RGPD et emailing : peut-on encore prospecter ?
En cette 15ème édition de la journée mondiale de la protection des données, nous souhaitions faire un point sur quelques informations essentielles liées à la prospection par email et à la protection des données. La protection des données… Un thème auquel bon nombre d’entreprises ont dû se confronter depuis l’entrée en vigueur du RGPD en 2018.
Si cette réglementation a su sensibiliser les entreprises et les consommateurs sur la nécessité de protéger les données personnelles, elle a également été et est probablement toujours source d’incertitudes pour certaines entreprises qui n’osent plus prospecter de potentiels nouveaux clients.
Si tel est votre cas, soyez rassuré. La réponse à la question “Peut-on encore prospecter par mail ? » est oui ! Ça, c’est la bonne nouvelle. Bien entendu, vous vous en doutez, c’est un “oui, mais…” puisqu’il y a des conditions à respecter pour pouvoir envoyer vos newsletters et emails de prospection à vos potentiels nouveaux clients.
Cet article fait le point sur ces conditions et sur les bonnes pratiques en matière de prospection et de collecte des données.
Comment prospecter ses contacts ?
La prospection repose systématiquement sur la notion de base de données.
En effet, impossible de contacter un prospect sans avoir collecté au préalable ses coordonnées.
La collecte des données, c’est là le nerf de la guerre. Comment collecter les données personnelles de vos potentiels futurs clients en respectant le RGPD et les autres législations en vigueur ?
Pour répondre au mieux à cette problématique, penchons-nous sur les trois questions suivantes :
- Est-ce que je peux continuer à utiliser ma base de données existante ?
- Comment constituer une base de données propre et conforme au RGPD ?
- Est-ce que je peux acheter et utiliser une base de données ?
Est-ce que je peux continuer à utiliser ma base de données existante ?
On ne commence pas par la question la plus simple. Toutes les entreprises ont constitué des bases de données avant l’entrée en vigueur du RGPD. Il s’agit bien souvent d’un bon vieux tableau Excel au fin fond d’un dossier Windows (veillez d’ailleurs à ce sujet à garantir la sécurité des données collectées et à éviter leur divulgation à des tiers non autorisés).
Mais voilà, le RGPD ne s’applique pas uniquement aux données collectées après son entrée en vigueur, mais également aux données collectées avant. Certaines entreprises sont donc frileuses à l’idée d’utiliser cette bonne vieille base de données interne, d’autres ne le sont pas. Voyons donc ce que vous pouvez faire de votre base de données si :
Vous prospectez vos actuels clients
Suppression après 3 ans d’inactivité
Pour tous les contacts de votre base de données qui sont actuellement clients de votre entreprise, la règle est de supprimer leurs coordonnées dès lors qu’il n’y a pas eu de contact actif (actif signifiant ici un clic et non une ouverture) 3 ans après la fin de la relation commerciale ou si un client en fait la demande.
Prospecter pour un produit ou service similaire
Si une personne est actuellement cliente de vos produits ou services, la recontacter lors de la relation commerciale après leur achat constitue un intérêt légitime à condition de les prospecter pour un produit ou un service similaire à celui qu’ils ont acheté.
Offrir un moyen de s’opposer à de futures sollicitations
Vous veillerez bien entendu à proposer à vos clients un moyen simple et rapide de s’opposer à la réception de futures sollicitations de votre part. Dans le cas des newsletters, il s’agira par exemple de la présence d’un lien de désinscription.
Vous prospectez de potentiels nouveaux clients
Ce qui vous intéresse le plus souvent dans votre base de données, ce sont les potentiels nouveaux clients. Pour tous les contacts ayant intégré votre base de données mais n’étant pas client chez vous, vous devez avant tout vous poser quelques questions :
- Comment ces contacts ont-ils intégré votre base de données ?
- Avez-vous une preuve de leur consentement ?
- Ont-ils été actifs ces trois dernières années ?
