Session de Q&A RGPD pour entrepreneurs

Extraits du Q&A RGPD pour entrepreneurs

Peut-on utiliser une base de données que l’on a obtenu d’une tierce personne ?

“Il faut se demander d’abord s’il s’agit de B2B ou en B2C, car la prospection commerciale nécessite le consentement préalable. Il est possible d’utiliser une base de données que l’on a obtenu d’une tierce personne si on est en B2B car le consentement préalable ne s’applique pas.

Les 2 seules règles à respecter en B2B sont :

• la cible est bien respectée.
• il faut permettre aux prospects de se désinscrire facilement et à tout moment. (Opt out)

Attention : Pour l’Opt out, si un prospect demande de supprimer les données, il ne faut pas le faire, car cela supprime la trace de l’Opt out ; et potentiellement se retrouver à nouveau dans une liste de prospect.”

En B2C, avec un formulaire de contact, est-il nécessaire de faire un double Opt-in ?

“Juridiquement, le double Opt-in n’existe pas en France.”

La CNIL avait dit qu’il y a une jurisprudence comme quoi si on utilisait Google Analytics, « on était pas dans les clous », est ce que vous confirmez cela ?

“En France, la CNIL a communiqué le fait qu’elle avait mis en demeure environ une centaine de sociétés qu’elle considère comme non conforme au RGPD à cause de l’utilisation Google Analytics. Le RGPD interdit le transfert de données en dehors de l’Union Européenne.”

Les outils comme Matomo Analytics sont-ils utilisables en France ?

“Ce sont des outils de cookies statistiques. Il y a deux sortes de cookies statistique : ceux qui nécessite un consentement préalable et ceux qui n’ont pas besoin de consentement préalable. Matomo Analytics est légal et fait partie de ces outils qui n’ont pas besoin de consentement préalable. Donc c’est un outil qui peut être utilisé en France.”

Cas spécifique : Dans le cadre d’une prospection commerciale B2B, en tant que consultante pour des agences d’architecture, quels sont les données que je peux partager ?

Vous pouvez partager les noms, fonction, mail professionnel, société, et lien LinkedIn. Il y a une subtilité concernant les numéro de téléphone portables : il faut faire attention car on ne sait jamais si c’est un numéro personnel ou professionnel.

Qu’en est-il de la possibilité de se désinscrire d’une prospection commerciale sur les réseaux sociaux comme LinkedIn ?

On est pas dans le cadre réellement de la prospection commerciale. Par exemple, LinkedIn se rapproche plus d’une conversation que d’une prospection. De plus, la personne a la possibilité de bloquer une autre personne sur  la plupart des réseaux sociaux. Donc le problème ne se pose pas aujourd’hui sur LinkedIn.

Concernant le transfert de base de donnée, si on a deux structures, une en France, une à l’international, peut-on faire un transfert ?

Les transferts hors UE sont interdits, mais il y a des exceptions. Pour transférer une base de donnée dans un pays comme les Etats-Unis, il faut avoir des clauses contractuelles standard, rédigé la commission européenne, qui vise à régir les relation entre une structure situé au sein de l’Union européenne et une structure hors de l’Union Européenne.

Cependant, il y a une subtilité : Pour certains pays, Il est nécessaires d’avoir ces clauses contractuelles seulement si les transferts de données sont fait quotidiennement dans le cadre d’une relation commerciale. Pour certains pays, Il n’est pas nécessaires d’avoir des clauses contractuelles si les transferts de données sont fait tous les 6 mois ou chaque année.

Retrouver l’ensemble du contenu sur le replay ci-dessous.

Webinar organisé avec BGE Parif, Premier réseau d’accompagnement à la création d’entreprise.

D’autres interrogations sur le RGPD ? Consulter notre page FAQ