Prospection commerciale et RGPD, que peut-on faire ?

Prospection et RGPD ne font pas toujours bon ménage. On te partage les règles à suivre pour une prospection parfaitement alignée avec le RGPD.

Morgann Dawance
January 19, 2024
Cold outreach
9 minutes de lecture
GDPR compliance

Pour acquérir de nouveaux clients, lorsque maîtrisée, la prospection commerciale peut être une arme redoutable. Identifier son client idéal, rentrer directement en contact, voir même aboutir à la signature d’un contrat: le rêve.

Mais un petit rigolo s’est récemment invité à la soirée, et il chamboule pas mal les choses: Le RGPD.

Quelles sont ses implications sur tes actions marketing outbound ? Est-ce même légal de contacter les gens sous le RGPD ?

L’ère du Far-West est révolue. À la fin de cet article, les implications du RGPD dans ton marketing n’auront plus de secrets pour toi. Prépare-toi à faire le malin aux repas de famille.

Avant de se lancer dans le cœur du sujet, commençons par la base:

Respect du RGPD

Et oui, rappelons qu’il s’agit bien du RGPD.

Bien qu’il puisse sonner comme UNE répression. Il s’agit d’un règlement, on dit donc “le” RGPD.

Celle-là c’était cadeau. Avançons.

Est-ce conforme au RGPD de faire de la prospection commerciale ?

La première question que l’on se pose est celle de la légalité. Si on écoute les bruits de couloirs, on pourrait vite croire que la prospection commerciale est devenue une activité illégale depuis l’arrivée du RGPD. Je te rassure, les ragots sont souvent bien à côté de la plaque. Aujourd’hui n’est pas une exception.

Si les sociétés n’avaient plus le droit de rentrer en contact entre-elles, cela pourrait avoir un impact déplorable sur l’activité économique, et donc notre PIB. Évidemment, ce n’est pas le but du RGPD.

Il est donc tout à fait légal de prospecter, cependant le RGPD vient imposer un cadre à la manière de le faire.

Pour faire de la prospection commerciale en respectant parfaitement le RGPD, il te faudra cocher l’ensemble des cases suivantes, que nous verrons point par point dans la suite de cet article:

  1. Prospecter des contacts professionnels uniquement
  2. La prospection doit être fondée sur un intérêt légitime
  3. Une option de désinscription (opt-out) doit être présente
  4. Tes prospects peuvent à tout moment demander accès et/ou suppression de leurs données
  5. Tes prospects ont le droit de connaître l’origine de leurs informations (et cette source doit être GDPR compliant)
  6. Les informations collectées doivent se limiter aux besoins spécifiques du contact.
  7. Il est nécessaire de mettre des mesures de sécurité pour les données que tu traites.
  8. Si ces données venaient à fuiter, tu es responsable d’en alerter les autorités responsables.

Les points 1 à 3 sont les points essentiels à retenir, sans eux, pas de prospection.

Le RGPD, petit rappel en 2 mots.

Le RGPD, «Règlement général sur la protection des données» (GDPR en anglais), est un règlement européen voté en décembre 2015 qui s'applique depuis le 25 mai 2018 et encadre tout ce qui est lié au traitement des données personnelles sur le territoire de l’Union Européenne. Plus précisément, ce règlement s’applique à toute entreprise qui collecte, traite et stocke des données personnelles dont l'utilisation peut directement ou indirectement identifier une personne.

Par “donnée personnelle”, on entend “toute information se rapportant à une personne physique identifiée ou identifiable”.

Ce règlement vient ainsi harmoniser les règles au niveau européen en offrant un cadre juridique aux activités, notamment liées au digital, traitant de plus en plus d’informations personnelles des utilisateurs.

Il est là pour protéger ta vie privée, jusque-là, merci le RGPD ✅

Le RGPD

Les principes clés du RGPD

Le RGPD, repose sur 3 principes fondamentaux :

  • Le consentement: les entreprises doivent obtenir le consentement avant de collecter et traiter des données personnelles.
  • La transparence: les individus doivent être clairement informés de l’utilisation de leurs données.
  • La limitation de la collecte: Seules les données nécessaires à un objectif spécifique peuvent être collectées.

Les règles à suivre pour une prospection commerciale en accord avec le RGPD :

Pour rentrer dans le vif du sujet, voici de manière détaillée l’ensemble des points à respecter:

1. Prospecter des contacts professionnels uniquement

Les règles d’applications du RGPD vont fortement dépendre de ton type de cibles.

Tu l’auras compris, le RGPD est particulièrement axé sur les données personnelles, ainsi en B2C (Business to Consumer), le RGPD est fort développé sur de la protection des données du consommateur.

Pour ce qui est du B2B (Business to Business), bon nombre de données étant à caractère professionnel plutôt que privé, les règles sont heureusement moins strictes.

Règles prospection commerciale

Ainsi, le premier point clé d’une prospection digitale en accord avec le RGPD est le type de données que tu utilises: données privées ou professionnelles.

Pour contacter une personne via son adresse privée (une adresse prénom.nom@gmail.com par exemple), il sera nécessaire que la personne en question ait donné son consentement avant d’être démarchée. Celle-ci aurait donc dû s’inscrire par elle-même à ta liste de distribution.

