Lumo Data - Logo 2025
connexion

Bonnes pratiques BtoB
sur l'utilisation des données

Les données fournies par Lumo Data sont exclusivement destinées à un usage professionnel conforme aux lois et réglementations en vigueur, notamment le RGPD. Toute utilisation non conforme ou abusive des données est strictement interdite. Pour plus d’informations sur les conditions d’utilisation et nos responsabilités, consultez nos Conditions Générales d’Utilisation (CGU).

Sommaire

Lumo Data Bonnes pratiques

Cadre légal : Peut-on contacter un professionnel sans consentement préalable ?

1. Principe de l’intérêt légitime en B2B

Le RGPD prévoit que les entreprises peuvent utiliser les coordonnées professionnelles pour contacter un professionnel sans consentement préalable, à condition que :

  • La finalité du contact soit légitime : la prospection doit être liée à l’activité professionnelle de la personne contactée.
  • Le contenu du message soit pertinent : il doit correspondre aux besoins ou aux intérêts du professionnel contacté (par exemple, un fournisseur de logiciels ERP contactant une PME de logistique).
  • L’intérêt légitime ne porte pas atteinte aux droits des personnes concernées : le contact ne doit pas être perçu comme intrusif ou non sollicité.
 

Exemple : Vous pouvez contacter un responsable d’achat dans une entreprise de construction pour lui proposer un catalogue de matériaux, car cela est pertinent pour son activité.

2. Exceptions et limites : opt-in et opt-out

Opt-in obligatoire pour les particuliers :

  • Le consentement explicite reste nécessaire pour les coordonnées personnelles utilisées à des fins professionnelles (ex. : téléphone portable personnel utilisé comme numéro professionnel).
  • Si une adresse email utilisée est à titre personnel (par exemple, une adresse Gmail d’un auto-entrepreneur), elle est soumise aux règles de consentement opt-in comme en B2C.
 

Cependant, l’utilisation de données personnelles partagées publiquement en tant que contact professionnel, impliquant un consentement implicite, est justifiée selon les règles énoncées par la CNIL et le RGPD, notamment en s’appuyant sur la base légale de l’intérêt légitime. (voir données personnelles / professionnelles)

 

 


Opt-out pour les professionnels :

  • Les professionnels peuvent être contactés sans consentement préalable (opt-out), mais ils doivent avoir la possibilité de refuser les communications futures. 

 
Cela se traduit par :

  • Une mention explicite dans l’email ou l’appel expliquant comment se désinscrire.
  • La prise en compte rapide et effective de leur opposition.

3. Utilisation responsable et pratique

Pour être en conformité et efficace dans votre prospection :

Segmenter les listes de contacts :

  • Filtrer vos bases pour exclure les coordonnées non pertinentes.
  • Utiliser des outils de segmentation pour cibler précisément les entreprises et les postes concernés par votre offre.


Messages non invasifs et personnalisés :

  • Les communications doivent être adaptées au secteur d’activité et au poste du contact (ex. : pas de spam massif).
  • Privilégier un ton professionnel et informatif.


Mention d’information et de désinscription :

  • Dans un email, inclure une phrase comme :
    “Vous recevez cet email dans le cadre de notre démarche de prospection professionnelle. Si vous ne souhaitez plus recevoir nos communications, cliquez ici pour vous désinscrire.”

  • Lors d’un appel, mentionner que la communication est strictement professionnelle.

4. Cas spécifiques à traiter avec vigilance

Données issues d’annuaires professionnels :

Les coordonnées extraites d’annuaires ou de bases publiques peuvent être utilisées si elles sont publiées dans un cadre légal et si la finalité est professionnelle.


Cependant, vous devez :

  • Vérifier que la personne concernée n’a pas explicitement refusé d’être contactée (par exemple via une mention dans l’annuaire ou une inscription à une liste d’opposition comme la liste Robinson pour les appels).
  • Ne pas utiliser ces données à des fins personnelles ou non pertinentes.

