Guide sur le RGPD et la conformité des données B2B (2024)
Guide sur la conformité des données B2B :
Lorsque l’on utilise des bases de données pour la vente, le marketing et la prospection B2B, il est essentiel de comprendre comment gérer les informations commerciales en toute conformité.
Les entreprises B2B ont le devoir de respecter des normes élevées et de fournir les meilleurs services possibles à leurs clients.
Si vous êtes novice en matière de conformité des données ou si vous êtes à la recherche de conseils pour vous rafraîchir la mémoire, nous sommes là pour vous aider.
Lisez notre guide complet sur la gestion des données B2B 👇 pour profiter des conseils d’experts en droit et en conformité de Cognism !
Vous recevrez les conseils d’experts de :
- Delfina Vallve, responsable sécurité et conformité ✅
- Aksa Kalam, responsable juridique ✅
Petit récapitulatif : qu'est-ce que la conformité des données B2B ?
Le RGPD de l’Union Européenne
Le règlement général sur la protection des données, ou RGPD, est entré en vigueur en mai 2018 dans l'ensemble de l'UE et de l'EEE.
Le RGPD vise à :
- Donner aux citoyens plus de contrôle sur leurs données personnelles.
- Définir les modalités selon lesquelles les entreprises doivent traiter et protéger les données qu'elles détiennent sur leurs clients.
Les règles du RGPD concernant le traitement des données personnelles s'appliquent aussi aux entreprises B2B, mais ces dernières peuvent toujours mener des activités de marketing telles que la prospection par téléphone ou l’envoi d’emails si elles disposent d'une base légale (par exemple, l'intérêt légitime) et se conforment aux exigences applicables.
📚Pour en savoir plus sur le cold calling et l’intérêt légitime, consultez notre guide sur la prospection téléphonique et le RGPD.
Les sanctions pour non-respect du RGPD sont sévères, l'amende maximale étant de 20 millions d'euros ou de 4 % du chiffre d'affaires annuel mondial de l'année précédente - le montant le plus élevé étant retenu.
Les CCPA et CPRA en Californie
La loi californienne sur la protection de la vie privée des consommateurs, ou CCPA, est entrée en vigueur en Californie en 2018. Elle s'applique à toute entité à but lucratif faisant des affaires en Californie et répondant à l'un des critères suivants :
- Avoir un revenu brut supérieur à 25 millions de dollars.
- Acheter, recevoir, vendre ou partager annuellement les renseignements personnels de plus de 50 000 consommateurs, foyers ou appareils à des fins commerciales.
- Tirer 50 % ou plus de ses revenus annuels de la vente d'informations personnelles de consommateurs.
La loi s'applique également à toute entité qui, au choix :
- Contrôle ou est contrôlée par une entreprise couverte par la loi.
- Partage une marque commune avec une entreprise couverte, telle qu'un nom, une marque de service ou une marque commerciale.
- En outre, certaines parties du CCPA s'appliquent spécifiquement aux prestataires de services et aux tiers.
Le CCPA est similaire au RGPD en ce qu'il oblige les entreprises à identifier tous les renseignements personnels qu'elles détiennent sur leurs clients et la manière dont elles ont obtenu ces informations.
Elle stipule également que les entreprises doivent :
- Fournir et publier des liens de désinscription sur les communications de la part de l'entreprise.
- Supprimer les données personnelles si le client le demande.
Les activités de marketing B2B sont couvertes par le CCPA, bien que les entreprises B2B n'aient pas eu à se conformer à certaines parties de la loi avant 2021.
La sanction maximale prévue par le CCPA est de 7 500 dollars par infraction si celle-ci est considérée comme intentionnelle.
Le CPRA (California Privacy Rights Act) est une initiative électorale qui modifie le CCPA. Il prévoit des mesures supplémentaires de protection de la vie privée pour les consommateurs et est à l’origine de la création de l'Agence californienne de protection de la vie privée (California Privacy Protection Agency), un organisme public chargé de faire appliquer la loi.
Le CPRA est entré en vigueur le 1er janvier 2023.
La confidentialité des données aux États-Unis
Actuellement, il n'existe pas de loi au niveau fédéral sur la confidentialité des données aux États-Unis.
Mais cela pourrait bientôt changer si la pression en faveur d'une plus grande protection de la vie privée se poursuit.
La loi américaine sur la protection des données et de la vie privée (ADPPA) pourrait devenir la première loi fédérale sur la confidentialité des données qui protège les droits individuels à la vie privée.
Plusieurs autres États rejoignent la Californie en créant leurs propres lois sur la protection de la vie privée. En voici quelques exemples :
- Le Colorado Privacy Act (CPA) entrera en vigueur le 1er juillet 2023. Il donne aux résidents le droit de refuser le traitement des données personnelles à des fins de publicité ciblée.