💌 Une Newsletter, par exemple, peut donc être envoyée à des adresses privées, si et seulement si ces personnes se sont inscrites par elles-mêmes, ou ont marqué leurs consentements de manière libre, spécifique, éclairé et univoque.

D’accord, mais le concept de la prospection c’est de contacter des gens n’ayant pas donné leurs consentements, alors comment fait-on? 🧐

Pour contacter une personne via une adresse professionnelle, les règles sont heureusement moins strictes. Comme le rappelle la CNIL (Commission Nationale de l’informatique et des Libertés), la prospection vers une adresse professionnelle (de type nom@companyname.com) peut être réalisée si celle-ci est fondée sur un intérêt légitime.

Intérêt légitime RGPD

2. L’intérêt légitime

Mais qu’entend-on par intérêt légitime ?

Bien que pratique, le concept reste vague. Et surtout reste sujet à interprétation du pouvoir gérant.

**L’intérêt légitime amène le concept de “fit” potentiel entre deux entités, de par les produits ou services proposés d’un côté, et de l’intérêt de l’autre.

L’intérêt légitime fait ainsi un lien direct avec un ciblage réfléchi et bien défini, de manière à ce que la prospection mette en avant des produits ou services, qui au vu de l’activité de la société ou du rôle du professionnel contacté, pourraient être d’un avantage professionnel réel.

Il s’agit ainsi de construire ses actions de prospection de façon cohérente, avec un message qui fait sens pour la cible. La bonne nouvelle c’est que le RGPD ne vient que renforcer légalement  une des conditions essentielle pour un cold e-mail efficace.

Exemple:

Contacter des esquimaux pour leur vendre des frigos 🧊: pas ultra-légitime.

Pas contre, contacter un Head of Marketing avec une proposition de SAAS qui permet un meilleur suivi des campagnes publicitaires, là, cela fait plus de sens.

Le RGPD permet donc la prospection, mais pas le “massmailing” sans réflexion.

Ok, donc on peut contacter des professionnels sur leur adresse pro, lorsqu’il y a un intérêt potentiel légitime, mais quid de leur droit à ne plus être contacté ?

3. L’Opt-out, ou le lien de désinscription

On l’a vu au premier point, lorsque l’on contacte une personne privée, celle-ci doit avoir donné son consentement au préalable, soit “Opt-in” aux futurs contacts.

Heureusement, le RGPD n’impose pas de consentement (opt-in) dans le cadre de la prospection B2B, car l’objectif n’est pas d’entraver aux pratiques commerciales des entreprises. Par contre, on garde le droit de demander de ne plus être contacté.

Cela se traduit par une obligation d’inclure un “Opt-out”, soit un lien de désinscription dans l’ensemble des communications non-solicitées. La CNIL (’Commission nationale de l'informatique et des libertés') ****recommande que celui-ci soit direct, visible et systématique.

Ainsi, l’e-mailing B2B (prospection) fonctionne donc en mode “Opt-out” (sans consentement), tandis que l’e-mailing B2C (Newsletters) fonctionne en mode “Opt-in” (consentement obligatoire).

👉 On parlera d’“Opt-in” pour le B2C, et d’“Opt-out” pour le B2B.

4. Le droit à l’accès et à l’oubli

Vu que le RGPD permet le contact sans “Opt-in” préalable, mais que son but premier est la protection des données personnelles, il semble légitime que chacun d’entre nous puisse demander de ne plus être contacté.

Le RGPD impose ainsi de donner accès aux personnes ciblées à leurs données. Elles ont ainsi le droit de modifier (en cas de besoin), ou de supprimer l’ensemble des informations les concernant (professionnelles ou privées) sauf le fait qu’ils ne souhaitent plus être contactés.

5. La transparence sur les données récoltées

Le RGPD ayant pour objectif de réglementer la collecte, le stockage et le traitement des données personnelles, la provenance de celles-ci sera bien évidemment un point clé pour rester dans les règles.

Par exemple, si tu achètes des listes de contacts B2B, tu réalises unes opération de traitement des données. Tu es donc responsable de t’assurer que celles-ci soient en accord avec le RGPD. Tu ne pourras pas te retourner vers le prestataire en disant que c’est son rôle, car sous le RGPD, tu es responsable de la source de tes données autant que de leur utilisation.

Fais donc bien attention à la provenance de tes données pour rester “conforme” ✅

Tu es également supposé informer ton prospect de sur la provenance, l’utilisation de leurs données ainsi que leurs droits en matière d’utilisation de celles-ci.

La réalité, c’est que pour être bref et concis dans un cold e-mail, inclure tout cela est impossible. Par contre, si le prospect te demande des informations à ce sujet, tu es responsable de l’en informer de façon transparente.

