Le Growth Hacking ? Un vilain mot qui est sur toutes les lèvres depuis plusieurs années maintenant… mais d’aucun se demandent si la plupart de ses usages sont valides d’un point de vue du RGPD. A l’heure où la moindre action sur le web ressemble à une action sensible d’un point de vue des données personnelles, voici un petit état des lieux qui répondra aux questions de manière précise

LA RGPD, Qu’est-ce que c’est ?

Le RGPD a pour but de protéger des données à caractère personnel. Pour cela, le texte définissant ce nouveau règlement européen impose une règle fondamentale : un accord explicite ou « opt’in explicite ». En clair, on ne peut plus envoyer un mail directement à quelqu’un pour prospecter si ce dernier n’a pas donné son accord. Bien sûr, il est aujourd’hui illégal de précocher directement l’option à la place de cette personne, d’où le « explicite » dans « opt’in explicite ».

 

Nous vous l’avons déjà démontré, tout le monde ne s’entend pas sur une définition unique du growth hacking. Quoi qu’il en soit, ce terme à la mode s’est imposé dans bon nombre d’entités, petites startups ou grosses sociétés, avec comme objectif d’accélérer la croissance des entreprises. Seulement voilà, qui dit « hacking » dit « méthodes peu communes et innovantes ».

rgpd

Autre disposition du RGPD : mettre régulièrement à jour sa liste de prospects en redemandant les accords et en supprimant les coordonnées des individus qui ont changé d’avis. De même, les listes de prospects obtenues avant le RGPD doivent être revalidées en s’assurant d’un opt’in explicite. L’inconvénient, c’est que ces listes sont alors susceptibles d’être largement allégées. Compte tenu de ces nouvelles mesures, pour faire grandir les entreprises, il faut donc utiliser des méthodes pour obtenir des leads qui respectent le RGPD, ce qui est bien plus compliqué.

 

Le 30 mars 2018, la CNIL est venue éclairer cette zone grise en précisant qu’effectivement l’opt’in explicite n’est pas nécessaire dans ce cas précis. Il y a toutefois une subtilité, il faut que le destinataire ait quand même été averti en amont que ses données personnelles seraient utilisées à cette fin.

 

En relisant clairement l’encadrement des données personnelles spécifiées par le RGPD, il est précisé que les entreprises ne peuvent plus envoyer de mailing à des particuliers sans avoir au préalable obtenu leur accord. Alors qu’en est-il des coordonnées professionnelles (qu’on peut notamment trouver sur Linkedin) ?

 

Vous avez bien compris, il ne faut donc plus un accord explicite. Dans le cadre du scraping de données commerciales, il faut juste pouvoir prouver qu’on a bien donné l’information, et non plus qu’il y ait eu accord.

rgpd

Que dit la loi sur le Growth hacking et que dit la RGPD ?

Attention : si l’adresse professionnelle permet d’identifier une personne en indiquant son nom et son prénom, elle est considérée comme une donnée personnelle. Pour justifier l’utilisation de ces données « personnelles » qui constituent une adresse mail « professionnelle » pour prospecter, il faut au moins remplir une des conditions exposées dans l’article 6 dudit règlement :

  • La personne ciblée a « consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques »
  • Ce traitement a lieu dans le cadre d’une relation contractuelle ou est nécessaire « à l’exécution de mesures précontractuelles prise à la demande » de la personne ciblée.
  • Ce traitement est « nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis »
  • Ce traitement est « nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique »
  • Ce traitement est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »
  • Ce traitement est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers »

En clair, utiliser des données personnelles pour faire du prospect à destination d’un professionnel n’est licite que si le traitement de ces données répond à une des conditions décrites ci-dessus. Sinon, il faut obtenir un opt’in explicite.

La loi pour l'article RGPD

Quels sont les risques pénaux autour de la RGPD ?

Le risque pénal d’une mauvaise gestion des données personnelles 987 Une section du code pénal recense les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques de données personnelles. Il s’agit des articles 22616 et suivants du code pénal. Cette section du code pénal sanctionne les faits suivants :

–  le défaut de respect des formalités de la loi de 1978 modifiée,

– le défaut de sécurisation des informations recueillies,

– la collecte déloyale ou frauduleuse de données personnelles,

– le recueil de données sensibles hors des cas prévus par la loi,

– le détournement de finalité.

 

Avec le RGPD, chaque entreprise doit maintenant s’engager à protéger les données personnelles qu’elle détient. Mais toutes les sociétés qui n’ont pas anticipé ce nouveau règlement sont aujourd’hui dans l’illégalité car la démarche pour se mettre en conformité est relativement lourde, notamment pour les entreprises qui utilisent Internet pour leur activité (les marketplaces, les plateformes de e-Commerce…). Dans un document réalisé par la CNIL daté d’octobre 2016 (et donc antérieur à la mise en application du RGPD), il était précisé que « message publicitaire envoyé sur l’adresse électronique professionnelle d’une personne physique et dont l’objet est en rapport avec sa profession n’a pas besoin d’avoir reçu le consentement du destinataire »

 

Toutefois, la CNIL a aussi précisé le 30 mars 2018 qu’en matière de prospection « professionnelle », il fallait que le destinataire soit, au préalable, informé que ses données professionnelles seraient utilisées dans un cadre de mailing (pour le cadre « personnel », voir mon autre article Protection Des Données RGPD Et Conditions Utilisateurs Des Réseaux Sociaux : Ce Qu’il Faut Savoir)

 

Exit donc tout principe de Growth Hacking via des outils tels que Phanthom Buster (désolé Xavier Loup, cet outil devrait fermer très prochainement) ou autre Lusha.

IMAGE RGPD

Laissez un commentaire