Prospection téléphonique et RGPD : les 5 grands principes à respecter

Qu’est-ce que le RGPD ?

Le RGPD - Règlement Général sur la Protection des Données - a notamment pour objectif d’accroître la protection des droits et libertés des utilisateurs d’Internet, en encadrant la collecte et le traitement des données personnelles.

Par données à caractère personnel, on entend toutes les informations pouvant participer à identifier directement ou indirectement une personne physique (nom, téléphone, adresse mail, adresse IP, cookie, localisation…)

On ne parle pas ici des données concernant les personnes morales ; lesquelles n’entrent pas dans le périmètre d’application du RGPD.

Il s’agit d’un règlement européen adopté en avril 2016 et appliqué depuis le 25 mai 2018. Il remplace la directive 95/46/CE de 1995, dont le contenu avait été transposé dans le droit français par la loi Informatique & Libertés de 2004.

En France, l’autorité administrative chargée de contrôler sa bonne application est la CNIL (Commission nationale de l'informatique et des libertés).

‍

À qui s’adresse le RGPD ?

Le RGPD s’applique à toutes les organisations, européennes ou non, traitant des données de citoyens européens ou de personnes résidant dans un pays de l’Union Européenne.

Il ne s’adresse pas uniquement aux entreprises privées, mais aussi aux organismes publics, associations, fondations, etc. 

D’accord mais “traiter” des données, ça veut dire quoi exactement ? 🤓

‍

Pour le RGPD, le traitement des données inclut la collecte, l’accès, le stockage, la manipulation, la destruction, la consultation, etc. 

‍

Cela signifie qu’une entreprise qui externalise la collecte et le stockage et consulte ses données à distance (par exemple en travaillant avec un call center) est aussi considérée comme traitant de la donnée.

Vous l’aurez compris, ce règlement concerne quasiment toutes les organisations, que celles-ci soient localisées en Europe ou partout dans le monde.

Il concerne, aussi et surtout, tous les services et départements en leur sein, du marketing au service clients, des ressources humaines au juridique, de la DSI au service commercial.

‍

Quels en sont les grands principes à retenir du RGPD ?

Le Règlement Général sur la Protection des Données est un long document de plus de 100 pages et 99 articles. On vous épargne cette lecture peu passionnante. Voici les 5 grands principes à retenir absolument.

‍

‍

1. Création de nouveaux droits

Depuis le RGPD, les citoyens concernés par des traitements de données personnelles disposent de nouveaux droits leur permettant de garder la maîtrise des informations les concernant.

Les entreprises doivent garantir aux personnes l’exercice de ces droits.

‍

Droit d’accès et de rectification des données

Toute personne doit pouvoir :

• accéder aux informations la concernant ;
• en obtenir la copie ;
• connaître l’origine des informations;
• exiger que ses données soient rectifiées, complétées ou mises à jour

Le responsable du fichier dispose d’un délai d’un mois maximum pour répondre, à compter de la date de réception de la demande.

‍

Droit à l’effacement (ou droit à l’oubli)

Les individus peuvent également exiger que les organisations suppriment entièrement les données les concernant. Cela inclut les cas dans lesquels elles décident de finalement retirer leur consentement.

‍

Droit à la limitation du traitement

Si les personnes contestent l’exactitude des données utilisées, la loi autorise l’organisme à procéder à une vérification ou à un examen de la demande. 

Durant ce délai, les individus ont la possibilité de demander de geler l’utilisation de leurs données. Concrètement, l’organisme ne devra plus les utiliser, mais pourra les conserver.

‍

Droit à la portabilité des données

Toute personne a le droit de demander à récupérer les données que l’on a recueillies sur elle, pour son usage personnel ou pour les transmettre à un organisme tiers de son choix.

Dans ce cas, l’entreprise doit les lui partager dans un format structuré, couramment utilisé et lisible par un ordinateur.

‍

Droit d’opposition

Les prospects doivent avoir la possibilité de s’opposer à la réutilisation de leurs coordonnées à des fins de sollicitations, notamment commerciales.

Toute personne a le droit de s’opposer au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).

‍

2. Renforcement des règles de consentement 

Le RGPD renforce grandement la notion de consentement, préalable à la collecte de données personnelles.

Le consentement requiert, pour être valable, une action positive et spécifique de la personne concernée (exemple : une case à cocher dédiée et NON pré-cochée). L'acceptation de CGU n’est pas suffisante. 

Le consentement, pour être valable, doit respecter 4 critères cumulatifs. Il doit être :

• libre,
• spécifique,
• éclairé,
• univoque. 

‍

Le consentement préalable est notamment nécessaire en cas :

• de collecte de données sensibles ;
• de réutilisation des données ;
• d'utilisation de cookies ;  
• d'utilisation des données pour de la prospection commerciale.