- Le Connecticut Data Privacy Act (CDPA) entrera en vigueur le 1er juillet 2023. Il donne aux consommateurs des choix concernant leurs données personnelles lorsqu'elles sont recueillies par des entreprises qui ont des activités dans l'État.
- Le Virginia Consumer Data Privacy Act (VCDPA) a été promulgué le 1er janvier 2023. Il a un impact sur les organisations non gouvernementales et gouvernementales qui contrôlent et traitent des données personnelles.
- La loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA) entrera en vigueur le 31 décembre 2023. Cette loi concerne les grandes entreprises : elle ne s'applique qu'aux organisations dont le chiffre d'affaires annuel est d'au moins 25 millions de dollars.
Dix-neuf autres États disposent actuellement de projets de loi offrant divers niveaux de protection des données, tous à des stades de développement différents. C'est un bon indicateur que la confidentialité des données et la conformité sont un secteur qui continuera à croître et à se développer aux États-Unis dans les années à venir.
La LGPD au Brésil
Outre les règles de l'Union Européenne et des États-Unis en matière de protection des données, le Brésil a ajouté sa propre loi sur la protection générale des données (LGPD).
À l'instar du RGPD et du CCPA, la LGPD restreint l'utilisation, le traitement, la collecte et le stockage des données personnelles. Elle s'applique aux données recueillies physiquement et électroniquement dans tous les secteurs de l'économie brésilienne.
Pour faire appliquer ces nouvelles règles, le pays a créé l'Agence nationale brésilienne de protection des données.
Actuellement, la LGPD ne couvre pas les activités de marketing B2B, mais cela pourrait changer à l'avenir, et il est donc essentiel de le savoir et de s'y conformer.
Pourquoi la conformité des données B2B est-elle plus importante que jamais ?
De plus en plus de pays ont commencé à légiférer et à renforcer leurs règles en matière de protection des données. Les entreprises doivent donc avoir une longueur d'avance en matière de conformité.
Quelles actions mener pour être en conformité ?
Travailler avec une technologie qui garantit déjà un haut niveau de conformité est un excellent point de départ ! Poursuivez la lecture pour découvrir comment Cognism assure la conformité de sa base de données B2B.
Comment Cognism assure la conformité RGPD de ses données B2B ?
Delfina Vallve est responsable de la sécurité et de la conformité chez Cognism. Elle nous donne un aperçu de comment Cognism adhère à la conformité au RGPD.
“Cognism est un outil de génération de leads B2B conforme au RGPD, et nous nous assurons de disposer de tous les processus et mécanismes nécessaires pour recueillir, traiter et partager les données avec nos clients de manière conforme.”
Cognism atteint cet objectif grâce à des méthodes qui incluent notamment (sans y être limitées) :
- La collecte limitée de données B2B.
- Disposer d'une base légale en vertu du RGPD pour recueillir et traiter nos données (intérêt légitime).
- Réaliser toutes les évaluations pertinentes pour déterminer les bases légales de la collecte et du traitement des données.
- Notifier notre base de données conformément à nos obligations de transparence en vertu de l'article 14 du RGPD. Nous informons les personnes concernées que nous détenons des données les concernant, nous expliquons nos activités de traitement et nous donnons aux personnes concernées la possibilité d'exercer l'un de leurs droits, y compris la possibilité de se désinscrire.
- Disposer d'un processus de retrait optimisé et d'une équipe dédiée qui traite les demandes d'accès des personnes concernées (DSAR) dans les délais impartis.
- Détenir les certificats ISO 27001 et ISO 27701 et être certifié SOC2 type II.
- Comparer notre base de données téléphonique aux registres de numéros de téléphone exclus en France, Royaume-Uni (TPS et CTPS), États-Unis, Allemagne, Australie, Suède, Portugal, Croatie, Espagne, Belgique et Canada. Nous nous efforçons également de nous inscrire dans d'autres registres de numéros exclus à travers le monde.
- Réviser constamment nos processus et nos mécanismes afin d'améliorer la manière dont nous recueillons, stockons et traitons les données.
L’engagement de Cognism en matière de conformité des données B2B
Aksa Kalam, responsable du service juridique de Cognism, partage sa check-list de conformité des données B2B ⤵️
Une base de données informée
Le RGPD impose déjà aux responsables du traitement et aux sous-traitants de notifier aux personnes la manière dont leurs données sont recueillies et traitées.
Cette obligation fait partie du RGPD depuis sa création, mais elle a été mise en évidence en 2021 après qu'une mesure d'exécution a été prise à l'encontre d'Experian (bien que le First-Tier Tribunal ait donné raison à Experian en appel au début de l'année 2023).
À la suite de cette poursuite, et pour s'assurer de rester conforme, Cognism a pris la décision de notifier l'ensemble de sa base de données.
