Vous conservez peut-être précieusement une base de prospects constituée avant mai 2018. Avec l'entrée en vigueur du RGPD à cette date, une question s'impose : avez-vous encore le droit d'utiliser ces données pour vos campagnes ? La réponse ne dépend ni de l'ancienneté de vos fichiers, ni de leur volume. Tout repose en réalité sur une condition unique : la qualité du consentement recueilli à l'époque.
Vos anciennes bases de données ne sont pas forcément perdues
Contrairement à une idée reçue, le passage au RGPD n'a pas rendu caduques toutes les bases de données existantes. Le considérant 171 du règlement européen prévoit explicitement que les consentements obtenus avant 2018 restent valides, mais à une condition stricte : ils doivent satisfaire aux mêmes exigences de transparence que celles imposées aujourd'hui. C'est ce que les autorités de contrôle appellent le principe de continuité.
Attention toutefois car ce principe s'applique uniquement si la finalité d'origine incluait explicitement la prospection commerciale. Un consentement recueilli pour l'exécution d'un contrat ou pour des communications d'entreprise ne couvre pas automatiquement une utilisation ultérieure à des fins marketing. La CNIL insiste régulièrement sur ce point lors de ses contrôles.
Ce que votre prospect devait accepter précisément
Pour que votre base de données soit exploitable sans risque, le consentement de chaque prospect doit impérativement répondre à quatre critères cumulatifs.
D'abord, il doit être libre, ce qui signifie que l'utilisateur n'a subi aucune pression ni contrepartie pour accepter. Ensuite, il doit être spécifique et porter précisément sur la finalité de prospection commerciale plutôt que sur un usage flou ou générique. Un consentement recueilli pour l'exécution d'un contrat ou pour des communications d'entreprise ne couvre pas automatiquement une utilisation à des fins marketing. C'est un point sur lequel la CNIL insiste lors de ses contrôles.
L'aspect éclairé est tout aussi crucial : la personne devait savoir exactement qui collectait ses données et dans quel but. Enfin, le consentement doit être univoque, c'est-à-dire résulter d'un acte positif clair, comme une case à cocher vide par défaut. Si votre base provient de cases pré-cochées ou d'une acceptation globale de CGV, elle n'est plus conforme. C'est ce qu'a confirmé la Cour de Justice de l'Union Européenne dans son arrêt Planet49 d'octobre 2019.
Avant toute campagne, posez-vous ces quatre questions
Un audit interne s'impose avant de lancer vos prochaines actions de prospection. Passez en revue chaque segment de votre fichier avec les critères suivants :
- Le formulaire utilisé : Une case dédiée, vide par défaut, est le gage d'un consentement solide. Une case pré-cochée ou une acceptation globale de CGV invalide tout.
- La mention d'information : Précisait-elle clairement l'usage commercial des données, l'identité du responsable de traitement et les droits de la personne ?
- Le libellé de la finalité : Le terme "prospection commerciale" figurait-il noir sur blanc ? Un libellé vague comme "améliorer votre expérience" ou "rester en contact" ne suffit pas.
- La preuve conservée : En cas de contrôle CNIL, la charge de la preuve vous incombe selon l'article 7(1) du RGPD. Un simple export Excel ne suffit pas ; vous devez démontrer l'origine, la date et la modalité exacte du consentement.
Consentement introuvable ou douteux : que faire concrètement ?
Si vous ne pouvez pas prouver la conformité d'un contact, deux options s'offrent à vous. La plus sûre reste la purge des profils incertains.
L'alternative est une campagne de réengagement unique : vous sollicitez ces contacts une dernière fois pour obtenir un opt-in conforme. Sans réponse positive, la suppression devient obligatoire. Attention, cette campagne doit elle-même reposer sur une base légale valide. En B2C, l'envoi sans consentement préalable est risqué. En B2B, l'intérêt légitime peut être invoqué à condition de prévoir un droit d'opposition clair et immédiat dès le premier message.
Ce que risquent ceux qui passent outre
Depuis 2022, la CNIL a placé la prospection commerciale en tête de ses priorités de contrôle. Les sanctions récentes montrent qu'elle ne se contente plus d'avertissements :
- 525 000 € infligés à Hubside Store pour utilisation de données sans vérification du consentement.
- 900 000 € contre Solocal Marketing Services pour démarchage téléphonique sans consentement valide.
Les amendes sont calculées proportionnellement au nombre de personnes concernées et au chiffre d'affaires. Une base volumineuse mal gérée multiplie donc mécaniquement le risque financier.
