Petit update de mon côté après avoir échanger avec la CNIL.
"J’appelle votre attention sur le fait que le règlement européen (RGPD) ne change pas les règles applicables aux mails de prospection, que ces derniers soient en B2B ou en B2C.
Ces règles proviennent de l’actuelle directive « vie privée et communications électroniques » (ou e-privacy) (toujours en vigueur) qui sont transposées à l’article L.34-5 du CPCE et du RGPD, notamment son article 21."
Pour la prospection b2b :
-
informer préalablement le professionnel que son adresse mail sera utilisée à des fins de prospection –> On peut l’écrire à la fin du premier email de prospection.
-
mettre en mesure la personne de s’opposer à cette utilisation de manière simple et gratuite au moment de la collecte des données (conformément aux articles 90 et 96 du décret n°2005-1309 du 20 octobre 2005 modifié) ; –> lien de désabonnement et suppression des données dans le premier email
-
que l’objet de la sollicitation soit purement professionnel en lien avec la profession/spécialité du professionnel démarché et clairement commercial dans son objet ; –> On ne doit pas vendre n’importe quoi à n’importe qui
-
que l’envoi du message électronique précise l’identité de l’annonceur à l’origine de l’envoi et propose, dans chaque message, un moyen de s’opposer à la réception de nouvelles sollicitations. –> règles classiques
Pour le web scraping :
" En ce qui concerne le web scraping, je vous informe que sa pratique pose des difficultés au regard de la législation française, notamment en matière de droit pénal, doit de la concurrence et de la propriété intellectuelle.
De manière générale, la CNIL recommande de favoriser le recours aux API par rapport au web scraping, qui présentent les avantages suivants :
-
traçabilité (on sait qui se connecte et quelles actions ont été effectuées) ;
-
proportionnalité dans l’accès (structuré et limité) aux seules données nécessaires au regard de la finalité ;
-
sécurisation facilitée en raison de l’existence d’un seul canal d’accès aux données (API) contre plusieurs (pour le web scraping)
Par ailleurs, l’article 5-1.a) du règlement européen mentionne que « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ». Ainsi, le fait de traiter des données à caractère personnel de manière déloyale et illicite est puni et réprimé par l’article 226-18 du code pénal. "
Pour l’achat de listing :
"S’agissant de l’achat de liste d’email BtoB, il doit se faire dans le respect des règles ci-dessus, notamment vous devez vous assurer contractuellement que les adresses électroniques utilisées ont été collectées de manière régulière (cf. autre lien suivant https://www.cnil.fr/fr/les-regles-dor-de-la-prospection-par-courrier-electronique-0). "
Pour une base de données sur la blockchain vis à vis du droit à la suppression (impossible par essence) :
Il vous est fortement recommandé d’avoir recours à des techniques de chiffrement et de ne pas inscrire de données en clair sur une Blockchain, notamment publique.