Par notification, nous entendons le fait d'informer les personnes concernées de notre détention de données à leur sujet, ainsi que de nos activités de traitement au moment de la collecte des données. Les personnes concernées sont ainsi informées et peuvent facilement exercer leurs droits.
La notification des personnes en vertu de l'article 14 du RGPD lorsque les données ne sont pas recueillies directement auprès des personnes est essentielle pour vous assurer que vous restez conforme. Cela permet d'éviter une violation des lois sur la protection des données et des mesures d'exécution ultérieures de la part des autorités de contrôle.
Une base de données constituée uniquement d’emails B2B
Cognism ne fournit que des emails B2B, nous n'avons aucun email B2C dans notre base de données.
Les clients de Cognism peuvent être assurés que les emails de notre base de données sont des emails B2B et qu'ils sont conformes à la loi.
Les listes de numéros de téléphone exclus
Les listes de numéros de téléphone exclus sont constituées de personnes qui ne souhaitent pas être contactées à des fins de marketing. Chaque pays dispose généralement de sa propre liste nationale de numéros de téléphone exclus et de sa propre procédure permettant aux personnes d'enregistrer leur numéro de téléphone afin qu'elles ne puissent pas être contactées à des fins de marketing. En France, il s’agit du service Bloctel.
La France dispose des listes Bloctel, le Royaume-Uni a les TPS et CTPS. Cognism effectue un filtrage par rapport à ces listes. Ceci est important pour nos clients pour éviter des mesures d'exécution et respecter des règles d'éthique.
Cognism effectue également un filtrage des listes de numéros exclus suivantes en dehors de la France et du Royaume-Uni dans les pays suivants : États-Unis, Allemagne, Australie, Canada, Espagne, Portugal, Belgique, Suède et Croatie.
Nous travaillons également en permanence à l'enregistrement d'autres listes de numéros de téléphone exclus dans le monde entier.
Comment les entreprises peuvent-elles se mettre en conformité et éviter les amendes ?
Les amendes pour non-conformité sont désormais monnaie courante, des entreprises telles que British Airways et Clearview AI ayant été condamnées à une amende de 20 millions d'euros (en 2019 et 2022, respectivement) pour non-conformité.
Que doivent prendre en compte les entreprises pour s'assurer qu'elles sont bien conformes ? Delfina explique :
“Les entreprises doivent s'assurer qu'elles respectent toutes les réglementations applicables en matière de confidentialité des données et/ou de marketing qui pourraient leur être applicables en fonction de leurs activités de traitement.”
“Cela signifie qu'elles doivent disposer de mécanismes, d'analyses et de procédures appropriés pour se conformer aux obligations en matière de confidentialité des données et de marketing. Il s'agit notamment de disposer d'une procédure d'exclusion, d'une politique de confidentialité, d'une base légale pour le traitement des données, etc.”
“Les entreprises doivent analyser leurs activités de traitement et leurs processus de conformité pour s'assurer qu'elles peuvent traiter leurs données aux fins prévues tout en respectant les droits et les intérêts des personnes concernées.”
En quoi les données de Cognism conformes au RGPD aident-elles les clients ?
Delfina explique les avantages qu'il y a à choisir un fournisseur de données conformes au RGPD pour le marketing et la vente B2B :
“Cognism fournit à ses clients des données conformes au RGPD qui ont été recueillies et traitées légalement.”
“En outre, nous passons au crible notre base de données téléphonique par rapport à plus de dix registres de numéros exclus à travers le monde, et nous notifions notre base de données en suivant les obligations du RGPD.”
“Toutes ces mesures donnent à nos clients le niveau de confiance dont ils ont besoin pour travailler avec nous. C’est également le cas pour notre plateforme et nos fonctionnalités, permettant à nos clients d'accéder facilement à des données conformes.”
Points à retenir
La conformité des données B2B est un sujet complexe, mais voici ce qu'il faut retenir :
- La confidentialité et la protection des données constituent un domaine juridique de plus en plus important dans le monde entier.
- Les entreprises doivent s'y préparer en s'assurant qu'elles respectent les règles et les normes en vigueur dans les pays où elles exercent leurs activités.
- Le non-respect des lois en matière de conformité entraîne des amendes élevées et une atteinte à la réputation.
- Les entreprises qui ont pris du retard dans la nomination d'un responsable de la protection des données, de la conformité ou de la sécurité auront du mal à s'adapter à l'évolution rapide du paysage de la protection de la vie privée.
Le contenu de cet article est uniquement destiné à la présentation d'informations générales. Il ne constitue pas un avis juridique ou professionnel. Certaines informations peuvent avoir changé depuis la publication de cet article. Il est recommandé aux lecteurs de demander conseil auprès de professionnels appropriés à leur situation spécifique.