RGPD & PME

Paul, l’assistant juridique aussi simple qu’efficace

Paul, l’excellence dans la simplicité

Paul est un assistant juridique qui apporte des réponses issues uniquement de sources officielles.

Chaque réponse est complétée par l’identification des sources utilisées.

Paul est un guide qui ne se contente pas de répondre à la question posée.

Paul aborde également les aspects périphériques liés à la problématique soulevée par la question.

 

Paul comprend aussi les questions en mode ‘télégraphiste’ :

« info internet développer mes ventes »*.

* Voici la question reformulé par Paul introdusant sa réponse :

« Quelles sont les conditions juridiques strictes pour collecter et utiliser des données personnelles disponibles publiquement sur Internet (annuaires, réseaux sociaux, sites web) afin de constituer un fichier de prospection commerciale ? »

Le nombre de questions que vous pouvez poser est illimité.

Idéal pour reformuler, aller dans le détail, élargir le périmètre de votre réflexion ou compléter votre démarche sur les conseils de Paul.

Paul, des réponses pédagogiques et structurées

1 – Re-formulation de la question

2 – Réponse pratique

3 – Développement détaillé et juridique de la réponse.

4 – Conseils

6 – Sources

6 – Risques

Paul est un assistant juridique idéal pour

Les questions de conformité

Exemple : Le fournisseur américain de l’application que je vends à mes clients réalise également leur maintenance. Les applications en maintenance contiennent des données personnelles de mes clients. Comment me mettre en conformité avec le RGPD ?

La mise en oeuvre de procédures spécifiques

Exemple : Que faire en cas de cyberattaque de ma boite mail ? Qui dois-je avertir ?

L’initiation au RGPD

Comment mettre mon service RH en conformité RGPD ?

Information – Abonnement

Exemple – La réponse de Paul à :

« utiliser les informations des visiteurs récupérées sur un salon »

Les documents figurant en annexe font intégralement partie de la réponse. Certains peuvent constituer des supports opérationnels immédiatement exploitables.

Demande initiale

Quelles sont les conditions juridiques et pratiques pour exploiter licitement les données personnelles des visiteurs collectées lors d’un salon professionnel à des fins de prospection commerciale ?

Réponse

Pour utiliser les données des visiteurs (cartes de visite, scan de badges), vous devez distinguer la manière dont vous avez obtenu l’information. Voici les procédures à suivre :

CAS N°1 : COLLECTE DIRECTE SUR VOTRE STAND (Le visiteur vous a donné sa carte ou a laissé scanner son badge sur votre stand)

  • Action : Vous pouvez le relancer par email.
  • Condition : Lui envoyer un email de confirmation mentionnant son droit d’opposition.

Modèle de mention à insérer dans l’email post-salon :

« Bonjour, Suite à notre échange sur le stand [Nom de votre société] lors du salon [Nom du Salon], j’ai le plaisir de vous transmettre les informations demandées. Protection des données : Vos coordonnées sont enregistrées par [Nom Société] pour gérer notre relation commerciale sur la base de notre intérêt légitime. Elles sont conservées 3 ans après votre dernier contact. Vous pouvez vous opposer à recevoir nos offres à tout moment en nous écrivant à [Adresse email DPO/Contact]. »

CAS N°2 : FICHIER TRANSMIS PAR L’ORGANISATEUR (Vous avez acheté la liste de tous les participants au salon sans les avoir vus)

  • Vérification préalable : Assurez-vous que l’organisateur a bien obtenu le consentement des visiteurs pour transmettre leurs données à des partenaires (case à cocher sur le formulaire d’inscription au salon).
  • Information obligatoire : Vous devez informer la personne de l’origine de ses données dès le premier contact (Article 14 RGPD).

Modèle d’introduction pour le premier contact (Collecte indirecte) :

« Bonjour, Nous vous contactons suite à votre participation au salon [Nom du Salon], qui nous a transmis vos coordonnées professionnelles en tant que partenaire exposant. […] Vous pouvez vous opposer à cette prospection en cliquant sur le lien de désinscription ci-dessous. »

Développement

L’exploitation des données issues d’un salon professionnel ne dispense pas du respect du RGPD. La qualification juridique de la collecte détermine les obligations de l’entreprise.

1. La collecte directe sur le stand (L’attente raisonnable) Lorsque le visiteur remet sa carte de visite ou laisse scanner son badge par l’exposant, il accomplit un acte positif.

  • Base légale : Dans un contexte B2B (professionnel), l’exposant peut se fonder sur son intérêt légitime pour recontacter le visiteur, car la prospection est liée à l’objet du salon. Le consentement (opt-in) n’est pas strictement requis pour l’email professionnel, mais le droit d’opposition (opt-out) doit être offert.
  • Transparence : Bien que le contact soit informel, l’exposant doit être en mesure de fournir une information sur le traitement des données (ex: affichette sur le stand ou mention dans le premier email de suivi).

2. La réutilisation de la base de l’organisateur (Collecte indirecte) Si l’entreprise utilise un fichier global fourni par l’organisateur du salon, elle réalise une collecte indirecte.

  • Validité de la transmission : L’entreprise doit vérifier contractuellement que l’organisateur a bien recueilli l’accord des visiteurs pour transmettre leurs données à des tiers (les exposants). Si le visiteur n’a pas coché la case « J’accepte que mes données soient transmises aux partenaires », le fichier est inexploitable juridiquement.
  • Obligation d’information renforcée (Article 14) : L’entreprise qui n’a pas collecté les données elle-même doit informer les personnes, au plus tard lors de la première communication, de la source des données (ex: « Source : Organisateur du Salon X ») et de leurs droits.

3. Le rôle des acteurs (Sous-traitance) Il arrive que l’organisateur du salon propose d’envoyer lui-même un email de remerciement au nom de l’exposant.

  • Qualification : Dans ce cas, l’organisateur agit en tant que sous-traitant de l’exposant pour cette campagne d’emailing.
  • Formalisme : Un contrat de sous-traitance (ou des clauses dédiées dans le contrat de participation au salon) doit définir les obligations de sécurité et de confidentialité des données, conformément à l’article 28 du RGPD. L’exposant reste responsable du fichier constitué à partir des visiteurs de son stand.

4. La purge des données Les données des prospects rencontrés sur un salon (prospects inactifs) ne peuvent être conservées indéfiniment. La durée recommandée est de 3 ans à compter du dernier contact émanant du prospect (ex: sa visite sur le stand). Passé ce délai sans réponse, les données doivent être supprimées.

Sources

  • guide_referentiel_-_recrutement.pdf
  • Le registre de sous traitant _ CNIL.pdf
  • Recommandations pour les réutilisateurs de données publiées sur internet _ CNIL.pdf
  • rgpd-guide_sous-traitant-cnil.pdf
  • Sous-traitance _ Exemple de clauses _ CNIL.pdf

Risques

Le non-respect de ces règles expose l’exposant à :

  • Sanctions administratives : La CNIL peut sanctionner le défaut d’information (art. 13 et 14) ou le manque de base légale (absence de consentement pour la transmission par l’organisateur).
  • Plaintes des visiteurs : Les participants aux salons sont souvent sollicités de manière excessive et sont enclins à signaler les démarches perçues comme abusives (spam).
  • Risque contractuel : Si l’organisateur n’a pas collecté le consentement valide, la responsabilité de l’exposant réutilisateur peut être engagée.
Mentions légales
Politiques de confidentialité
Cookies
Conditions Générales de Prestations de Services