 

Envoi massif d’emails :

  • Les campagnes doivent respecter le principe de “minimisation des données”. Ne collectez ou n’envoyez que les informations pertinentes pour le but visé.
  • Une analyse d’impact (AIPD) peut être nécessaire si le volume est important ou si les risques pour les droits des personnes sont élevés​​.
Lumo Data Fichier Prospection

Une pratique légitime mais encadrée

En B2B, vous bénéficiez d’une flexibilité pour contacter des professionnels sans consentement préalable, tant que la démarche reste pertinente, non intrusive et conforme au RGPD. Respecter ces principes vous permet de maximiser vos opportunités commerciales tout en protégeant votre activité contre d’éventuelles plaintes.

Source des informations

Quelles sont les modalités de diffusion en ligne ? – CNIL

Recommandations à l’intention des diffuseurs de données – CNIL

Réutilisation de données par des annuaires en ligne  – CNIL

Comment réutiliser les données diffusées ? – CNIL

Les bonnes pratiques de l'emailing

Respect des règles de contenu

Objet et expéditeur clairs :

  • Indiquez clairement l’objet de l’email et identifiez-vous dans l’adresse d’expédition.

  • Exemple : Une adresse email comme contact@[nomdentreprise].com renforce la crédibilité.

Message informatif et pertinent :

  • Présentez l’offre ou la demande en rapport avec l’activité du destinataire.

  • Évitez les messages trop généraux ou agressifs qui peuvent être classés comme spam.
Prospection Email

1. Clause d'information et de désinscription

  • Incluez une phrase indiquant la source des données et la finalité de l’email.
  • Ajoutez un lien de désinscription clair et fonctionnel, obligatoire pour chaque envoi.
 
  • Exemple :Vous recevez cet email car vos coordonnées figurent dans une base publique. Si vous ne souhaitez plus recevoir nos communications, cliquez ici pour vous désinscrire.

2. Fréquence des envois :

Ne pas inonder les prospects de messages.
Une fréquence mensuelle est généralement bien acceptée.

*La fréquence n’est pas une obligation légale mais peut vous être reprochée

3. Indiquez la source des données :

  • Expliquez brièvement d’où proviennent les coordonnées du destinataire.
  • Exemple :Vos coordonnées proviennent du registre SIRENE ou d’une source publique en conformité avec le RGPD.

Obligations légales :

Téléphone BtoB : Quelles sont les bonnes pratiques ?

1. Présentation claire et professionnelle :

Identifiez-vous dès le début

  • Indiquez clairement le nom de votre entreprise, votre identité, et la raison de votre appel.
 
  • Exemple : “Bonjour, je suis [Prénom Nom] de la société [Nom], spécialisée dans [activité]. Je vous contacte concernant [finalité précise].”

  • Exemple : “Bonjour, je suis [Nom Prénom] de [Nom de l’entreprise], spécialisé(e) dans [activité]. Je vous contacte pour vous présenter une solution adaptée aux entreprises dans [secteur/activité].”

2. Soyez pertinent :

  • Assurez-vous que l’offre ou le sujet est adapté au secteur ou à l’activité de votre interlocuteur.
 
  • Évitez les appels répétitifs ou non ciblés qui peuvent être perçus comme du harcèlement.

  • Contactez uniquement les entreprises et interlocuteurs en lien avec votre offre.

  • Exemple : Si vous vendez des outils RH, ciblez uniquement les responsables RH ou les directeurs d’entreprise.

3. Respect des droits d'opposition (opt-out)

Heures professionnelles :

  • Contactez les entreprises uniquement pendant les horaires de bureau (ex. : 9h-18h en semaine).

    L’objectif est de contacter votre prospect dans les meilleures conditions. Il sera plus éthique de contacter durant ses heures consacrées au travail. 

