RGPD : ce que les responsables commerciaux doivent savoir faire (2/4)
Six mois après l'entrée en application du RGPD, les directions commerciales ont généralement conscience qu'elles doivent changer certains éléments de leur organisation... Mais elles ne savent pas toujours quoi ! Passage en revue d'actions concrètes à mettre en oeuvre. En BtoC comme en BtoB.
Je m'abonneDans de nombreux cas, les directeurs commerciaux sont souvent un peu perdus. "Le RGPD est encore très générique, il faudrait rentrer dans une logique de "code de conduite par activité'" pour le rendre plus opérationnel", estime, dans un livre blanc publié par Data Marketing, le président de l'Union des Data Protection Officer (UDPO), Xavier Leclerc.
Pour l'avocat du cabinet Lawint, Alexandre Diehl, "peu de monde sait exactement ce qu'il faut faire". Or, nombre d'acteurs explique que le RGPD est avant tout une affaire de bon sens. "Le principe, c'est qu'il faut avoir une bonne raison de collecter et de traiter chaque donnée", résume l'avocat.
Le consentement n'est pas toujours obligatoire...
Le RGPD rend obligatoire le fait de détailler la finalité de chaque donnée collectée et traitée. Et d'expliquer sur quelle base légale ce traitement s'effectue. Ce que de nombreuses entreprises ont interprété comme une obligation de recueillir le consentement de ses prospects et ses clients avant de recueillir la moindre donnée. Or, c'est bien souvent superflu.
Lire aussi : LinkedIn, IA...prospecter sans spammer
Le RGPD recense six bases légales au traitement des données, et le consentement n'en est qu'une. Exécuter un contrat ou répondre à des obligations légales sont des raisons suffisantes pour traiter des données.
"Pour le directeur commercial, le consentement, c'est presque l'exception, assure Alexandre Diehl. Il travaille généralement sur la base légale du contrat". Ce qui signifie qu'il n'est pas nécessaire de demander le consentement à ses clients pour utiliser leurs données quand l'unique but est de mettre en oeuvre un contrat. Il faut malgré tout les informer de l'usage effectué, par exemple en incluant dans les mails un lien vers la page d'information sur les droits. Et leur donner la possibilité de s'opposer au traitement de leurs données, que ce soit via un formulaire, un contact e-mail ou un portail dédié.
En revanche, quand une entreprise prend comme base légale le consentement, qu'elle en ait ou non l'obligation, alors celui-ci doit être donné explicitement. "S'il n'a pas dit oui, c'est non", résume un document de la CNIL. En pratique, dans ce cadre, si les clients ne donnent pas expressément leur accord à l'utilisation de leurs données, celles-ci doivent être effacées. Mieux vaut alors s'assurer au préalable que les données ne peuvent pas être traitées sur une autre base que le consentement.
Inversement, certains départements commerciaux ne comprennent pas qu'une base légale correspond à une seule finalité. Si certaines données sont nécessaires pour exécuter un contrat, il faut en revanche trouver une autre base légale pour utiliser ces mêmes données dans un autre but, que ce soit de la prospection ou du profilage.
De plus, les clients et prospects doivent avoir la possibilité d'accepter un usage tout en refusant les autres. Or, "depuis six mois, on assiste à un détournement du RGPD par certains, où les sites nous poussent à accepter des politiques de confidentialité, et forcent le consentement sans expliquer suffisamment clairement l'usage qu'ils vont faire des données", juge Nathalie Plouviet, avocate du cabinet Lexing Alain Bensoussan.
Une attitude qui pourrait se retourner à terme contre ces sites, notamment avec la possibilité pour les consommateurs de lancer des class actions, s'ils estiment qu'une entreprise ne respecte pas leurs droits.
Lire aussi : IA Einstein, People.ai, Conversica, Gong.io, Clari... quels logiciels IA pour vos commmerciaux ?
Les points cruciaux à prendre en compte
Dans tous les cas, les directeurs commerciaux doivent avoir quelques réflexes pour que tout se passe au mieux. "Le mieux consiste à analyser toutes les opérations avec un juriste, estime l'avocat Alexandre Diehl. Les entreprises se rendent alors compte que dans 99% des cas, tout va bien. L'important est de traiter le 1% restant". Pour que le DPO puisse tenir à jour son registre des traitements, le directeur commercial doit établir la liste des procédures réalisées dans son service, et décrire les actions correspondantes : comment les prospects sont enregistrés, quelles données sont collectées...
Il doit aussi veiller à ce que toutes ses équipes soient suffisamment sensibilisées au sujet. Si c'est au DPO que revient de suivre la formation de l'ensemble de l'entreprise, la direction commerciale peut aider à déterminer ce dont ont besoin précisément ses équipes.
Ce qui peut poser problème
Même si le RGPD relève essentiellement du bon sens, certains points méritent une attention particulière. La durée de conservation, même si elle existait déjà dans la loi Informatique et Liberté, doit être surveillée de près : après trois ans sans contact, un prospect doit obligatoirement être effacé des fichiers. "Évidemment, la solution consiste à reprendre contact avec lui avant l'échéance", note Alexandre Diehl.
Unifier les fichiers est aussi un impératif : l'entreprise est responsable même des fichiers clients que gardent les commerciaux dans leur coin, que ce soit des feuilles de calcul numériques ou des dossiers physiques. "Attention également à la zone de commentaire libre, prévient l'avocate Nathalie Plouviet. Car les forces de vente peuvent y laisser des informations trouvées sur Internet ou ailleurs, sans que la personne soit informée et puisse s'opposer à leur usage."
Autre point sous-estimé selon l'avocate : les équipes commerciales à distance. "Dans ces cas-là, les entreprises oublient souvent de vérifier s'ils ont adopté les bonnes habitudes en matière de sécurité des données. Leur matériel peut ne pas être assez sécurisé ou, alors, ils peuvent, en rendez-vous, utiliser les codes wifi de leurs particuliers, sans s'assurer que le réseau est protégé".
Autres cas de figure avec un personnel itinérant : "que l'agent commercial oublie son ordinateur non verrouillé dans un train, qu'il laisse ses mots de passe sur son disque dur... " Et le risque est encore plus grand avec des équipes commerciales non salariées. "L'accès à distance est de plus en plus répandu, mais cela entraîne un risque accru de failles de sécurité", prévient Nathalie Plouviet.
Pour aider les directions commerciales à se mettre en conformité, la CNIL a édité plusieurs guides. "Elle fait vraiment un très bon travail sur le sujet", estime l'avocate. Les entreprises prestataires se sont aussi mises à fleurir pour assister les entreprises. Problème : aucune certification n'existe pour s'assurer de leur sérieux. La CNIL a d'ailleurs récemment mis en garde contre certaines entreprises qui démarchent très agressivement et dont les prestations ne sont, au final, guère efficaces en matière de conformité. "Dans certaines entreprises, la situation est parfois pire après le passage de ces entreprises", estime l'avocat Alexandre Diehl. Qui conseille, pour bien choisir, d'engager quelqu'un qui a plusieurs années d'expérience dans le domaine, qui travaille sur le sujet de l'exploitation des données depuis des années, et non une entreprise dont l'équipe a découvert le RGPD il y a deux ans.