Les entreprises effectuant de la prospection commerciale par voie électronique sont tenues de contrôler l’origine et la conformité des données qu’ils détiennent pour cette finalité. Dans le cadre de leur mise en conformité avec le RGPD, elle doivent notamment s’assurer de la conformité des données exploitées et qui peuvent être issues de deux typologies de fichiers :
-
Leur propre base de données issues de leur clientèle ou des prospects intéressés ;
-
Les données achetées à des tiers.
Dès lors, si une entreprise souhaite exploiter ces données à des fins de prospection commerciale, elle est tenue d’effectuer un double contrôle préalablement à la mise en œuvre de ce traitement.
Elle doit s’assurer que les données collectées via un tiers (achat de fichiers) ont été légalement obtenues (1). Elle doit également s’assurer que les données issues de leur propre base de données issues des listes de leurs clients ou de futurs clients aient été correctement collectées (2).
(1) Contrôle de la légalité des données issues de la base de données interne de l’entreprise
Selon la CNIL (Commission nationale de l’informatique et des libertés), les opérations de prospection par voie électronique à l’égard des particuliers ne sont possibles que dans la mesure où la personne qui en est destinataire a donné un consentement clair et préalable à la réception d’une telle prospection (Article L 34-5 du Code des postes et des communications électroniques alinéa 1er). Par ailleurs, ces opérations doivent être effectuées dans un mécanisme d’opt-in. Une exception est acceptée concernant le recueil du consentement dans l’hypothèse où les personnes concernées sont déjà clientes et sauf si la prospection n’est pas de nature commerciale (politique ou caritative par exemple). Pour ces exceptions, un mécanisme d’opt-out est toléré.
Pour les nouveaux clients, les entreprises doivent collecter le consentement des personnes concernées avant de leur envoyer de la prospection commerciale par voie électronique. Ce consentement doit être expressément recueilli par le bais d’une case à cocher dans un formulaire par exemple. Attention, cette case ne doit pas être pré-cochée. Elle doit se présenter sous la forme d’une case vide avec la mention à adapter suivante : “J’accepte de recevoir de la prospection commerciale de la part de (insérer le nom de l’entreprise)”.
En revanche, si les individus sont déjà clients, le consentement n’est pas requis si la prospection commerciale concerne des services ou produits analogues. Attention toutefois, la prospection commerciale doit respecter les obligations telles que requises au regard du RGPD (Article 2).
(2) Contrôle de la conformité des données collectées par le biais d’entreprises tierces à des fins de prospection commerciale
Dans cette hypothèse, le responsable de traitement n’a pas recueilli le consentement des personnes concernées pour recevoir de la prospection commerciale de sa part. Il ne peut donc rapporter la preuve de la conformité de la collecte de ces données.
Deux options se présentent alors :
- Tout d’abord, il peut tenter de collecter le consentement des personnes par le bais de l’envoi d’un mail spécifique préalablement au traitement. Mais en pratique, la mise en place d’un tel processus pour chaque donnée collectée par le biais d’un tiers risque de pénaliser l’entreprise puisqu’à défaut de consentement aucun mail de prospection ne pourra être envoyé. Dès lors, l’achat du fichier aura été vain.
- Par ailleurs, l’entreprise peut tout simplement conclure un contrat de sous-traitance avec le tiers afin de s’assurer que les données ont été collectées conformément aux obligations légales en vigueur. Ce contrat devra être rédigé conformément aux obligations de l’article 28 du RGPD.