‍

Il vous sera demandé de prouver ce consentement en cas de contrôle de la CNIL.

Aussi, nous l’avons vu au-dessus, toute personne a la possibilité de retirer ce consentement à tout moment.

‍

Le RGPD prévoit deux exceptions au consentement préalable. 

En effet, les législateurs ont considéré que la prospection peut être fondée sur l’intérêt légitime de la personne si et seulement si :

1. la personne prospectée est déjà cliente ET que la prospection concerne des produits ou services similaires à ceux déjà achetés.
2. la prospection n'est pas de nature commerciale (exemple : association caritative).

‍

3. Responsabilisation des entreprises

L’un des objectifs du RGPD est de responsabiliser les entreprises dans leur manière de gérer les données à caractère personnel.

Plusieurs mesures ont été actées sur ce principe :

• obligation de désigner un Délégué à la Protection des Données (DPO), chargé de conseiller et de veiller à la bonne application du règlement,
• obligation de créer et tenir un registre des traitements, qui documente toutes les actions de collecte, modifications de données, etc.,
• obligation de notifier les utilisateurs en cas de fuite de leurs données,
• obligation de s’assurer que les sous-traitants fournissent des garanties suffisantes en matière de protection des données.

‍

4. Intégrer les enjeux de protection des données dès le départ

Dans la continuité du principe précédent, le RGPD force les entreprises à repenser leur usage des données personnelles et leur protection.

Deux principes ont été créés en ce sens :

‍

Privacy by design

Ce concept veut que les sujets de protection de la vie privée soient pris en compte dès la genèse du produit ou du service. 

Il induit que la collecte de données personnelles doit être limitée à ce qui est strictement nécessaire. Les entreprises doivent donc passer d’une approche quantitative (traiter le maximum de données) à une approche qualitative (se recentrer sur les données réellement créatrices de valeur). On parle de minimisation des données.

‍

Privacy by default

Ce concept implique que, dès la conception du service ou du produit, le plus haut niveau de protection de la vie privée soit mis en place ET appliqué par défaut.

‍

5. Renforcement des mesures de sécurité

Le RGPD impose aussi de mettre en place des « mesures techniques et organisationnelles » (article 32) pour assurer un niveau de sécurité adapté et cohérent.

Le règlement affirme ainsi l’importance d’apprécier les risques et de mettre en place des mesures appropriées, qui peuvent inclure :

• le chiffrement et l’anonymisation des données
• la mise en place de tests et d’évaluation
• la création de procédures en cas d’incident
• …

‍

Quels sont les risques encourus en cas de non-respect du RGPD ?

Le RGPD est un règlement et non une directive, et ça change tout ! ⛔️

Une directive européenne donne des objectifs aux états membres. Seulement, il peut se passer plusieurs années entre la publication de la directive et la transposition en droit national. Par exemple en France, 9 ans se sont écoulées entre la directive 95/46/CE de 1995 et la loi Informatique & Libertés de 2004.

Au contraire, un règlement s’applique à tous les états membres dès son entrée en vigueur. Pas besoin de le transposer dans le droit national.

Le respect de ses exigences est obligatoire et de lourdes sanctions financières sont prévues en cas d’infraction.

Le RGPD prévoit deux modes de calcul pour les amendes :

• En fonction du chiffre d’affaires : une amende de 2% à 4% du CA mondial (de l’exercice précédent)
• En valeur absolue : une amende de 10 à 20 millions d’euros

Rassurez-vous, les amendes ne sont prononcées qu’en dernier recours. 

‍

‍

Les autorités de contrôle (comme la CNIL en France) émettent d’abord des avertissements ou des ordonnances, qui accordent un délai aux entreprises pour actualiser leurs pratiques.

Aussi ces autorités de contrôle ont le pouvoir d’interdire temporairement ou définitivement le traitement des données en cas de non-respect majeur. Aucune décision de cette ampleur n’a encore été prononcée pour le moment.

Exemple concret : une entreprise externalise son service client à l’étranger. Que dit le RGPD ?

Dans le cas d'une entreprise française qui externalise son service client auprès d'un centre d'appels basé à l’étranger, en Tunisie par exemple, plusieurs aspects de cette collaboration entrent dans le champ d'application du RGPD, si les données personnelles traitées concernent des clients qui résident dans l’UE.

L'entreprise française est considérée comme le responsable de traitement, tandis que le centre d'appels tunisien agit en tant que sous-traitant.

