Reponse courte : oui
La reponse courte a la question du titre est sans ambiguite : oui. Le RGPD s’applique a toute entreprise qui traite des donnees personnelles, que vos clients soient des consommateurs ou des entreprises. Et en tant qu’entreprise B2B, vous traitez plus de donnees personnelles que vous ne le pensez.
L’idee recue
Le raisonnement est souvent le suivant : “Le RGPD protege les consommateurs. Mes clients sont des entreprises, pas des consommateurs. Donc le RGPD ne me concerne pas.”
Ce raisonnement est faux sur deux points.
Premierement : le RGPD ne protege pas les consommateurs. Le RGPD protege les personnes physiques. C’est une distinction importante. Un consommateur est quelqu’un qui achete en tant que particulier. Une personne physique est tout etre humain vivant. Cela inclut le contact chez votre client, l’employe qui recoit votre facture et le directeur qui signe votre offre.
Deuxiemement : meme si vous ne traitez jamais avec des consommateurs, en tant qu’entreprise B2B, vous traitez forcement des donnees personnelles. Voyons ou elles se trouvent.
Ou se trouvent vos donnees personnelles ?
Contacts clients
Vous avez un CRM ou au moins un carnet d’adresses. Il contient des noms, adresses e-mail, numeros de telephone et fonctions des contacts chez vos clients. jean.dupont@cliententreprise.fr est une donnee personnelle. Le numero de telephone de l’acheteur est une donnee personnelle. La note “Jean est toujours en conge le lundi” est une donnee personnelle.
Employes
Si vous avez du personnel, vous traitez une quantite importante de donnees personnelles : nom, adresse, numero d’identification national, salaire, arrets maladie, evaluations, copie de piece d’identite. Ce sont meme des categories speciales ou sensibles. Le RGPD s’applique pleinement ici.
Fournisseurs et partenaires
Votre comptable, votre fournisseur informatique, vos freelances - vous disposez des coordonnees de tous. Et pour les independants et auto-entrepreneurs, les donnees professionnelles sont souvent identiques aux donnees personnelles du proprietaire.
Candidats
Recevez-vous parfois une candidature spontanee ou un CV ? Ce sont des donnees personnelles. Et elles ont une duree de conservation : vous ne pouvez pas conserver un CV indefiniment.
Visiteurs du site web
Meme si votre site cible uniquement des visiteurs professionnels, vous traitez des adresses IP, des donnees de cookies et eventuellement des donnees de formulaires. Les adresses IP sont des donnees personnelles.
Que devez-vous mettre en place en tant qu’entreprise B2B ?
Exactement les memes choses que toute autre entreprise. Le RGPD ne fait pas de distinction entre B2B et B2C. Concretement :
Registre des traitements - documentez toutes vos activites de traitement. Gestion des contacts clients, paie, facturation, marketing, analytics web - tout doit y figurer.
Politique de confidentialite - informez les personnes concernees de ce que vous faites de leurs donnees. Cela vaut pour les visiteurs de votre site, mais aussi pour vos contacts professionnels.
Accords de sous-traitance - avez-vous un accord de sous-traitance avec votre fournisseur CRM ? Votre comptable ? Votre fournisseur cloud ? En B2B, cela est souvent pris plus a la legere qu’en B2C, mais l’obligation est identique.
Bases juridiques - pour chaque traitement, vous avez besoin d’une base juridique. Pour la gestion de la relation client, c’est generalement l’interet legitime. Pour la paie, une obligation legale. Pour une newsletter, le consentement.
Durees de conservation - vous ne pouvez pas conserver les donnees indefiniment. Cette demande de devis d’il y a cinq ans qui n’a jamais abouti ? Il n’y a probablement plus de base juridique pour cela.
Points d’attention specifiques au B2B
Quelques elements meritent une attention particuliere dans un contexte B2B :
- LinkedIn et networking - les cartes de visite collectees lors d’un salon ou les contacts ajoutes depuis LinkedIn dans votre CRM : c’est un traitement de donnees personnelles
- References et temoignages - si vous publiez des references clients sur votre site avec nom et fonction, vous traitez des donnees personnelles
- Boites mail partagees - une boite de reception partagee comme commercial@votreentreprise.fr contient des e-mails avec des donnees personnelles de contacts professionnels
- Donnees anciennes - les entreprises B2B conservent souvent les informations relationnelles pendant des annees “au cas ou”. Sans base juridique valable, ce n’est pas permis
La bonne nouvelle
Les bases de la conformite RGPD pour les entreprises B2B ne different pas du B2C. En fait, c’est souvent plus simple. Vous traitez probablement moins de donnees, moins de categories speciales et avez moins de personnes concernees. Mais “moins” ne signifie pas “aucun”. Et l’autorite de controle ne fait pas de distinction.
GDPRWise cartographie toutes vos activites de traitement, y compris les donnees B2B que vous oubliez probablement. Un registre des traitements complet en 15 minutes.