Comment le GDPR affecte-t-il le B2B ?

Oui. Le GDPR s’applique partout où vous traitez des données personnelles. Cela signifie que si vous pouvez identifier un individu, directement ou indirectement, le GDPR s’appliquera. Les données personnelles comprennent tout ce qui permet d’identifier une personne, y compris (mais sans s’y limiter) les noms, les numéros de téléphone, les adresses IP et les adresses électroniques personnelles.

Oui. Avant d’envoyer un courriel froid, vous devrez vérifier que vous êtes autorisé à les contacter en vertu du GDPR. Il existe six façons d’établir une base légale pour traiter les données personnelles d’une personne : le consentement, le contrat, l’obligation légale, les intérêts vitaux, la mission publique et l’intérêt légitime.

Lors de l’envoi d’e-mails froids à une adresse électronique professionnelle (par exemple, john.doe@company.com), les entreprises B2B devraient pouvoir s’appuyer sur intérêt légitime.

Dans le cadre de l’intérêt légitime, les données doivent être utilisées d’une manière à laquelle les gens s’attendent raisonnablement, tout en ayant un impact minimal sur la vie privée (dans les cas où les droits d’une personne seraient violés, ces droits prévaudront sur votre intérêt légitime). En d’autres termes, vous devez vous assurer que vous envoyez aux bonnes personnes un message qui les intéressera.

Sinon, si vous avez obtenu un consentement vérifiable via un formulaire d’inscription, vous pouvez y aller.

Veuillez noter, toutefois, que les décisions concernant la base juridique applicable peuvent être délicates et, par conséquent, nous vous conseillons vivement de consulter un avocat à cet égard.

Enfin, gardez à l’esprit que si l’adresse électronique n’est pas liée à une personne en particulier (par exemple info@company.com), elle peut même sortir du champ des “données personnelles”.

• Si vous vous fondez sur l’intérêt légitime pour le marketing direct, vous devez arrêter le traitement lorsque quelqu’un s’y oppose.
• Si vous vous fondez sur le consentement, la personne a le droit de retirer son consentement à tout moment. Vous devez arrêter le traitement lorsqu’elle retire son consentement.
• Si vos activités de traitement des données ne sont pas occasionnelles (ou si votre entreprise compte plus de 250 employés), vous devez conserver et tenir à jour des registres “complets et étendus” des activités particulières de traitement des données que vous effectuez.

• Appliquez le principe de minimisation des données – plus vous traitez de types de données, plus le risque est important. Élaborez des stratégies et des plans en tenant compte des risques.
• Identifiez et/ou révisez votre base juridique pour le traitement des données personnelles, idéalement avec un professionnel du droit.
• Avoir une politique de confidentialité conforme : selon le GDPR, les politiques de confidentialité doivent être faciles à lire et à comprendre, faciles d’accès, doivent contenir les bonnes informations et doivent être à jour.
• Passez en revue vos systèmes pour honorer les droits des utilisateurs du RGPD.
• Conserver des registres valides de vos activités de traitement des données (y compris les registres internes de traitement).
• Gérer le consentement de manière conforme et conserver des enregistrements valides du consentement.

Les conséquences de la non-conformité peuvent inclure des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Toutes les infractions au GDPR ne donnent pas lieu à des amendes : les sanctions peuvent inclure des réprimandes officielles, des audits périodiques de protection des données (qui peuvent aboutir à l’interdiction d’utiliser les données associées à la violation – y compris des listes entières d’e-mails) et des dommages-intérêts en responsabilité.