Pourquoi est-ce important de savoir d’où viennent vos contacts ? En remontant à la source, vous saurez si vous pouvez ou non les contacter.
Voici quelques cas concrets que vous avez probablement dû rencontrer :
- Le contact a été ajouté après avoir rempli un formulaire sur votre site : votre intérêt à le contacter peut être légitime si la personne a donné son accord pour recevoir vos communications.Une capture en situation du formulaire à date de collecte peut prouver par exemple qu’il ne pouvait s’agir que d’une inscription à une newsletter (donc à cette seule finalité) pour le peu que le message était clair et sans ambiguïté. Dès lors, les données ne peuvent être utilisées que pour cette finalité.De plus, il est nécessaire de pouvoir prouver le consentement (daté) et qu’il a été collecté de manière légale (à l’aide des captures).
- Le contact a été ajouté à votre base de données par l’un de vos commerciaux : il faut se poser la question de la première prise de contact… Comment a-t-on collecté les données personnelles qui ont été utilisées pour contacter la personne ?Par exemple, la collecte via carte de visite lors d’un salon. Dès lors connaitre l’origine est critique. Le discours commercial tenu à la collecte devait aussi informer que les données seraient utilisées pour de la prospection.
- Les données d’un contact ont été récupérées sur Internet : la CNIL rappelle dans cet article dédié qu’il est primordial entre autre que « la société … fournisse, au plus tard au moment de la première communication avec les personnes dont les données sont traitées, les informations … et notamment celle relative à la source des données ». Evidemment le retrait de consentement doit être possible.
- Le contact vient d’une ancienne base achetée : il est fortement probable que les données de cette base soient devenues obsolètes. Il est donc fortement déconseillé de solliciter ce type de contact.Nous ne recommandons pas, de manière générale, l’achat de base de données sur Internet. Mais nous reviendrons sur ce point un peu plus loin dans l’article.
Notez que les règles de prospection n’ont pas changé avec le RGPD, comme le rappelle la CNIL sur cette page.
Quelle que soit la manière dont les contacts ont été intégrées à votre base de données, les personnes que vous envisagez de solliciter doivent selon la situation, soit avoir exprimé leur consentement à recevoir vos messages (opt-in), soit ne pas avoir exprimé leur refus (opt-out).
Qu’est-ce que l’opt-in ?
L’opt-in désigne le fait d’obtenir l’accord préalable du destinataire. C’est le cas pour envoyer des campagnes emailings à une cible « B2C » (du professionnel au consommateur).
Si le contact n’a pas explicitement dit “oui” pour recevoir des communications de votre part, alors considérez qu’il n’a pas donné son accord et ne le sollicitez pas.
Il est nécessaire de pouvoir apporter la preuve du consentement. Toutefois, des exceptions existent telles que la prospection non commerciale (ex caritative) ou si le contact est un client actif.
Qu’est-ce que l’opt out ?
L’opt-out, c’est le contraire, vous pouvez solliciter un destinataire tant qu’il ne s’y est pas opposé. C’est le cas pour des campagnes emailings adressées aux « B2B » (de professionnel à professionnel). Si le contact ne vous demande pas d’arrêter de le solliciter, alors considérez qu’il n’est pas contre. Cependant, la communication doit malgré tout être en rapport avec la profession exercée par le professionnel.
A titre d’exemple, on n’envoie pas d’emails de prospection liés à la vente de clés USB au responsable des Ressources Humaines mais plutôt à un responsable de parc informatique.
Par ailleurs, les adresses génériques de type contact@societe.com ou commerce@societe.com ne sont pas soumises aux règles de consentement ou d’opposition.
Opt-in ou opt-out, il faut offrir un moyen de s’opposer et supprimer les données après 3 ans d’inactivité
Dans tous les cas, vous devrez proposer un moyen simple de s’opposer à la réception de futurs messages.
Par ailleurs, si un destinataire n’a eu aucun contact actif (clic dans une de vos campagnes email et non pas juste une ouverture) sur une période de 3 ans après fin de relation commerciale ou après la collecte au sens large, les données le concernant doivent être supprimées.
