SantéLib

Les documents ‘Sources’ font partie de la réponse et peuvent constituer des supports opérationnels immédiatement exploitables.

Demande initiale

Quelles sont les conditions juridiques et les obligations à respecter pour exploiter licitement les données personnelles des visiteurs collectées sur un stand lors d’un salon professionnel ?

Réponse

Pour exploiter les données (cartes de visite, scan de badges, formulaires papiers), vous devez distinguer selon que le visiteur est un professionnel (B2B) ou un particulier (B2C) et l’informer du traitement.

1. Modèle de courriel de premier contact (Post-Salon – Cas B2B) À utiliser lorsque vous recontactez un professionnel dont vous avez récupéré les coordonnées (carte de visite ou scan de badge) pour lui proposer des services liés à sa profession.

Objet : Suite à notre échange au salon [Nom du Salon]

Bonjour,

Nous avons eu le plaisir d’échanger sur notre stand lors du salon [Nom du Salon] à [Ville], le [Date].

Comme convenu, je me permets de vous contacter pour [Préciser l’objet : vous envoyer la documentation demandée / poursuivre notre discussion sur vos besoins en…].

Information sur vos données : Conformément à la réglementation, vos données (identité et coordonnées professionnelles) ont été enregistrées dans notre fichier clients/prospects sur la base de notre intérêt légitime à développer nos relations commerciales. Elles sont conservées pour une durée de 3 ans après notre dernier contact.

Vous pouvez à tout moment vous opposer à recevoir nos offres ou exercer vos droits d’accès et de rectification en nous écrivant à [Adresse email générique RGPD/DPO].

Cordialement, [Votre Signature]

2. Mention pour formulaire de collecte (Cas B2C ou B2B) À insérer sur vos formulaires papier ou tablettes sur le stand.

« Les informations recueillies sont nécessaires au traitement de votre demande par [Nom Société]. Elles sont conservées 3 ans. Vous disposez d’un droit d’accès, de rectification et d’opposition auprès de [Email RGPD]. [Case à cocher obligatoirement non pré-cochée] J’accepte de recevoir des offres commerciales de [Nom Société] par voie électronique. »

Développement

L’exploitation des données collectées sur un salon ne dispense pas du respect des principes du RGPD, même si l’échange de cartes de visite semble informel.

1. La licéité de la prospection (B2B vs B2C) La règle diffère selon la nature de la personne prospectée :

• Clients professionnels (B2B) : Vous n’avez pas besoin du consentement préalable de la personne pour lui envoyer de la prospection par email, à condition que l’objet du message soit en lien avec sa profession. La base légale est l’intérêt légitime de l’entreprise. Vous devez toutefois impérativement proposer un moyen simple de s’opposer aux envois ultérieurs (droit d’opposition ou « opt-out »).
• Clients particuliers (B2C) : Si votre salon vise le grand public, vous devez obtenir le consentement préalable (case à cocher non pré-cochée ou « opt-in ») avant d’envoyer des emails commerciaux, sauf si la personne est déjà cliente et que vous lui proposez des produits analogues.

2. Les modalités de collecte (Directe ou Indirecte)

• Collecte directe (Échange de cartes, formulaires) : Le fait qu’une personne vous remette sa carte de visite ne signifie pas qu’elle consent à tout type de traitement. Vous devez l’informer (transparence) de l’usage qui sera fait de ses données. Si l’information complète n’est pas possible sur l’instant (ex: échange rapide de cartes), elle doit être fournie au plus tard lors du premier contact (voir modèle de réponse ci-dessus).
• Collecte via l’organisateur (Scan de badge) : Si vous utilisez un lecteur de badge fourni par l’organisateur, celui-ci agit souvent comme un intermédiaire. Vous devez vérifier que l’organisateur a bien informé les visiteurs que leurs données seraient transmises aux exposants. Si vous achetez une base de données de visiteurs à l’organisateur, vous devez informer les personnes de l’origine de leurs données lors du premier contact.

3. La durée de conservation Les données des prospects (visiteurs n’ayant rien acheté) ne peuvent être conservées indéfiniment. La durée recommandée est de 3 ans à compter du dernier contact émanant du prospect (ex: visite sur le stand, clic dans un email). Au-delà, sans nouveau contact positif de sa part, les données doivent être supprimées ou archivées.

4. La sécurité des données Les formulaires papier, carnets de notes ou urnes contenant des cartes de visite ne doivent pas rester sans surveillance sur le stand accessible au public. Ils doivent être stockés en lieu sûr le soir.

Risques

• Sanctions administratives : La CNIL sanctionne régulièrement le non-respect des règles de prospection commerciale (défaut de consentement ou d’information) par des amendes pouvant atteindre 4% du chiffre d’affaires.
• Plaintes et Réputation : Utiliser les données d’un salon pour inscrire massivement des visiteurs à une newsletter sans leur accord génère un fort taux de signalement pour « Spam » et nuit à l’image de l’entreprise.
• Invalidité de la base : Une base de données constituée sans preuve du consentement (pour le B2C) ou sans information préalable est juridiquement inexploitable et constitue un actif « toxique ».

Conseil

Mettez en place une procédure de qualification immédiate post-salon. Ne versez pas les données « en vrac » dans votre logiciel CRM. Créez un champ « Source » indiquant « Salon [Nom] [Année] » et un champ « Date dernier contact ». Cela vous permettra de gérer facilement la purge des données au bout de 3 ans (principe du droit à l’oubli) et de prouver l’origine des données en cas de contrôle ou de plainte.