Le point sur la RGPD en B2B
Si la RGPD est maintenant un élément bien intégré dans toute démarche ecommerce ou pour tout sites traitant de données personnelles, qu’en est-il lorsqu’on dispose d’un site B2B ? Est-on astreint aux mêmes contraintes ?
La question se pose avec d’autant plus d’acuité qu’une décision récente de la CNIL vient apporter du poids à toutes ces dispositions et aux exigences qui pèsent sur toute entreprise.
En effet, la CNIL vient de sanctionner CRITEO (voir décision et délibération), poids lourd du retargeting publicitaire pour non respect des règles sur l’information, le consentement et les droits des utilisateurs.
Le cadre de la RGPD en matière de B2B
Le règlement général pour la protection des données (RGPD) est assez clair en cas d’activité B2B sur internet. Les règles sont assez équivalentes à celles imposées en matière de traitement de données personnelles dans le cadre d’activités B2C ou autres.
D’une manière générale toute entité agissant dans l’Union Européenne doit respecter la RGPD pour la collecte et le traitement des données personnelles.
-
-
-
- Quelles sont les données personnelles concernées : Il s’agit des données permettant d’identifier une personne physique (nom/prénom, adresse, IP, email, téléphone…). Ainsi par exemple concernant les personnes travaillant dans des entités, leur adresse email professionnelle est concernée.
- Tous les secteurs sont concernés : il n’y a pas de distinction entre les entreprises privées ou le secteur public, ni même sur la vocation ou les objectifs de collecte ou de traitement des données. De même la RGPD s’applique quelle soit la taille de l’entité qui collecte les données.
- Le principe de territorialité de l’UE : sont concernées toutes les entités qui sont établies sur le territoire de l’UE, mais aussi les entreprise extérieures à ce territoire mais qui touchent les personnes résidantes de l’UE par leur offre de produits ou services.
- Le principe de responsabilité : la responsabilité ne concerne pas que celui qui collecte et traite directement les données (Google, Criteo ou autre service…). L’exploitant du site qui collecte directement ou indirectement (sous-traitance, services externes,…) est directement responsable.
- Le cadre légal du contrôle de la CNIL : il s’agit bien sûr du fameux RGPD approuvé le Parlement Européen du 27/04/2016. Le contrôle s’effectue de manière aléatoire par la CNIL ou suite à plaintes de personnes qui estiment que l’entité ne respectent pas la RGPD.
-
-
Il y a-t-il des spécificités dans l’application de la RGPD pour le B2B ?
Il n’est pas questions de revenir sur les règles de bases de la RGPD ici. Les règles concernant la transparence des pratiques et objectifs de la collecte d’informations sont identiques que l’ont soit dans une démarche d’un site classique, B2C ou B2B
Néanmoins on peut distinguer quelques nuances dans l’application en B2B mais essentiellement en terme de démarchage.
-
-
-
- L’utilisation de fichiers sourcés et aux pratiques éthiques : lors du démarchage en B2B il va falloir s’assurer de la source des données utilisées déjà afin de répondre à toute requête de justification auprès de la CNIL lors d’un contrôle.
- Seules des données utiles au service : il va falloir s’assurer que seules les données utiles au traitement (objectif du site) seront collectées et conservées. Il va falloir également informer les internautes des traitements opérés sur leurs données et prévoir un outil ou un processus simple et accessible de suppression ou d’anonymisation des données. A noter qu’il existe des modules spécifiques dans Magento Commerce permettant d’anonymiser efficacement et facilement les données des clients à leur demande.
- Une application souple en cas de démarchage : le fait de démarcher des professionnels et leur offrir toutes les possibilités de se désinscrire d’une newsletter ou d’un traitement spécifique s’avère souvent suffisant. Dans ce cas le recueil d’un consentement préalable n’est pas forcément obligatoire.
-
-
En résumé il faut se souvenir que le plus important est ici d’informer le plus en amont possible les contacts des objectifs de la collecte de toute information qui comprend le nom, le prénom et l’email du contact.
De même il ne faudra pas oublier d’avertir vos contacts de tout changement dans les traitements que vous pourriez appliquer à leurs données.
Quel impact des décisions prises contre Critéo (et … Google) ?
