Quelles sont les règles de la CNIL pour la prospection commerciale ?
La CNIL (Commission Nationale de l'Informatique et des Libertés) impose des règles strictes pour la prospection commerciale afin de protéger les données personnelles dans le cadre du RGPD.
La CNIL (Commission Nationale de l'Informatique et des Libertés) impose des règles strictes pour la prospection commerciale afin de protéger les données personnelles dans le cadre du RGPD. La réponse directe à cette question dépend de votre cible : en B2C (particuliers), le principe d'Opt-in (consentement préalable) est obligatoire, tandis qu'en B2B (professionnels), la règle de l'Opt-out (droit d'opposition) s'applique, offrant plus de souplesse. Dans tous les cas, l'expéditeur doit être clairement identifié et proposer un moyen simple de se désinscrire, notamment dans toute démarche de prospection commerciale.
1. Prospection B2C (Particuliers) : Le règne du consentement préalable
Lorsque vous vous adressez à des consommateurs, la protection des données personnelles est maximale. La règle d'or imposée par la CNIL est le recueil du consentement explicite, libre et éclairé de la personne avant toute sollicitation commerciale électronique.
Les règles pour l'email et le SMS
Vous ne pouvez en aucun cas prospecter un particulier par voie électronique sans qu'il ait coché une case acceptant expressément de recevoir vos offres (c'est le principe de l'Opt-in). Il existe cependant une exception stricte : si la personne est déjà cliente chez vous, vous êtes autorisé à lui envoyer des messages pour lui proposer des produits ou services analogues à ceux qu'elle a déjà achetés.
Le cadre du téléphone et du courrier postal
Pour le démarchage téléphonique et postal, le consentement préalable n'est pas obligatoire. Toutefois, vous devez informer la personne de son droit de s'opposer à la prospection au moment même de la collecte de ses données.
Bon à savoir
Depuis 2016, les consommateurs peuvent s'inscrire sur la liste d'opposition "Bloctel". En prospection téléphonique B2C, il est légalement obligatoire de soumettre vos fichiers d'appels à Bloctel pour purger les numéros inscrits avant de lancer vos campagnes, sous peine de lourdes sanctions.
2. Prospection B2B (Professionnels) : La souplesse de l'Opt-out
La prospection entre entreprises (B2B) bénéficie d'un cadre réglementaire beaucoup plus souple. La CNIL considère que le démarchage fait partie intégrante de la vie normale des affaires. Le consentement préalable n'est donc pas exigé, c'est le principe de l'Opt-out.
Les conditions strictes de l'Opt-out B2B
Bien que plus flexible, cette méthode impose deux conditions majeures pour rester dans la légalité. Premièrement, l'objet de votre prospection doit avoir un lien direct avec l'activité professionnelle de la personne contactée (par exemple, proposer un logiciel de comptabilité à un expert-comptable). Deuxièmement, le professionnel doit être informé lors de la collecte de son adresse qu'elle servira à de la prospection et qu'il peut s'y opposer.
Le statut particulier des adresses génériques
Les adresses email professionnelles dites "génériques" (comme contact@entreprise.com ou info@societe.fr) ne sont pas soumises aux règles de la CNIL car elles ne sont pas considérées comme des données à caractère personnel. Vous pouvez les prospecter librement, tout en gardant des pratiques respectueuses pour éviter que votre domaine ne soit classé en spam, notamment dans une stratégie de prospection B2B.
3. Les obligations communes à toute démarche de prospection
Que vous cibliez des particuliers ou des professionnels, la CNIL et le RGPD imposent un socle commun d'obligations incontournables pour garantir le respect des droits des personnes démarchées.
- Identité claire de l'expéditeur : L'identité de l'entreprise pour le compte de laquelle la prospection est émise doit être clairement indiquée. Il est formellement interdit de masquer son identité, d'utiliser de faux noms d'expéditeurs ou des adresses emails trompeuses.
- Droit d'opposition simple et immédiat : Chaque message (email ou SMS) doit obligatoirement inclure un lien de désinscription visible ou un moyen très simple de s'opposer à de futures sollicitations (comme la mention "STOP SMS"). La prise en compte de cette désinscription doit être effective et immédiate.
4. La collecte et l'achat de bases de données : que dit la loi ?
La constitution de votre base de données est la première étape de la prospection, et elle est particulièrement surveillée par la CNIL. Qu'il s'agisse de collecte sur votre propre site internet ou d'un recours à des prestataires externes, la traçabilité est de mise.
Comment acheter un fichier client légalement ?
L'achat ou la location de fichiers de prospection est légal, mais vous restez responsable de l'utilisation de ces données. Vous devez vous assurer contractuellement que le vendeur a collecté ces données dans le strict respect du RGPD. Pour une prospection B2C, vous devez avoir la garantie que les prospects ont explicitement consenti à ce que leurs données soient transmises à des "partenaires" pour des offres commerciales, ce qui évite tout recours risqué à l'achat base email.
Comment prouver le consentement selon la CNIL ?
En cas de contrôle de la CNIL, la charge de la preuve incombe toujours à l'annonceur. Vous devez être capable de démontrer à quel moment, sur quel support et de quelle manière le prospect a donné son consentement. Cela implique de conserver des journaux de connexion (logs) incluant l'horodatage de l'inscription, l'adresse IP de l'utilisateur, et idéalement une capture d'écran du formulaire validé.
5. La gestion des données dans le temps et les sanctions
Le RGPD interdit de conserver des données personnelles indéfiniment. Une bonne gestion de vos listes de prospection implique un nettoyage régulier de vos bases pour supprimer les contacts inactifs, notamment dans une logique de gestion d’équipe commercial.
Combien de temps peut-on conserver les données d'un prospect ?
Selon les recommandations de la CNIL, les données d'un prospect non client peuvent être conservées pendant une durée maximale de 3 ans à compter de leur collecte ou du dernier contact émanant de sa part (clic sur un lien, demande de devis). Pour un client actif, les données de prospection peuvent être conservées jusqu'à 3 ans après la fin de la relation commerciale.
Pour y voir plus clair, voici un tableau détaillant les délais légaux de conservation :
Quelle est l'amende de la CNIL en cas de non-respect ?
Ne pas respecter les règles de prospection commerciale coûte très cher. Dans le cadre du RGPD, les amendes administratives de la CNIL peuvent s'élever jusqu'à 20 millions d'euros ou représenter jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise. En outre, la CNIL peut prononcer des mises en demeure publiques qui nuisent gravement à l'image de marque de l'entreprise fautive.
Est-ce que le cold emailing B2B est légal ?
Le cold emailing (envoi d'emails à froid) est tout à fait légal en France, à condition de respecter scrupuleusement les directives de la CNIL. En B2B, cette pratique est autorisée sans consentement préalable (Opt-out), pour peu que l'offre soit pertinente vis-à-vis de la fonction du professionnel ciblé. En B2C, le cold emailing est en revanche strictement interdit sans un accord explicite (Opt-in) obtenu au préalable, même dans une stratégie de cold email.
Synthèse : Ce qu'il faut retenir par canal de prospection
Pour éviter toute erreur lors du lancement de vos futures campagnes marketing, voici un tableau récapitulatif ultime des règles imposées par la CNIL en fonction du canal utilisé et de la cible visée :