Comment constituer une base de données propre et conforme au RGPD ?
La solution idéale et la plus sûre pour prospecter par email dans les règles de l’art reste de constituer vous-même votre base de données et de veiller à ce qu’elle reste à jour.
Pour constituer votre propre base de données, votre site Internet sera votre meilleur allié. En proposant du contenu à forte valeur ajoutée à vos visiteurs, vous multipliez vos chances d’attirer des leads qualifiés qui seront probablement intéressés pour recevoir vos offres.
Pour obtenir les données de leads qualifiés depuis votre site, il vous suffit d’ajouter à tous vos formulaires (demande d’information, demande de devis, demande de démo, création de compte, téléchargement de ressources gratuites, etc.) une case à cocher “J’accepte de recevoir les offres commerciales de l’entreprise XX par email” (attention, cette case ne doit pas être pré-cochée) ainsi que des mentions informant des détails des traitements que vous allez réaliser sur ces données.
Référez-vous à cette page de la CNIL détaillant ce qui doit être réalisé ainsi que des exemples de mise en place. Retrouvez également des exemples de mentions d’information mises à disposition par la CNIL dont vous pouvez vous inspirer.
De plus, le consentement ne doit pas être influencé et doit correspondre à une seule finalité. Autant de cases à cocher doivent être présentes que de finalités envisagées. En savoir plus sur le recueil du consentement.
Le consentement n’est bien évidemment valable que pour ces finalités et aucunes autres. Quand un contact remplit le formulaire en cochant cette case, vous aurez une preuve datée de son consentement.
Quelques règles à respecter pour constituer votre base de données :
- Consentement univoque : ne présumez pas du consentement du consommateur en proposant des cases pré-cochées.
- Consentement spécifique : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
- Consentement éclairé : au moment de la collecte, informez vos clients sur l’utilisation de leurs données
- Consentement spécifique : le consentement doit correspondre à un seul traitement, pour une finalité déterminée. Si le traitement comporte plusieurs finalités, les personnes doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.
- Conservez les données sur une période limitée dans le temps : si un contact ne répond à aucune sollicitation trois ans après le dernier contact actif (clic), vous devrez supprimer les informations le concernant.Les données des clients qui n’en sont plus (expirations, résiliations, etc.) doivent aussi être supprimées selon le délai indiqué dans les éléments contractuels ou dans le délai fixé par la législation.Les données de prospection peuvent être conservées uniquement pour une durée maximum de 3 ans après le dernier contact actif.
- Proposez un moyen simple de s’opposer à la réception de futurs messages (par exemple, sous la forme d’un lien de désinscription à la fin de votre newsletter ou de la mention STOP pour les SMS)
Est-ce que je peux acheter et utiliser une base de données externe ?
Acheter une base pour trouver de nouveaux clients peut sembler être une bonne idée de prime abord. Les prix sont souvent attractifs et la promesse faite par les prestataires en ligne paraît fabuleuse. Nous tenons cependant à vous mettre en garde sur ce sujet. Si certains prestataires peuvent être en règle avec la réglementation en vigueur pour la protection des données, c’est malheureusement rarement le cas. La plupart du temps, les données ne sont ni fiables ni recueillies dans des conditions légales. Nous déconseillons vivement l’achat ou la location de bases externes.
Chez Sarbacane, nous sommes particulièrement vigilants sur la réputation de nos serveurs d’envoi. Ainsi, nous avons mis en place un processus de modération permettant à nos équipes de vérifier manuellement toutes les campagnes envoyées par nos clients et d’empêcher ainsi l’utilisation de bases de données non opt-in. Comme stipulé dans nos conditions générales, nos équipes de modération ne vous autoriseront pas à router vos campagnes avec Sarbacane en utilisant une base achetée. Comprenez qu’il s’agit ici d’une mesure de sécurité nécessaire pour garantir la réputation de nos serveurs et donc votre délivrabilité mais aussi pour lutter contre l’envoi de spams.