Conformité des emails de prospection commerciale

Pour continuer sur la question de listes, au-delà de l’aspect légal, je te déconseille d’acheter des listes de contacts pour 3 raisons:

  1. Les professionnels changent de poste beaucoup plus fréquemment aujourd’hui. Après 1 an seulement suivant la création de la liste, près de 30% (en moyenne) de celle-ci ne sera déjà plus valide.
  2. La plupart des services de messagerie ont des algorithmes permettant de détecter l’utilisation de listes largement surexploitées. Tu risques ainsi de te faire blacklister, et donc que tes e-mails finissent tous en SPAM.
  3. Très peu de listes (voir quasi aucune) sont construites sur base d’un système en accord avec le RGPD. Tout simplement car la sécurité des données en est un point clé, et que la revente de base nominative est strictement interdite sans accord “opt-in” des personnes concernées.

Pour t’assurer de la conformité de tes e-mails de prospection, la solution idéale est donc de te tourner vers des services d’enrichissement “en direct”, qui ne stockent, ni ne revendent des données, mais plutôt travaillent sur base algorithmique, et valident la donnée avec des serveurs de tests.

Parmi eux, tu retrouveras Dropcontact, Datagma, Hunter, … parmi tant d’autres.

6. Les informations doivent se limiter aux besoins du contact

Lorsque tu contactes un prospect, tu pourrais être tenté de connaître le nom de sa tante, sa couleur préférée, ainsi que le nom de son poisson rouge. Mais fondamentalement ce n’est pas ultra-utile, et un peu intrusif.

Le RGPD suit la même logique. Tu es autorisé en B2B à utiliser les données nécessaires à contacter ta cible, mais pas à utiliser d’autres données non liées sur celle-ci.

Sorry Maurice, mais faut pas pousser le bouchon trop loin !

Informations RGPD

7. La sécurité des données récoltées

Tu l’auras compris, si certaines personnes ne jouent pas le jeu, les données de contact peuvent vite circuler et continuer à être mal utilisées. Selon le RGPD, tu es donc responsable de mettre en place des mesures de sécurité pour protéger les données personnelles de tes prospects ainsi que de tes clients.

Et bien évidemment, il est strictement interdit de les distribuer ou revendre.

8. Alerter les autorités en cas de fuite

Ce point suit la même logique que le précédent. À partir du moment où tu es responsable de la sécurité des données, tu es également responsable en cas de fuite de celles-ci.

Si le cas devait tout de même se présenter, tu auras pour responsabilité d’informer les autorités compétentes en cas de violation des données personnelles.

Donc pas de partages de fichier “discretos” les petits malins, on vous surveille 👀

Quels sont les risques de non-respect du RGPD ?

Évidemment une règle sans sanction, bien ce n’est…. pas très efficace.

Ici on ne fait pas exception à la règle, pour chaque manquement, qu’il y ait eu ou non un dommage matériel ou moral, tu risques une sanction lourde.

Celle-ci peut monter jusqu’à 4% de votre chiffre d’affaires annuel ou 20 millions d’euros (en prenant le montant le plus haut des deux, sinon c’est pas drôle 😬).

La subtilité des contacts d’entreprises “globaux”

En étant attentif jusqu’ici, tu auras remarqué la récurrence de la formule “donnée à caractère personnel” lorsque l’on parle des réglementations. Une certaine flexibilité existe dans le RGPD lorsque l’on parle de données dites “firmographiques”, à savoir qui se réfèrent à des personnes morales (des entreprises).

Ainsi, la raison sociale, l’adresse, l’activité, la gamme de produits / services, … mais également les données de contact génériques de type info@company.com ne sont pas concernées par le RGPD.

Les adresses e-mails ne permettant pas directement d’identifier une personne physique ne sont pas concernées non plus (exemple: press@company.com, contact@company.com, event@company.com, …)

Si tu veux jouer à Rambo, et envoyer des e-mails dans tous les sens (ce qu’on ne te conseille évidemment pas, mais chacun son kifff 🤨), tu peux le faire sur les adresses globales sans risquer des conséquences en termes de GDPR. Ces adresses sont d’ailleurs souvent directement renseignées sur le site web des entreprises en question.

Même si tu es autorisé, cela n’empêche que ce ne sera jamais ouf ni pour ton image de marque, ni pour ta délivrabilité. Donc, range ton gun rambo 🔫.

Il est temps de conclure sans bavure

Pour résumer, il est donc tout à fait possible de prospecter pour développer ton acquisition commerciale malgré le RGPD. Seulement, ce règlement vient mettre un cadre à des activités qui jusqu’ici étaient parfois un peu trop réalisées en mode “Cowboy” par certains pour essayer de développer leur projet.

Là où la prospection de masse et la revente de données personnelles étaient courantes, le RGPD impose une approche plus réfléchie et respectueuse de chacun.

En ciblant correctement tes campagnes,

En créant des listes exhaustives,

En enrichissant de manière qualitative,

En démarchant avec un message qui résonne avec leurs besoins,

Et en respectant les règles mentionnées ci-dessus,

tu pourras devenir le king du Far-West sans entraver aucune loi.

Bienvenue du côté conforme de la prospection, cowboy!

Deviens une machine d'acquisiton

Inscris-toi à notre newsletter et sois tenu au courant des prochains articles sur le growth marketing & l'acquisition.

Merci pour votre inscription
Oups ! Un problème s'est produit lors de l'envoi du formulaire.