Résumé
Avec le RGPD en vigueur depuis 2018, de nombreuses entreprises hésitent à prospecter par email. Bonne nouvelle : c'est toujours possible — mais encadré. Cet article décrypte les trois questions clés : peut-on utiliser sa base existante ? Comment en constituer une conforme ? Peut-on acheter une liste externe ? Positive User (ex-Sarbacane) vous guide sur l'opt-in B2C, l'opt-out B2B, la durée de conservation des données et les bons réflexes CNIL.
Le 28 janvier dernier avait lieu la 15ème édition de la journée mondiale de la protection des données. À cette occasion, Positive User (ex-Sarbacane) fait le point sur la prospection par email et le RGPD.
La protection des données est un thème auquel bon nombre d'entreprises ont dû se confronter depuis l'entrée en vigueur du RGPD en 2018. Si cette réglementation a su sensibiliser les entreprises et les consommateurs sur la nécessité de protéger les données personnelles, elle a également été source d'incertitudes pour certaines entreprises qui n'osent plus prospecter de potentiels nouveaux clients.
Si tel est votre cas, soyez rassuré. La réponse à la question « Peut-on encore prospecter par mail ? » est oui ! Bien entendu, c'est un « oui, mais… » puisqu'il y a des conditions à respecter pour pouvoir envoyer vos newsletters et emails de prospection à vos potentiels nouveaux clients.
Comment prospecter ses contacts ?
La prospection repose systématiquement sur la notion de base de données. Impossible de contacter un prospect sans avoir collecté au préalable ses coordonnées. Pour répondre à cette problématique, penchons-nous sur les trois questions suivantes :
- Est-ce que je peux continuer à utiliser ma base de données existante ?
- Comment constituer une base de données propre et conforme au RGPD ?
- Est-ce que je peux acheter et utiliser une base de données ?
Est-ce que je peux continuer à utiliser ma base de données existante ?
Vous prospectez vos actuels clients : supprimez leurs coordonnées dès lors qu'ils sont inactifs depuis 3 ans. Pour le reste, vous pouvez leur envoyer des emails si le contenu est en lien avec des produits ou services similaires à ceux qu'ils ont déjà achetés, s'ils ont eu la possibilité de s'opposer à la collecte lors de leur inscription, et si chaque email propose un moyen de se désinscrire.
Vous prospectez de potentiels nouveaux clients : plusieurs situations possibles. Contact via formulaire web avec case opt-in non pré-cochée ✅ OK. Contact obtenu via un commercial lors d'un événement ✅ OK si la personne a été informée de l'utilisation de ses données. Contact collecté sur internet ✅ OK si le contenu est en lien avec l'activité professionnelle (B2B) et si vous proposez une désinscription. Contact issu d'une base achetée → ❌ interdit (voir ci-dessous).
Opt-in B2C vs Opt-out B2B
En B2C, le consentement préalable (opt-in) est obligatoire. En B2B, le principe d'opt-out est toléré : vous pouvez prospecter sans consentement préalable si le contenu est en lien avec l'activité professionnelle du destinataire, et si chaque email propose une option de désinscription. Dans tous les cas, la durée de conservation des données est limitée à 3 ans après le dernier contact actif.
Comment constituer une base RGPD-conforme ?
La méthode la plus sûre : le formulaire avec case à cocher non pré-cochée. Pour être conforme, le consentement doit être univoque (case dédiée, séparée des CGU), spécifique (mentionner explicitement l'objet), éclairé (informer le contact de ses droits), limité dans le temps (supprimer les contacts inactifs après 3 ans), révocable (désinscription simple dans chaque email) et sécurisé (protéger les données contre tout accès non autorisé).
Est-ce que je peux acheter une base de données ?
Non. L'achat de bases de données est incompatible avec le RGPD. Les contacts n'ont pas donné leur consentement à votre entreprise spécifiquement. Chez Positive User (ex-Sarbacane), nous sommes particulièrement vigilants sur la réputation de nos serveurs d'envoi : nous refusons de router des campagnes envoyées sur des bases achetées.
Les bons réflexes lors de la collecte de données
Ne collecter que le nécessaire — limitez-vous aux données indispensables (nom, email, entreprise).
Être transparent — informez clairement vos contacts de l'utilisation de leurs données lors de la collecte.
Être proactif et réactif — vous devez pouvoir répondre aux demandes d'accès, de rectification ou de suppression dans un délai de 30 jours.
Ne pas garder indéfiniment — supprimez les contacts inactifs après 3 ans. Une relance préalable est recommandée avant suppression.
Maîtriser et sécuriser vos données — hébergez vos données en Europe, documentez vos traitements (registre RGPD), et limitez les accès aux seules personnes habilitées.