  • Au début ou à la fin de l’appel, indiquez que l’interlocuteur peut demander à ne plus être contacté, et enregistrez immédiatement leur souhait. Ou à l’inverse demandé lui si vous pouvez le recontacter.

4. Offrir une option de refus :

Dès le début de l’appel, si le professionnel exprime un refus, veillez à le respecter.

Insister après une demande explicite de ne plus vouloir être contacté pourrait être mal venu. Cela réduirait considérablement vos chances de conclure une éventuelle vente.

Enregistrez son opposition dans vos bases et appliquez-la immédiatement.

Prospection Téléphone

Gestion et protection
des données professionnelles

Utilisation, Automatisation Sensibilisation
Lumo Informations Protection Données

1. Intégration de solutions professionnelles

  • CRM sécurisé :
    • Utilisez des outils adaptés pour centraliser, sécuriser et organiser les données. 
 
  • Automatisation maîtrisée :
    • Les processus automatisés (envois d’emails, désinscriptions) doivent être paramétrés pour respecter les droits des destinataires.

2. Transparence et conformité B2B :

Informer clairement sur l’utilisation des données

Ajoutez une mention légale expliquant pourquoi et comment les données sont utilisées.

  • Exemple :Vos données sont utilisées exclusivement pour des communications professionnelles et proviennent de sources légales comme le registre SIRENE.

  • Coordonnées visibles :
    • Fournissez un moyen clair pour que le destinataire puisse vous contacter en cas de questions (email ou numéro dédié).

8. Sensibilisation des équipes commerciales :

Formation des collaborateurs :

  • Sensibilisez les équipes aux règles RGPD et aux pratiques éthiques.
  • Fournissez des scripts d’appels et des modèles d’emails conformes.

4. Opposition et désinscription dans les emails :

Facilitez le droit d’opposition

  • Lien ou bouton de désinscription efficace :
    • Testez régulièrement le mécanisme de désinscription pour qu’il fonctionne correctement.
  • Enregistrement rapide des oppositions :
    • Appliquez les désinscriptions dans un délai de 14 jours maximum.

Respect du refus :

  • Une fois qu’un destinataire s’est désinscrit ou a exprimé son opposition, ne le recontactez pas, même pour d’autres offres.

5. Audit et optimisation des pratiques :

Surveiller les performances :

  • Analysez régulièrement les résultats des campagnes (taux d’ouverture, taux de clic, désinscriptions) pour détecter les problèmes.

    • Audit de conformité :

    • Vérifiez régulièrement que les bases et les pratiques de démarchage respectent les réglementations B2B.

      • 6. Ciblage et segmentation adaptés au B2B

      Segmenter pour une communication efficace

      Taille de l’entreprise :

      • Classez vos contacts par taille d’entreprise (TPE, PME, ETI, GE) pour des campagnes adaptées.
      • Exemple : Proposez des solutions simplifiées pour les TPE et des solutions plus robustes pour les ETI.

       

      Secteur d’activité :

      • Basez vos communications sur les codes NAF ou les secteurs spécifiques.
      • Exemple : Ciblez uniquement les entreprises industrielles pour des solutions de maintenance.

       

      Région

      • Pourquoi ? Les besoins varient selon les spécificités économiques et culturelles des régions.
      • Approche : Adaptez les messages et mettez en avant les avantages régionaux.
      • Exemple : En Auvergne-Rhône-Alpes, ciblez les entreprises industrielles locales.

       

      Département

      • Approche : Personnalisez les offres selon les priorités départementales.
      • Exemple : Dans la Gironde, ciblez les PME exportatrices liées au transport maritime.
      Lumo Informations Protection Données

      1. Hébergements conformes au RGPD :

      • Obligation : Stocker vos bases de données sur des serveurs sécurisés situés dans l’Union Européenne ou dans des pays reconnus comme offrant un niveau de protection équivalent au RGPD (ex. : clauses contractuelles types pour les transferts en dehors de l’UE).