Nous vous invitons à consulter sur cette page de la CNIL la section « Transmission des données à des partenaires commerciaux ou à des courtiers de données : quels sont les principes à respecter ? »
Rappel des bons réflexes à avoir lors de la collecte de données
Ces points essentiels à retenir sont autant valables pour vos clients actuels que pour vos prospects.
Ne collectez que les données strictement nécessaires
Résumons ce principe en une phrase : ce qui ne sert à rien n’a pas le droit d’être conservé, même au cas où.
A titre d’exemple, on ne collecte / conserve pas un numéro de téléphone des clients si on ne doit pas les appeler, ou une adresse email si on ne leur écrit pas par voie électronique, ou l’adresse postale si on n’envoie pas de colis ou de courriers.
Notez également que si les traitements de votre entreprise venaient à évoluer et que certaines données ne soient plus nécessaires, veillez alors à faire le tri dans les données collectées et ne gardez que les données qui sont nécessaires à votre activité.
Il peut vous arriver de devoir demander à vos clients des justificatifs. Cependant, il n’est pas forcément utile de conserver la pièce justificative ou sa copie. Le fait de conserver l’information que la justification a été produite suffit. En cas de conservation nécessaire, elle doit être limitée au plus et hors du système de données actif (utiliser un archivage à accès très restreint)
Soyez transparent
Au moment de la collecte, informez vos contacts sur ce que vous faites de leurs données. Dites-leur clairement quelles données seront utilisées et à quelles fins. Elles ne pourront être utilisées qu’aux finalités annoncées. Les mentions d’information sur la collecte des données peuvent être présentes sous le formulaire ou un renvoi vers une page dédiée de mentions d’informations complètes. Voir les exemples de mention sur le site de CNIL.
Soyez proactif et réactif
Proposez toujours à vos contacts un moyen simple de s’opposer à recevoir de nouvelles sollicitations. Par ailleurs, veillez à répondre aux demandes de consultation, de rectification ou de suppression des données dans les délais légaux : 30 jours maximum pouvant être augmenté de deux mois sur conditions et information de la personne concernée.
Consultez cette page de la CNIL pour en savoir plus sur les droits des personnes concernées.
Ne gardez pas les données indéfiniment
Si vos contacts ne réagissent à aucune de vos sollicitations pendant une période prolongée (3 ans après le dernier contact actif (clic dans une de vos campagnes et non pas juste une ouverture) ou 3 ans après la fin de relation commerciale), vous devrez supprimer leurs données.
Passé ce délai, vous pourrez conserver uniquement les données dont vous avez besoin pour des raisons légales (comptabilité, juridique, etc.). Veillez à archiver ces informations dans une autre base de données, dite base de données intermédiaire, dont l’accès est plus restreint.
Maîtrisez et sécurisez vos données
En matière de protection des données, on pense souvent en premier lieu à la collecte, à la modification et à la suppression des données. Mais le partage et la circulation des données personnelles sont aussi un point essentiel que vous devez avoir à l’œil. Pour assurer la protection des données de manière optimale, ces partages et échanges doivent être encadrés et contractualisés. Pensez à chiffrer les documents avant de les partager par exemple ou utiliser des protocoles sécurisés. Par ailleurs,des mesures de sécurité informatiques, physiques ou organisationnelles, doivent être mises en place en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident.
La protection des données est un vaste sujet et cet article n’apporte qu’une liste non exhaustive de conseils relatifs à la prospection par mail. Pour plus d’informations sur le sujet, nous vous recommandons de consulter le site de la CNIL.
Découvrez Sarbacane Engage
Sarbacane Engage est l’application de Sarbacane Suite dédiée à l’optimisation de votre prospection.
Structurez et automatisez votre prospection commerciale B2B avec notre solution d’automation d’email.
Simple & Rapide • Support tél. gratuit • 100% français