- Le blog et les actualités de Witik
- Achat de base de données et RGPD : ce qu’il faut savoir
Achat de base de données et RGPD : ce qu’il faut savoir
Le recours à l’achat d’une base de données contacts dans le but de mener des actions marketing ou commerciales auprès de ces contacts peut vous faire gagner du temps. Notamment, cette pratique est une alternative intéressante à la construction de votre base de données, notamment via des pratiques d’inbound marketing.
Néanmoins, l’achat de bases de données et leur utilisation sont réglementés par le RGPD. Du recueil du consentement à la déclaration à la CNIL et au respect des droits des personnes concernées, faisons le point sur les obligations liées à l’achat de bases de données.
A noter que les informations exposées concernent la prospection commerciale en B2C ou du moins qui s’adresse à des personnes physiques (même dans le cadre de leur activité professionnelle). Autrement dit, si votre base de données reprend les adresses email génériques des entreprises ciblées, alors les obligations qu’on va présenter dans cet article ne s’appliquent pas.
Cela étant dit, voyons comment allier conformité et performance dans le maniement des bases de données.
Achat de base de données : déclaration préalable à la CNIL
Le fichier de base de données que vous souhaitez acheter doit au préalable avoir été déclaré à la CNIL. C’est au créateur et vendeur de la base de données d’effectuer cette déclaration, mais il est important de bien vérifier qu’elle a été faite.
En effet : en cas de non-respect de cette règle, la vente peut être déclarée nulle et vous perdrez donc le droit d’utiliser cette base de données !
Avant de vous engager et d’acheter une base de données, veillez à bien vérifier que votre prestataire est en conformité avec le RGPD, notamment en ce qui concerne cette déclaration préalable.
Le consentement des personnes concernées
Le consentement des personnes concernées est obligatoire avant toute utilisation du fichier à des fins commerciales ou de prospection. Là encore, le consentement est en général obtenu par l’entreprise qui fournit la base de données. C’est donc un autre élément à bien vérifier avant votre achat.
D’autre part, le consentement doit répondre aux critères de validité du RGPD. Sans entrer dans le détail ici des différentes règles qui l’encadrent et qui est valable pour le consentement aux cookies, à l’envoi d’une newsletter ou à tout type de démarchage, il est utile de s’interroger sur la manière dont l’autorisation a été obtenue par l’entreprise. En particulier, ce consentement doit découler d’une action positive : par exemple, le fait de cocher une case.
Enfin, précisons que la mise à jour en temps réel du consentement des utilisateurs est essentielle : votre fichier doit être modifié lorsqu’une personne retire son consentement, par exemple.
Cette opération sera effectuée par le prestataire vendeur de la base de données ou bien par vous directement. Dans ce cas, il peut être utile de s’équiper d’un logiciel spécifique appelé consent management platform, qui facilite grandement la gestion des autorisations.
A noter : cette obligation de consentement n’existe pas lorsque vous utilisez une base de données comprenant uniquement des données B2B comme des adresses email génériques d’entreprises (contact@entreprise.fr par exemple). Dans ce cas, vous devez toutefois assurer l’exercice des droits des entreprises concernées, comme la possibilité de se retirer de la liste d’envoi (opt-out).
Respecter l’obligation d’information après l’achat de la base de données
Une fois l’achat de la base de données opérée, vous devez informer les personnes concernées. Cette obligation comprend plusieurs éléments qui doivent être précisés et doit être effectuée dès l’enregistrement des données et au plus tard lors de leur première utilisation.
L’information à donner aux utilisateurs doit rassembler plusieurs éléments, qui peuvent éventuellement être présentés dans une page web vers laquelle la communication d’information renverra.
Il convient notamment de préciser l’identité du responsable de traitement des données en charge de l’opération. La finalité du traitement des données doit également être précisé : il s’agit de la manière dont vous allez utiliser les données.
Par ailleurs, il faut rappeler à vos utilisateurs les droits dont ils disposent, comme celui de retirer leur consentement à tout moment, de consulter les données les concernant ou de faire une réclamation à la CNIL, par exemple.
Enfin, la durée de conservation des données doit être précisée dans cette notice d’informations.
A noter que la seule information ne suffit pas : il faut mettre en place un véritable suivi de l’exercice des droits des personnes concernées. Autrement dit, vous devez vous assurer qu’une personne souhaitant retirer son consentement ne recevra effectivement plus de communications de votre part, par exemple.
L’ensemble de ces obligations peut paraître complexe à gérer. Heureusement, des solutions existent pour faciliter le traitement et la mise à jour des informations à recueillir et traiter. C’est le cas des logiciels RGPD comme Witik qui automatisent vos efforts et vous font gagner du temps dans la gestion de vos bases de données !