Par le passé la Cour de Justice de l’Union européenne, la CNIL, ont condamné ou sanctionné des entreprise au premier chef, ou dans le cadre d’activités sous-traitées pour non respect de la gestion des données personnelles.
-
-
-
- Privacy Shield non valable : le Privacy Shield est un mécanisme US de protection des données. Reconnu dans un premier temps par l’UE, il a été invalidé en 2020 par la Cour de Justice de l’Union européenne. La Cour estime qu’il n’y pas de garanties suffisantes d’accès aux données personnelles pour des données traitées et transférée par des sociétés US assujetties au Privaty Shield. Cela rendait Google Analytics non conforme à la RGPD. La solution pour contourner ceci de la part de Google aura été de proposer l’anonymisation de l’IP.
Malgré tout cela ne suffit aucunement d’autant que quantité d’autres informations sont souvent transmises sur la plateforme (email, téléphone, nom/prénom…) pour s’assurer d’un suivi analytique notamment des conversions en liaison avec les services Google Ads… - Que propose Google : Google a pris toutes ces remarques de l’UE très au sérieux et rassure tous ses clients en les assurants que tout est mis en oeuvre (hashage des données, pseudonymisation des données,…
La solution ultime, le serveur proxy. L’idée est de décorreler les données traitées par Google des données d’origine. Ainsi il n’y aurait aucune re-identification possible de la personne après envoir des données chez Google. - Alors GA4 est-il conforme à la RGPD ? : disons que oui et non… Oui dans le sens où si vous investissez dans une solution de proxyfication (hébergée dans l’UE) GA4 sera a priori conforme.
Autant dire que la complexité et le coût de mise en place d’une telle solution est telle à cette heure qu’aucun site sur GA4 respecte la RGPD. Pire, les solutions de suivi de Google proposant l’envoi de l’adresse de l’internaute (email, adresse postale, nom et prénom,…) pour optimiser le suivi des conversions Google Ads va totalement à l’encontre de la RGPD. - On fait quoi alors ? : Deux solutions s’offrent à vous, faire l’autruche et penser que la pression exercée sur Google sera suffisante pour qu’ils proposent une solution vraiment en phase avec la RGPD et les règlementations de l’UE. Ou alors choisir une solution compatible avec les règles de la CNIL et de la RGPD.
On citera comme alternative la solution montante Matomo (solution open source ex-Piwik) ou encore la solution française (Mérignac près de Bordeaux !) proposée par AT Internet (pionnier de l’analytique).
- Privacy Shield non valable : le Privacy Shield est un mécanisme US de protection des données. Reconnu dans un premier temps par l’UE, il a été invalidé en 2020 par la Cour de Justice de l’Union européenne. La Cour estime qu’il n’y pas de garanties suffisantes d’accès aux données personnelles pour des données traitées et transférée par des sociétés US assujetties au Privaty Shield. Cela rendait Google Analytics non conforme à la RGPD. La solution pour contourner ceci de la part de Google aura été de proposer l’anonymisation de l’IP.
-
-
Abandonner des solutions tels que celles proposées par Google ou Critéo au profit de solutions éthiques et responsables en phase avec la protection des données (RGPD) n’est pas chose facile.
Il va falloir sortir du schéma où c’est gratuit et où vous êtes le produit. Il va vous falloir abandonner des habitudes (le passage à GA4 peut aider …) et concevoir que l’intégration facile des outils d’analytique de Google avec leurs autres solutions GTM, Google Ans,… peut s’imaginer dans un environnement plus respectueux des droits en vigueur dans nos contrées.
C’est aussi l’image que vous souhaitez donner à vos clients et aux utilisateurs de vos sites qui est en jeu ici. Pour le reste nul n’est censé ignorer là loi, n’est-ce pas ?
Une analytique et des publicités plus responsables et conformes à la RGPD
Vous souhaitez adopter une démarche plus éthique et responsable des droits des internautes dans l’utilisation de leurs données personnelles sur votre site internet ou dans votre activité ecommerce sur Bordeaux, la région Nouvelle-Aquitaine et à distance (France et étranger).
Nous vous apportons notre expertise pour étudier, installer et configurer les outils qui vont vous permettre de disposer de sites internet légaux, éthiques et responsables !