Toute campagne de sollicitation commerciale est susceptible de relever de divers textes légaux : la loi du 6 janvier 1978 dite informatique et libertés et le règlement général sur la protection des données du 27 avril 2016 (RGPD), les dispositions concernant la prospection par voie électronique (article L. 34-5 du Code des postes et communications électroniques), le démarchage téléphonique (articles L. 223-1 et suivants du Code de la consommation) ou encore celles pouvant s’appliquer à l’acquisition des données. La mise en place de certaines mesures ou précautions permet de prospecter en conformité avec ces textes.
Lire aussi
Le bail commercial soumis au défi énergétique et environnemental
Informer les prospects et leur permettre d’exercer leurs droits
Une campagne de prospection constitue un traitement de données personnelles dès lors que les destinataires sont des personnes physiques, particuliers ou représentants d’une société.
À ce titre, l’entreprise doit observer la loi informatique et libertés et le RGPD, en particulier l’obligation d’informer ses prospects du traitement de leurs données personnelles.
Cette information doit être donnée au moment où le prospect communique directement ses données à l’entreprise, par exemple en utilisant un formulaire de contact. Elle est matérialisée en pratique dans un document fréquemment appelé « politique de confidentialité » dont le contenu est dicté par le RGPD.
Lorsque l’entreprise acquiert une base de données de prospects auprès d’un courtier, cette information doit leur être communiquée au moment de la première communication avec eux et au plus tard sous un mois.
Cette exigence de transparence ne pose pas de difficultés, même dans ce second cas, dès lors que le document d’information peut être joint au message commercial et que la campagne peut être lancée sans tarder après l’obtention des données.
L’entreprise doit par ailleurs permettre à ses prospects d’exercer effectivement leurs droits, en particulier de s’opposer à la réception de messages commerciaux, en mettant à leur disposition un moyen de la contacter facilement qui se traduit le plus souvent par une adresse électronique dédiée.
L’information des personnes concernées par un traitement et la possibilité d’exercer effectivement leurs droits sont deux points auxquels la CNIL attache une importance particulière. Ils doivent être considérés de ce fait avec attention.
Recueillir le consentement en cas de prospection par voie électronique
L’envoi de sollicitations commerciales par voie électronique, essentiellement par courrier électronique, messagerie instantanée ou appels automatisés, est soumis à une exigence supplémentaire.
Il n’est possible que si l’entreprise a recueilli au préalable le consentement des prospects à recevoir des messages de ce type. Dans des contextes de collecte de données en ligne, il est très souvent matérialisé par une case à cocher autorisant la réception de contenus commerciaux.
Toutefois, ce consentement préalable n’est pas requis lorsque la campagne est destinée à des professionnels (BtoB) selon la position de la CNIL, ou à des particuliers (BtoC) clients de l’entreprise que celle-ci prospecte pour des produits ou services analogues à ceux fournis précédemment.
Ces deux cas d’exception apportent de la souplesse à l’exigence de recueil de consentement. Le destinataire doit cependant avoir la possibilité de s’opposer facilement à la réception des envois au moment de la collecte de ses données et dans chaque message, par exemple via un lien de désabonnement de la liste d’envoi.
Vérifier l’absence d’opposition en cas de prospection téléphonique
En cas de prospection téléphonique à destination de particuliers, l’entreprise doit vérifier au préalable que les destinataires ne figurent pas dans la liste d’opposition à ce type de démarchage, connue sous le nom de Bloctel.
L’entreprise doit par ailleurs informer les particuliers de leur droit de s’inscrire sur cette liste d’opposition lorsqu’elle recueille leur numéro de téléphone, ce qui peut être fait dans sa politique de confidentialité.
Utiliser des données acquises licitement
Toute campagne de sollicitation commerciale s’appuie sur une base de données de prospects. Celle-ci peut être constituée par l’entreprise à l’aide d’un des nombreux outils du marché qui permet d’extraire automatiquement des données publiées sur un site internet. Cette pratique, connue sous le nom de « web scraping », n’est pas illicite par principe. Elle peut cependant le devenir si certaines précautions ne sont pas respectées.
L’entreprise doit ainsi s’assurer que l’outil utilisé n’entraîne pas un accès ou une extraction frauduleuse des données, par exemple en contournant des mesures de sécurité du site. Elle doit également veiller à ce que la collecte des données ne soit pas substantielle, d’un point de vue qualitatif ou quantitatif. À défaut, la responsabilité civile, voire pénale, de l’entreprise pourrait être recherchée.
Par ailleurs, si l’entreprise dispose d’un compte ou d’un abonnement au site dont elle souhaite collecter les données, il faut vérifier que les conditions générales de celui-ci n’interdisent pas cette collecte.
Pour éviter ces risques liés à la constitution d’une base de prospects, il est possible d’en faire l’acquisition auprès de courtiers. Dans ce cas, il faut examiner attentivement le contrat du fournisseur pour s’assurer qu’il est bien responsable des éventuelles fautes commises dans l’élaboration de la base, et en particulier dans l’obtention d’un consentement valable à la prospection de la part des personnes qui y figurent. Sur ce dernier point, plusieurs entreprises ont été condamnées par la CNIL, en 2024, à payer des amendes très significatives pour avoir utilisé des bases fournies par des courtiers sans s’être assurées que les prospects avaient valablement consenti à la prospection.