Exemples de clauses RGPD types à intégrer dans le contrat d’externalisation

L'entreprise française doit s'assurer que le niveau de protection des données en Tunisie est adéquat, par exemple en mettant en place des clauses contractuelles types approuvées par la Commission européenne. Voici quelques exemples : 

• Engagement du sous-traitant à traiter les données uniquement sur instruction documentée du responsable de traitement ;
• Obligation de confidentialité pour le personnel du centre d'appels ayant accès aux données ;
• Mise en place de mesures de sécurité techniques et organisationnelles appropriées, par exemple : chiffrement des données en transit et au repos, contrôles d'accès stricts et authentification à plusieurs facteurs, journalisation des accès et des traitements effectués, etc.
• Procédure de notification des violations de données dans un délai spécifié (dans les 72 heures) ;
• Assistance au responsable de traitement pour répondre aux demandes d'exercice des droits des personnes concernées ;
• Engagement à supprimer ou renvoyer toutes les données personnelles à la fin du contrat de sous-traitance ;
• Autorisation ou interdiction de recourir à d'autres sous-traitants, avec procédure d'approbation le cas échéant ;
• Obligation de permettre et de contribuer aux audits menés par le responsable du traitement ou un auditeur mandaté ;
• Détails sur les transferts de données autorisés, y compris les pays destinataires et les garanties mises en place.

Qu’est-ce qu’un traitement de données au sens du RGPD dans cet exemple ?

Dans le contexte de l'externalisation du service client à un centre d'appels tunisien, le RGPD considère comme « traitement de données » plusieurs opérations, courantes ou non, effectuées sur les informations des clients. 

Selon l'article 4(2) du RGPD, le traitement englobe « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ».

Concrètement, on parle des opérations suivantes : 

• La première transmission des données clients de l'entreprise française vers le centre d'appels tunisien ;
• Le stockage de ces données sur les serveurs ou systèmes du centre d'appels ;
• La consultation des fiches clients par les agents du centre d'appels lors des interactions avec les clients ;
• La mise à jour des informations clients (adresse, numéro de téléphone, préférences) dans la base de données ;
• L'enregistrement des appels à des fins de contrôle qualité ou de formation ;
• L'utilisation des données pour générer des rapports d'activité ou des analyses de performance ;
• La suppression des données obsolètes ou à la demande du client ;
• Le transfert de données dans l’autre sens, vers l'entreprise française, pour mise à jour de ses propres systèmes.

Chacune de ces actions, qu'elle soit effectuée manuellement par un agent ou automatiquement par un système informatique, constitue « un traitement de données » au sens du RGPD. 

L'entreprise française, en tant que responsable de traitement, doit s'assurer que chacun de ces traitements respecte les principes fondamentaux du RGPD, notamment la licéité, la loyauté, la transparence, la limitation des finalités, la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la confidentialité.

Le centre d'appels tunisien, en tant que sous-traitant, doit mettre en place des mesures techniques et organisationnelles pour garantir que ces traitements sont effectués conformément aux exigences du RGPD et aux instructions de l'entreprise française.

Puis-je continuer à faire de la prospection téléphonique ?

La réponse est oui ! 🥳

La prospection téléphonique est toujours possible et légale, à condition que, au moment de la collecte de leur numéro de téléphone, les personnes aient :

• été informées du traitement de leurs données à des fins de prospection ;
• eu la possibilité de s’y opposer simplement et gratuitement

(voir notre article : « Quelles obligations réglementaires pour la vente par téléphone ? ».

Officiellement le RGPD ne fait pas de distinction entre les activités B2B et B2C. En théorie les entreprises doivent se conformer aux mêmes règles, quelle que soit la cible. En pratique, on remarque une différence de tolérance.

‍

La prospection commerciale téléphonique est autorisée à condition que :

• le prospect BtoC puisse y consentir préalablement (opt-in)
• le prospect BtoB puisse s’y opposer (opt-out)

Rentrons dans les détails.👇

‍

Le RGPD et la prospection B2B

En prospection B2B, on induit la notion de consentement tacite et d’opt-out.

L’opt-out autorise les organismes à traiter les données à caractère personnel sans recueillir de consentement. En revanche, le prospect doit pouvoir s’y opposer a posteriori.

Traduction : Tant que le prospect ne dit pas “non”, c’est que c’est “oui”.

Le recours à l’opt-out doit être raisonnable, et n’est autorisé que :

• dans le contexte de relations commerciales professionnelles
• pour partager du contenu en lien avec la profession du destinataire
• si le destinataire est en mesure de s’y opposer à tout moment

Le RGPD et la prospection B2C

Le contrôle de l'application du RGPD est plus stricte en ce qui concerne la collecte des données des particuliers.

En France, la prospection commerciale B2C autorise seulement le recours à l'opt-in.

L’opt-in interdit aux organismes de traiter les données à caractère personnel des particuliers sans recueillir leur consentement. 

Traduction : Si le prospect ne dit pas “oui”, alors c’est “non”.

Enfin n’oubliez pas, un particulier ayant donné son accord doit pouvoir le retirer à tout moment.