Au cours du temps, nous avons presque tous constitué une liste d’adresses e-mail que nous utilisons à des fins commerciales. Cependant, avec l’arrive du RGPD, pouvons-nous continuer à utiliser cette base de données pour faire de la prospection et de la relance par e-mailing ?

Le règlement général de protection des données personnelles (RGPD) a été voté en 2016. Toute entreprise doit se préoccuper de cette nouvelle réglementation dont le non-respect pourra être sanctionné à partir du 25 mai 2018. Ce nouveau texte réglementaire remplace une précédente législation qui avait été établie aux balbutiements de l’économie numérique, bien avant que le négoce de données personnelles ne devienne une activité économique à part entière et que quelques scandales attirent l’attention de l’opinion publique sur ces enjeux et sur leur impact sur la vie privée. Cette législation des années 1990 est dès lors devenue inadaptée.

Une réglementation qui concerne même les relations commerciales BtoB

La nouvelle réglementation vise tout responsable de traitement de données personnelles concernant des citoyens de l’Espace Economique Européen, tant dans le cadre de leur vie privée que de leur activité professionnelle. Les données personnelles peuvent être notamment des noms, prénoms, adresses, login et mots de passe, adresses IP de connexion et évidemment les adresses e-mail.

Les points à vérifier en cas d’usage commercial de données personnelles

Vous avez certainement de tels listings de « contacts », ne fut-ce que dans un logiciel comme Outlook. Le RGPD impose de vous poser 5 questions fondamentales :

  1. Ai-je bien annoncé aux personnes concernées, lors de la récolte de ces données, la finalité poursuivie (telle qu’un usage marketing) et ai-je bien récolté leur consentement explicite ? Ai-je d’ailleurs bien conservé la preuve de ce consentement ?

  2. N’ai-je pas récolté de façon disproportionnée ces données par rapport à cette finalité ?

  3. Utiliserai-je bien des données conformément à la finalité annoncée (en d’autres termes, ne risquerai-je pas d’être accusé de détournement de finalité, en ayant récolté par exemple la date de naissance afin de s’assurer que la bouteille de vin n’est pas vendue à un mineur, pour ensuite utiliser cette donnée pour relancer grâce à un bon de réduction cette personne le jour de son anniversaire ?

  4. Ai-je bien protégé (sur le plan informatique, mais aussi physique : accès sécurisé aux locaux) ces données contre des risques d’interception tant externe qu’interne ? Ai-je bien stocké ces données dans un pays considéré comme sûr au niveau de la protection des données personnelles (l’UE et quelques autres pays validés) ?  Si une copie de ces données sont sur un ordinateur portable, ai-je bien sécurisé l’accès avec un mot de passe, crypté le disque dur, et installé un logiciel anti-malware ?

  5. Ai-je bien prévu la possibilité pour la personne concernée de prendre connaissance des données récoltées à son propos, de pouvoir les rectifier, et même de les supprimer totalement ou de façon sélective ?


Vous allez vraisemblablement répondre par la négative à une ou plusieurs de ces questions. Vous devrez alors entreprendre des tâches de mise en conformité.

Que faire pour être en ordre ?

Que vous soyez en ordre ou pas, sauf si vous n’utilisez ces données que de façon occasionnelle (ce qui ne pourra être le cas par exemple pour l’envoi d’e-newsletters), le GDPR vous oblige dorénavant à tenir un registre des différents traitements effectués.

Ensuite, vous devrez filtrer les données personnelles qui peuvent être conservées compte tenu de la nouvelle réglementation, ainsi qu’adapter le contenu de la page « charte vie privée » sur votre site web, ainsi que les différents formulaires en ligne (ou au comptoir), en veillant à ce que le consentement soit recueilli de façon libre, via une case qui ne peut être pré-cochée.

Puis vous allez vérifier si lors de chaque envoi, les coordonnées de l’émetteur sont bien reprises et si le processus de désinscription est bien possible et aussi facile que ne l’a été l’inscription.

Une check-list plus détaillée des tâches à accomplir pour être en conformité avec le RGPD est consultable à l’adresse http://www.prospectic.be/emailing-gdpr.

Vous allez vous dire : qu’est-ce qui va me rester comme données personnelles sur mes clients ? Probablement moins qu’avant. Le RGPD engendre un changement de paradigme : le temps où on utilisait des stratagèmes (concours, bons de réduction…) pour soutirer des données personnelles est révolu. Il faut maintenant faire en sorte que le client soit demandeur. En marketing direct, fini la quantité, place à la qualité. Les données personnelles vont devenir un actif pour une entreprise, à protéger comme le sont d’autres « biens » appartenant à celle-ci.  Le citoyen étant de plus en plus sensible au bon usage de ses infos, faites dorénavant du respect de celles-ci un argument commercial !

Damien Jacob small

Damien Jacob

Actif depuis plus de 20 ans dans le domaine des T.I.C. en France et en Belgique, Damien Jacob est formateur et conseiller indépendant pour accompagner les PME et indépendants dans leur stratégie de développement online & offline. Il enseigne à HEC-Ecole de gestion de l’Université de Liège, à la Haute Ecole de la Province de Liège, à la Haute Ecole Provinciale de Hainaut Condorcet et à l’Université de Strasbourg.