Prospection

Prospection commerciale : avez-vous le droit d'utiliser des données publiquement accessibles sur internet ?

Amélie Cembalo, Fondatrice, le 3/4/2023

Image de l'article : Prospection commerciale : avez-vous le droit d'utiliser des données publiquement accessibles sur internet ?

C'est généralement l'une des premières questions qui nous est posée dans le cadre de nos webinaires ou de nos échanges en 1:1 avec des start-ups ou PMEs : est-il possible de réaliser des actions de prospection commerciale à partir de données trouvées sur des réseaux sociaux ? 

1. Une donnée publiquement accessible est-elle une donnée personnelle ?

Roulements de tambours… 

Si vous pouvez accéder publiquement à une information permettant d'identifier de manière directe ou indirecte une personne physique, la réponse à cette question est OUI

Peu importe que cette donnée soit de nature professionnelle ou privée, ou quelle soit ou non connue publiquement, dès lors que la qualification de l'information que vous traitez sur une personne physique entre dans la définition de l'Article 4 du RGPD “toute information se rapportant à une personne physique identifiée ou identifiable”, vous traitez une donnée à caractère personnel. 

Cela peut être par exemple : un nom, un prénom, la fonction de la personne au sein d'une structure ou encore son adresse email ou son numéro de téléphone professionnel.

Vous avez collecté toutes ces données sur un réseau social afin de créer une base de prospects et envoyer du mailing ? Vous avez donc réalisé des traitements de données à caractère personnel à partir de données publiquement accessibles ! 

2. Quelles sont les 6 bonne pratiques à respecter  dans le cadre de la réalisation de prospection commerciale à partir de données publiquement accessibles ? 

Afin de pouvoir réaliser des actions de prospection commerciale sur des données personnelles recueillies à partir de sources publiquement accessibles, il conviendra, comme pour tout traitement de données personnelles, de respecter les principes fondamentaux du RGPD

 

  • Vous devrez tout d'abord vous assurer de la licéité de votre traitement et dans ce cadre il convient de distinguer deux cas de figures :
     
La prospection BtCLa prospection BtB
Dans ce cas, il vous faudra recueillir le consentement de la personne concernée ! 

Et oui, la personne concernée a peut être rendue publique ses données, mais cela n'avait pas pour objectif de recevoir de la prospection de votre part ! 

Nous vous recommandons donc d'envoyer un premier email à ces personnes afin de les informer de l'identité de votre structure, de leur préciser d'où proviennent leurs données et les modalités de traitement que vous allez appliquer et surtout : de consentir à la réception d'actions de prospection émanant de votre structure. 

Si la personne ne consent pas à ce traitement ou ne répond pas à votre email sous un délai raisonnable : nous vous recommandons tout simplement de supprimer ses données de votre base. 
 
Dans ce cas, il vous sera possible de vous fonder sur votre intérêt légitime. 

Il  vous sera toutefois nécessaire, dans le cadre de votre premier email, d'informer les personnes concernées sur l'identité de votre structure, de leur préciser d'où proviennent leurs données et les modalités de traitement que vous allez appliquer et surtout de leur indiquer expressément qu'elles disposent du droit de s'opposer à recevoir de la prospection de votre structure.

Si la personne s'oppose à ce traitement : nous vous recommandons de créer une liste dite repoussoir.                        
  • Vous ne devrez utiliser les données que pour la finalité de traitement pour laquelle vous les avez collectées : c'est à dire, l'envoi de prospection commerciale. 
     
  • Vous ne devrez traiter que les données nécessaires à la réalisation de votre finalité de prospection commerciale : c'est à dire, une adresse email, un nom et un prénom, une fonction si cela vous est nécessaire. Mais rien de plus ! 
     
  • Vous ne devrez les conserver pendant une durée déterminée : la CNIL indique au sein de son référentiel relatif à la gestion commerciale que cette durée doit être de maximum 3 ans après le dernier contact de la personne concernée avec votre organisme. Cette durée sera bien entendu raccourcie si la personne exerce son droit de retrait de consentement ou son droit d'opposition.
     
  • Vous devrez vous assurer que seules les personnes devant connaitre de ces informations dans le cadre de leurs fonctions y aient accès : il semble par exemple proportionné que votre service communication ait accès à ces données mais disproportionné que vos équipes RH ou finances puissent y accéder ! 
     
  • Vous devrez informer les personnes concernées de toutes les modalités entourant le traitement de leurs données personnelles : comme indiqué ci-dessus, votre premier email de contact devra contenir toutes les mentions d'information prévues à l'Article 14 du RGPD et nous vous recommandons également de vous doter d'une Politique de Confidentialité accessible sur votre site internet et détaillant la provenance des données personnelles utilisées dans le cadre de vos actions de prospection commerciale et les modalités de traitement que vous allez appliquer sur ces données.

Pour aller plus loin 

Rendez-vous sur le site de la CNIL sur son article intitulé “La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial”