Revendre des leads B2B : légal ?

Salut à tous,

J’ai une question à laquelle je ne trouve pas de réponse claire :

J’ai la possibilité d’obtenir des leads B2B via du scrapping et de les revendre à bon prix. Est-ce légal ?

Si oui, quelles sont les conditions ?
J’ai vu qu’il fallait le consentement des leads en B2C mais pas en B2B, je me trompe ?

Si quelqu’un peut m’éclairer là-dessus ça super :slight_smile:

Merci pour votre aide

Orez

Non, faire du business c’est illégal comme tout le monde le sait lol

Primo je ne suis pas expert en législation mais donne un simple avis (je bosse pour un tool de scraping).

Plus sérieusement, c’est une ligne grise. C’est comme l’évasion fiscale, je suis contre mais je n’y peux rien.

Scraper « c’est pas bien » mais les meilleurs tools du marché leadgen scrappent dans tous les sens pour constituer des liste de leads soit en mode SaaS ou agence.

Fais du business, te prends pas la tête, le législateur n’y comprend rien de toute manière.

Récemment les US ont aussi statué en faveur de la légalité du scrapping de data librement accessible, donc tu as de la marge.

Pour le B2B c’est pas trop un problème. Pour le B2C et la revente de fichier de data de particuliers hmmm avec la RGPD c’est tendu du slip.

Non seulement revendre des données de particuliers mais de les prospecter aussi, et là aussi il faut consentement strict en single optin.
Mais ça n’empêchera nullement des tas de call centers offshore de spammer la France entière pour vendre du compte CPF.

Alors que pour du B2B si c’est bien ciblé, c’est de l’intérêt légitime. Autrement toutes les boites B2B arrêteraient la prospection elles aussi. Tout le monde s’est bien pignolé là dessus quand la RGPD est arrivée mais in fine, c’est le business qui prime.

Donc si tu fais du bon bouleau et pas des trucs borderlines pour vendre des traitements de charpente à une mamie de +75 ans en cotorep, fonce.

Sur le plan strictement légal : (Disclaimer : Je n’ai aucun point de vue moral sur le sujet)

Il est interdit en France et dans tous les pays soumis au RGPD, d’acheter et de revendre de la donnée personnelle (nom, prénom, email, tel, etc.) même en B2B, même pour des raisons légitimes de business.

C’est considéré en droit comme du recel de données (Ça fait ch… mais c’est comme ça)

En clair, tu n’as pas le droit de constituer une BDD pour la revendre à des tiers sans l’accord préalable des propriétaires de ces données.

C’est entre autre pour cela que les solutions d’enrichissement d’emails B2B, qui revendent des data à partir de BDD constituées en amont sont dans l’illégalité totale, sauf à pouvoir prouver que les propriétaires de ces data ont préalablement donné leur accord pour qu’elles soient revendues (et tu te doutes que c’est très rarement le cas).

Seul Dropcontact, qui n’a aucune BDD et qui propose une solution basée sur de la recherche algorithmique en live peut prétendre être 100% RGPD et donc…légale.

Du coup si tu constitue une BDD à partir de tools de scraping (le scraping, lui est légal comme le dit très justement @amz), tu peux l’utiliser sans aucun problème pour ta prospection B2B perso, pour des motifs légitimes et à condition de respecter les best practices du RGPD, mais tu n’as pas le droit de revendre ta BDD à un client.

Cas concret :

Si ton client se prend un contrôle RGPD parce qu’il a fait un mauvais usage de la data que tu lui a vendu (Plainte d’un lead pour prospection email abusive…le plus courant), la CNIL lui demandera comment il a constitué sa BDD.

Il sera assez probable qu à ce moment, ton client se défosse sur toi et que ta responsabilité pénale soit engagé pour les motifs évoqués plus haut (Recel de données personnelles).

D’ailleurs de plus en plus de tools sont dans le viseur de la CNIL et risquent d’être audités dans les mois ou années à venir…Et là, ça risque de piquer !

Conclusion :

Sur le plan strictement légal, c’est de plus en plus border même si plein de boîtes achètent et revendent de la data à partir de BDD sans être pour l’instant inquiétées…jusqu’au jour ou…

Du coup c’est à toi d’évaluer le bénéfice/risque et de faire en fonction.

J’espère que j’ai répondu à ta question @OrezKaf :slightly_smiling_face:

1 « J'aime »

En complément de ce qui a été dit précédement sur le légal, en vrai des leads froids scrappés, ca peut se revendre.
Mais pas sûr que tu puisses les vendre indéfiniment. Cela va dépendre du secteur et le type de lead.
Car après tout, ceux qui vont t’acheter le lead ne seront pas intéressés s’ils convertissent pas. Et comme un lead froid scrappé ne convertit pas bcp, ca risque de leur couter plus cher que cela la leur revient.
Mais cela dépend du secteur et le type de lead…

Très juste les points évoqués ci-dessus.

Il y a vraiment un vide de loi ici.

Car en utilisant le scrapping allié à des méthodes algorithmiques, on ne sait pas à l’avance les contacts que l’on va obtenir avant de les collecter (nominativement parlant).

Contrairement à une base de donnée cleanée et réutilisée dans un service SaaS à la revente (Comeback, Clara, etc, qui elles aussi sont constituée avec du scrapping en partie).

Ex: je vend un service d’automatisation en scrappant quotidiennement LinkedIn, j’enrichie la data avec Dropcontact puis j’envoie le tout par mail à mon client par email tous les jours.

Du coup je vend quoi? Une presta de scraping et enrichissement de lead ou une base de donnée?

De plus, on a pas parlé du délai de 3 ans sur la retention des données (délai max avant de purger la data si elle n’est pas utilisée). Ni de la localisation où sont stockée les données.

La plupart des petites boites et SMB n’ont pas que ça foutre d’avoir une personne en interne qui gère les aspect RGPD. Personne n’a la bande passante pour ça dans la plupart des boites.

Chaque acteur se dévoie ici: le revendeur de base prospect prétend être RGPD mais scrappe pour constituer sa base à la revente ce qui arrange leurs clients car ils n’ont pas à se prendre la tête en cas de contrôle hormis purger la data tous les 3 ans.

Mais en vérité personne n’est RGPD. Ou alors on arrête le business. Parce que même avec un méthode algo c’est pas RGPD de contacter ces prospects par email sans optin préalable. Donc on se mord la queue. Téléphone au standard oui, email non.

QUID de l’enrichissement Dropcontact: que je sache la data est bien enrichie et storée -temporairement, le temp du traitement - sur leurs serveurs? Mais ils ne vendent pas officiellement une base de donnée. Encore une fois la frontière est floue. Car avec les têtards de législateurs qu’on a, ils pourraient considérer un jour que c’est aussi du recel de données lol.

En fait la RGPD en B2B c’est devenu ni plus ni moins un argument marketing tout pété (le badge du footer de mon site pour faire joli).

Quand le monde B2B s’est mis en mode « faisons des salons » pour récolter des leads on a vu se que ça a donné: wallou. Les frais marketing qui explosent le plancher et des résultats mitigés.

Et pour tirer son épingle du jeu, si on commence a psychoter sur la RGDP, on fait rien.

Que les choses soient clair, je suis en faveur de la protection de la vie privée et des bonnes pratiques de prospection, mais il faut être pragmatique. Et sur ce point on nage en plein délire, le législateur ne comprend rien à la réalité des entreprises. Business first (c’est pas de l’idéologie, c’est du pragmatisme).

Le B2C il n’y pas autant d’ambiguité c’est touchy à mort. Mais en B2B, il y a toujours matière a interprétation.

Donc @OrezKaf tu peux vendre une prestation de sales automation et enrichissement de leads B2B au lieu d’une base de donnée.
C’est la même chose, mais l’une sonne plus propre que l’autre :rofl:

T’as le droit de l’enrichir, mais légalement pas de la revendre ensuite.

C’est très juste !

La CNIL n’en a rien à faire que les petites boites/SMB n’ont pas que ça à foutre. En cas de contrôle, la loi est la même pour tous.

Si c’est RGPD mais en étant reglo avec les reco de la CNIL (La prospection commerciale par courrier électronique | CNIL)

1 « J'aime »

Merci à tous pour vos retours !
Je me disais bien que tout ça était très « gris ».

1 « J'aime »

Alors la Cnil avant de sévir exige de la boite un plan de mise au norme rgpd avec un délai pour résorber cette dette technique , sachant que la détention avec output est de 5 ans sauf pour les litiges b2b en ciurs