      • Exemples de plateformes conformes :

         

        • Services cloud certifiés ISO/IEC 27001 (sécurité de l’information) ou HDS (Hébergement de Données de Santé).
        • Fournisseurs proposant des solutions conformes, comme AWS, Microsoft Azure, ou Google Cloud Platform dans leurs configurations RGPD.

      2. Chiffrement des données :

      • Les bases doivent être chiffrées au repos (stockées) et en transit (lorsqu’elles circulent sur le réseau).

      • Utilisez des protocoles modernes pour les connexions sécurisées et des algorithmes robustes.

      3. Sauvegardes régulières :

      • Implémentez des sauvegardes automatisées des données avec des copies sécurisées dans plusieurs localisations physiques.

      • Testez régulièrement la restauration des sauvegardes pour garantir leur fiabilité.

      4. Journalisation et audit :

      • Activez la journalisation des accès et des actions sur les bases pour pouvoir tracer les manipulations et détecter les anomalies.
      • Conservez les journaux d’accès pendant une période définie
        (ex. : 6 mois à 1 an).
      Lumo Protection Sécurisé Bleu

      1. Principe de gestion des accès minimaux :

      • Accordez l’accès uniquement aux collaborateurs ou aux prestataires ayant un besoin opérationnel.

      • Hiérarchisation des accès :
        • Par exemple, les responsables commerciaux peuvent accéder aux informations de contact, mais pas aux données financières sensibles.

      2. Mécanismes d’authentification renforcée :

      • Implémentez une authentification à deux facteurs (2FA) pour tous les utilisateurs ayant accès aux bases.

      • Utilisez des solutions professionnelles pour gérer les identifiants et les mots de passe 

      3. Limitation des exports :

      • Contrôlez les fonctionnalités d’exportation des données pour éviter des fuites accidentelles ou malveillantes.

      • Exemple : Restreignez les exports massifs et demandez des validations managériales pour les gros volumes.

      4. Résiliation et suppression des accès :

      • Désactivez immédiatement les accès des collaborateurs quittant l’entreprise ou n’ayant plus besoin d’interagir avec les bases.
      RGPD

      1. Durée raisonnable en conformité avec le RGPD :

      • Le RGPD exige que les données ne soient conservées que pour une durée proportionnelle à la finalité pour laquelle elles ont été collectées.

      •  Par défaut :
        • Conservez les données des prospects pendant 3 ans après le dernier contact ou interaction commerciale.

        • Conservez les données des clients pendant toute la durée de la relation contractuelle, et jusqu’à 5 ans après pour des raisons légales (par exemple, gestion de litiges).

      2. Anonymisation et suppression des données :

      • Anonymisation : Lorsque les données ne sont plus nécessaires, remplacez les informations identifiantes par des valeurs génériques
      • Exemple : Transformez un email professionnel en “anonyme@domain.com“.
       
      • Suppression définitive : Détruisez de manière sécurisée les données inutiles (fichiers numériques, archives papier). Utilisez des logiciels certifiés pour l’effacement sécurisé des données.

      3. Politiques de conservation documentées :

      • Rédigez une politique interne détaillant les durées de conservation pour chaque type de donnée (emails, téléphones, données financières).

       

      • Exemple :
        • Contacts prospects : 3 ans après inactivité.
        • Données financières : 10 ans selon les obligations comptables françaises.
      Données Analysées

      1. Audits internes et externes :

      Audits internes réguliers :

      • Objectif : Identifier les vulnérabilités, vérifier la conformité des pratiques internes avec le RGPD, et garantir que les politiques sont suivies.
      • Planification : Réalisez un audit interne tous les 6 à 12 mois.
      • Éléments à vérifier :
        • Conformité des durées de conservation des données.
        • Sécurisation des bases (chiffrement, accès restreint).
        • Gestion des droits des personnes (oppositions, rectifications).
        • Respect des politiques de stockage et suppression des données.
          •  

