Le texte de la réglementation générale sur la protection des données (RGPD) et ses conséquences pratiques sont déjà dans tous les journaux, tous les blogs, toutes les newsletters… et cette nouvelle réglementation occupe bien des conversations, avec nos clients, nos prospects, et nos partenaires. Si les choses semblent relativement claires et acceptées pour les traitements de données personnelles en B2C, une question taraude les acteurs du B2B : dois-je vraiment mettre le paquet ou à l’inverse me contenter d’une mise en conformité a minima ? Zèle ou service minimum ?
L’équipe Okédito s’est donc penchée sur la question, et vous propose son point de vue.
Consentement : régime d’exception pour le B2B… pour le moment
Angoisse numéro 1 du marketeur B2B : devoir redemander aux abonnés de sa newsletter s’il peut continuer à leur envoyer, d’autant plus qu’il ne se gêne pas pour partager allègrement avec sa base diverses invitations et autres sondages. Rassurons-le. L’opt-out est la règle. En clair, il suffit, au moment de la collecte de l’email, d’informer le prospect que son adresse électronique pourra être utilisée dans le cadre d’une relation commerciale présente ou future et qu’il pourra s’en désinscrire à tout moment. La définition s’avère suffisamment large pour autoriser tout contact ultérieur en lien avec l’activité professionnelle (un peu de bon sens suffit). Bien sûr, chaque contact doit permettre l’opt-out, c’est à dire offrir avec facilité la possibilité de ne plus recevoir de sollicitations. Si l’opt-in passif est proscrit (case déjà cochée), il est donc possible en B2B de conditionner la mise à disposition d’un service (un ebook, l’accès à un webinar…) au renseignement d’un mail valide.
Dans ces conditions, les bases existantes ayant été constituées en respectant les règles précédentes – qui recommandaient déjà l’information préalable et l’opposition a posteriori (opt-out) – peuvent être utilisées sans avoir à redemander l’autorisation de chaque prospect ou client.
Il convient cependant de suivre un peu l’actualité car cette exception (réitérée le 30 mars 2018 sur le site de la CNIL, soit moins de 30 jours avant la mise en application de la RGPD) pourrait tout à fait se voir amendée…
ENTREPRISES B2B ET RGPD : Faut-il se presser ?
Bien sûr, le RGPD est applicable depuis le 25 mai 2018. Nous pensons cependant que les retardataires n’ont pas matière à paniquer, tout du moins pour les acteurs PME et ETI en B2B. D’abord, n’oublions pas l’esprit de la RGPD : harmoniser les traitements et usage des données personnelles des citoyens. La sphère concernée est donc le B2C (au sens de la nature des données traitées), et les premiers visés sont les très gros acteurs du domaine. Nous n’entrerons pas dans le débat avec certains blogueurs qui y voient un complot des GAFAM, considérant que la RGPD leur serait in fine bénéfique. Dans les deux cas, le B2B ne semble pas être la priorité du législateur. La CNIL a d’ailleurs clairement indiqué qu’elle ferait preuve de clémence et de pédagogie au début : « Qui peut être prêt à 100 % sur des questions de données alors qu’elles sont aussi distribuées qu’elles le sont aujourd’hui ? Ce ne serait pas raisonnable. Les régulateurs – et la CNIL en particulier – sont pleinement conscients de cette situation. Nous nous mettons en ordre de marche et nous préparons des outils pour les assister dans leur équipement progressif » déclarait Isabelle Falque-Pierrotin, sa présidente, à l’été 2017.
Les PME et ETI B2B peuvent donc prendre leur temps, mettre en œuvre immédiatement les obligations les plus simples pour montrer leur bonne volonté, et se mettre en conformité au rythme de leurs investissements naturels, et des disponibilités des prestataires. De plus, on ne peut exclure que des évolutions réglementaires auront lieu à la suite de la mise en application, soit pour corriger des conséquences non prévues, soit pour répondre aux degrés de liberté dans sa mise en œuvre par les autres états-membres (il existe une certaine marge de manœuvre, en particulier autour de l’autorité de contrôle).
Mais finalement, qu’est-ce qu’on risque vraiment AVEC LE RGPD ?
Vous avez aimé HADOPI, ses 300.000 euros d’amende et ses 3 ans de prison ? Vous aimerez la RGPD : 20 millions d’euros ou 4 % du CA mondial. Gloups. Il suffit pourtant de lire le texte (Art. 58-2) pour découvrir un arsenal répressif très progressif : de l’avertissement à l’arrêt des traitements, en passant par le rappel à l’ordre… À moins de vraiment pousser le bouchon, le risque principal consiste donc à recevoir une lettre (recommandée ?) assortie d’un délai probablement confortable pour se mettre en conformité. Autrement dit, une utilisation professionnelle et raisonnée ne devrait pas poser de problème.
Ce qu’il faut tout de même faire EN MATIÈRE DE RGPD…
Reste que la RGPD a tout de même quelques avantages, comme celui de mettre au pas vos concurrents aux méthodes digitales douteuses… Pensez donc à :
- Mettre à jour vos mentions juridiques et vos formulaires pour informer avec transparence à propos des données que vous collectez et de leur usage.
- Tenir un registre des traitements, un simple fichier indiquant : Qui ? Pourquoi ? Quoi ? Où ? Jusqu’à quand ? Comment ?
- Installer un « centre de préférences » où vos clients et prospects peuvent gérer leurs « abonnements »
- Désigner un DPO (Data Protection Officer), en général facultatif dans les PME-ETI en l’absence de traitement « à grande échelle ». Il faut néanmoins un responsable suffisamment informé (veille) pour vérifier et conseiller.
- Enfin (on ne se lassera jamais de le marteler) : agir et communiquer en apportant du sens et des contenus de valeur. Ça, on ne le vous reprochera jamais !
Avertissement – Nous attirons votre attention sur le fait que l’équipe d’Okédito ne comporte pas de juriste ni d’avocat et que le contenu de cet article ne peut constituer un conseil à valeur juridique pour votre contexte précis.
Crédit photo :
Fotolia © jameschipper