. 

Cependant, le développeur commercial ne reçoit qu’un accord « d’accès » aux données transmises à LinkedIn : il ne s’agit pas d’un consentement à collecter lui-même les données ou à les transférer à d’autres personnes.

Quant aux finalités du traitement et l’utilisation des données, l’acceptation de l’invitation ne constitue pas un véritable consentement au sens du RGPD. Seul LinkedIn en reçoit un. Ainsi, le développeur commercial ne pourra pas s’écarter des finalités prévues par LinkedIn. 

AR : Outre le recueil du consentement du prospect, il est obligatoire de faire figurer une série d’informations comme l’identité du responsable du traitement de données (celui qui les collecte et les traite), de son sous-traitant éventuel, les finalités du traitement, les données qui vont être collectées, la durée de conservation des données ou les critères permettant de déterminer cette durée, l’ensemble des droits de la personne dont les données sont collectées (droit de rectification, de s’opposer au traitement, de retirer son consentement). 

En somme, ABC doit stipuler toutes les informations permettant au prospect de savoir quelles sont les données collectées, où elles sont stockées, pourquoi, comment, pour combien de temps, éventuellement pour qui (si des transferts à d’autres personnes sont prévus), dans quelle zone géographique (notamment de préciser en ou hors UE), les différents protagonistes de cette collecte et les droits dont la personne dispose dans le cadre de ce traitement.  

Généralement, ces informations figurent dans un document annexe type « Politique de confidentialité » auquel, à l’instar des Conditions générales de vente, le prospect sera renvoyé avant toute action de téléchargement ou de validation du formulaire à remplir.

AR : Il y a deux hypothèses de traitement de données : 

• le traitement des données est nécessaire à la satisfaction des intérêts légitimes du responsable du traitement. Dans ce cas, et sous réserve de prouver cet intérêt légitime, le traitement de données peut être effectué sans consentement de la personne. La notion d’intérêt légitime n’a encore été ni précisée ni définie, mais tout porte à croire qu’elle ne sera pas assimilable aux intérêts commerciaux des entreprises et qu’elle constituera un vrai cas d’exception. 
• En dehors de ce cas, la personne doit avoir consenti de manière claire et explicite au traitement de ses données. Cela suppose en effet une action positive de la part du prospect dénuée de toute ambiguïté. 

Le fait de cocher une case type avec un lien détaillant les informations obligatoires relatives au traitement est, comme pour les CGV, suffisant sur le principe de l’expression du consentement. 

Toutefois, un double consentement peut être utile, car c’est au responsable de traitement, la société ABC, de prouver qu’elle a bien recueilli le consentement du prospect et que celui-ci l’a bien donné de manière libre, claire et explicite. 

Il pourrait donc être envisagé une double validation : par case à cocher puis par confirmation du consentement en cliquant sur un lien contenu dans un email envoyé à l’adresse électronique du prospect.

AR : La loi du 6 janvier 1978 et le RGPD n’imposent pas de durée légale. Tous deux se contentent de préciser que la durée doit être raisonnable et constituer une durée objectivement adaptée au regard des objectifs et des finalités du traitement des données.

Par exemple, la CNIL estime que pour un prospect qui ne répond pas aux sollicitations, cette durée est de 3 ans (les données contenues dans un dossier médical électronique seront quant à elles conservées 10 ans).

AR : Le RGPD prévoit une obligation, pour le responsable du traitement et pour son sous-traitant éventuel, de garantir un niveau de sécurité adapté au risque. 

Par exemple, le niveau de sécurité ne sera pas le même en présence d’adresses mails qu’en présence de données sensibles comme des données médicales. 

De même, le risque de hacking sera plus important à l’égard d’une société effectuant des traitements de données à grande échelle qu’à l’égard d’une société effectuant un nombre plus limité de traitements. 

En somme, la société effectuant du traitement de données a l’obligation de prévoir et de mettre en œuvre tous les dispositifs, les procédures et les moyens nécessaires pour assurer la sécurité la plus efficace des données personnelles. 

La responsabilité de l’entreprise sera engagée si la CNIL estime que les procédures et moyens pris étaient insuffisants pour assurer de manière efficace la sécurité des données personnelles. 

À terme, cette obligation de sécurité pourra se manifester par l’établissement de codes de conduite dans certains secteurs et branches d’activité qui détailleront et imposeront les procédures et les moyens de sécurité minimums à mettre en place et à respecter. 

S’agissant des sanctions, au titre du RGPD, la CNIL pourra prononcer une amende administrative.

En outre, l’entreprise pourra être condamnée à indemniser les victimes du piratage du fait du non-respect de son obligation de sécurité.

AR : Ce type d’outil est régi par une directive distincte du RGPD : la directive e-privacy … bien que ces règles et celles résultant du RGPD figurent dans la même loi, celle du 6 janvier 1978.

Les traceurs et outils de tracking nécessitent obligatoirement l’information préalable de la personne sur les moyens et les finalités du tracking puis, après la délivrance de cette information, le consentement express de la personne au tracking. 

Deux exceptions au consentement sont prévues : 

• lorsque le tracking a pour seul objectif de faciliter la communication par voie électronique,
• lorsque le tracking est strictement nécessaire à la fourniture d’un service de communication en ligne, à la demande de l’utilisateur.

Ces deux exceptions ne concernent pas le tracking à des fins « commerciales » en tant qu’outil de marché. 

L’information préalable du prospect ainsi que le consentement de celui-ci seront donc nécessaires, sous peine de la violation des obligations en la matière résultant de la loi informatique et libertés du 6 janvier 1978.

AR : Une fois encore, le RGPD n’opère aucune modification des conditions de prospection dans le cadre d’activités B2B et de la prise de contact avec les entreprises prospects. L’email reste donc toujours un moyen de contact et de prospection.