      Audits externes par des tiers :

      • Objectif : Faire évaluer la conformité et la sécurité des données par un organisme ou un expert indépendant.
      • Quand les réaliser : Tous les 1 à 3 ans ou après un incident majeur (ex. : violation de données).
      • Avantages :
        • Obtenir un rapport détaillé des risques et recommandations.
        • Renforcer votre crédibilité auprès des clients et autorités.
        •  
      •  

      2. Surveillance en temps réel :

      Mise en place de systèmes de monitoring :

      • Objectif : Identifier immédiatement les accès non autorisés ou comportements anormaux dans les bases.
      • Outils :
        • Logiciels de surveillance.
        • Systèmes SIEM (Security Information and Event Management) pour collecter et analyser les événements de sécurité en temps réel.
       

      Exemple de surveillance :

      • Alertes sur les tentatives de connexion suspectes ou les transferts de données inhabituels.

      Gestion des anomalies :

      • Réponse aux alertes : Définissez un protocole clair pour gérer les incidents (analyse, correction, notification).
       
      • Exemple : Si un utilisateur tente d’accéder à une base qu’il n’a pas l’autorisation de consulter, son compte doit être suspendu automatiquement jusqu’à vérification.

      3. Formation et sensibilisation des équipes

      Formation régulière des collaborateurs :

      Objectif : S’assurer que les utilisateurs connaissent les bonnes pratiques en matière de sécurité et de conformité.

      Thèmes à aborder :

      • Reconnaissance des tentatives de phishing.
      • Gestion sécurisée des mots de passe et authentification.
      • Signalement d’activités suspectes ou de violations.


      Fréquence :       Organisez des sessions de formation tous les 6 à 12 mois.

      Test des connaissances :

      • Objectif : Évaluer la compréhension des politiques internes et des risques.
      • Exemple : Scénarios simulés de violations ou tentatives de phishing pour tester les réactions des employés.

      4. Documentation et rapports :

      Conservation des rapports d’audit :

      • Objectif : Gardez une trace de tous les audits réalisés pour démontrer votre conformité en cas de contrôle par une autorité.

      • Contenu des rapports :
        • Résultats des audits internes et externes.
        • Actions correctives entreprises.
        • Plans d’amélioration à long terme.

       

      Mise à jour des politiques :

      • Ajustez vos politiques internes en fonction des recommandations issues des audits.

      • Exemple : Si un audit révèle que les durées de conservation sont trop longues, révisez vos pratiques pour être en conformité.

      5. Gestion des incidents :

      Plan de gestion des violations de données :

      • Objectif : Prévoir une procédure en cas de fuite ou de piratage des données.

       

      Étapes clés :

      • Identification et confinement de la menace.
      • Évaluation de l’impact (nombre de données affectées, types d’informations compromises).
      • Notification des autorités compétentes (ex. : CNIL) dans un délai de 72 heures.
      • Communication avec les clients ou tiers concernés.

       

      Documentation des incidents :

      Tenez un registre des violations, comprenant :

      • Date et nature de l’incident.
      • Actions prises pour corriger le problème.
      • Mesures préventives mises en place.

       

      Simulations d’incidents :

      • Organisez des simulations régulières pour tester la réponse de votre organisation à des situations critiques.
      • Exemple : Simulez une tentative de piratage de vos bases pour évaluer la rapidité et l’efficacité de vos équipes à réagir.

      6. Indicateurs clés de performance pour la supervision

      KPI de sécurité :

      • Nombre d’incidents de sécurité détectés et résolus.
      • Nombre d’utilisateurs ayant suivi une formation en cybersécurité.
      • Pourcentage de données chiffrées ou anonymisées.
       

       

      KPI de conformité :

      • Taux de réponses aux demandes de droits des personnes (accès, rectification, opposition) dans les délais légaux.
      • Respect des durées de conservation des données.