Il faut donc bien distinguer le consentement de la personne lorsque sont recueillies ses données à caractère personnel… de la question de la prise de contact pour la prospection.

Dans le premier cas, c’est généralement le prospect qui est actif et qui prend attache avec l’entreprise (à la suite d’une stratégie inbound) et renseigne lui-même son adresse email lors de l’accès au site avec demande de consentement par case à cocher et lien renvoyant à la politique de confidentialité.

La prospection aura donc lieu dans un deuxième temps, lorsque l’entreprise sera déjà en possession de l’adresse email du prospect… et aura déjà recueilli son consentement au traitement de données. 

Cette prospection pourra alors être effectuée sans consentement du prospect, sous réserve de l’information préalable lors de l’enregistrement de l’adresse mail du prospect. 

Dans le cas où l’entreprise aurait obtenu l’adresse mail du prospect par une société tiers, le prospect devra obligatoirement avoir donné à cette société tierce son consentement à la communication et à la transmission de ses données à d’autres sociétés ainsi qu’à leur utilisation par celles-ci. 

L’entreprise peut donc prendre contact et utiliser l’adresse email qui lui sera communiquée par la société tierce, à condition de s’assurer au préalable de l’existence du consentement que nous venons d’évoquer. 

À défaut, et afin d’être assuré de ne commettre aucune violation des règles en vigueur, il est tout à fait possible d’utiliser les adresses email génériques. 

Celles-ci ne sont pas considérées comme des données à caractère personnel et n’entrent pas dans le champ d’application du RGPD. 

Elles ne sont pas, non plus, soumises aux règles sur la prospection commerciale et ne nécessitent pas d’information préalable et de mise en place d’un droit d’opposition.

AR : Ces entreprises ont un formidable avenir car elles « surfent » sur la vague du commerce de la data et affectent des moyens considérables au traitement de données, moyens qu’une entreprise non spécialisée et de taille moyenne ne serait vraisemblablement pas en capacité de mettre en œuvre.

Schématiquement, elles « dégrossissent » le traitement des données à caractère personnel afin de fournir une data sélectionnée, triée et adaptée à la demande de leurs clients, qui eux ne disposent pas des moyens financiers ou techniques pour assurer un tel volume de traitement de données.

En outre, conformément aux dispositions du RGPD, ce sont ces entreprises qui auront les obligations les plus lourdes au titre du RGPD, car elles traiteront un nombre beaucoup plus important de données personnelles et devront s’assurer du consentement régulier et complet (notamment pour la communication des données à d’autres sociétés) des personnes objets du traitement et du respect constant des obligations liées au traitement (notamment la tenue d’un registre de traitement des données).

Enfin, il ne faut pas oublier que les données relatives aux entreprises, en tant que personnes morales, ne sont pas considérées comme des données à caractère personnel et ne sont pas soumises au RGPD. Leur activité sur ce volet ne sera donc pas affectée par le RGPD.

AR : Oui, mais uniquement comme il l’a été exposé dans la question précédente, du point de vue de la commercialisation de la data.

Le contact en tant que tel n’est, une fois encore, pas affecté par l’entrée en vigueur du RGPD.

Toutefois, celui-ci impose des obligations plus lourdes qui impliquent un véritable suivi, un traitement et une surveillance continue. 

On pense d’ailleurs à la nouvelle obligation de tenir un registre permanent des traitements de données à caractère personnel, qui devra notamment recenser tous les types de données traitées, les types de traitements, et préciser les différentes finalités par types de données et traitements.

Les GAFA, du fait de leur capacité financière, technique et technologique et de leurs effectifs importants sont parfaitement capables de collecter, de traiter, de stocker et d’analyser un nombre considérable de données et d’en assurer le suivi et le contrôle quotidien.

Les entreprises n’ayant pas de tels moyens et de telles capacités seront bien évidemment tentées de payer les GAFA, soit pour avoir accès et se voir fournir une data qui sera déjà traitée, analysée et adaptée à leurs besoins, soit en effet pour servir de « relai publicitaire » sur leur plateforme ou encore de véritable base de données. 

Il faudra néanmoins être prudent, car, à ce jour, aucune garantie n’existe, pour des entreprises françaises, sur le respect par les GAFA des obligations issues du RGPD et de la législation interne sur la protection des données personnelles.

AR : Si une entreprise recueille des inscriptions à sa newsletter, ces inscriptions auront donné lieu : 

1. Au renseignement de données personnelles.
2. À la demande de consentir par conséquent de manière explicite et univoque au traitement de données personnelles et aux finalités du traitement.

Dès lors que les prospects y ont consenti, l’entreprise pourra donc en effet régulièrement transmettre du contenu par emails ou newsletters aux personnes inscrites, et ce, sans obligation de recueillir à nouveau le consentement des personnes. 

Le RGPD ne prévoit aucune obligation en ce sens, mais renforce cependant le droit de retrait de la personne ayant donné son consentement. 

L’entreprise responsable du traitement a donc l’obligation, au titre du RGPD, d’offrir aux personnes ayant consenti au traitement de pouvoir à tout moment retirer leur consentement de manière simple, gratuite et de manière équivalente à celle utilisée pour le recueillir (consentement en ligne, retrait en ligne).

En somme, le règlement général sur la protection des données nécessite une mobilisation constante de moyens pour le recueil et le traitement des données personnelles de personnes physiques. Les TPE et PME ont donc tout intérêt à se faire accompagner par des prestataires spécialisés afin d’éviter toute infraction à la loi.

Vous souhaitez en savoir plus sur le RGPD ? Découvrez notre article qui présente les avantages de cette récente loi pour votre entreprise et les étapes-clefs pour mettre en place des actions en règle.