Le RGPD et les cookies en BtoB

Voici un article qui résume mes recherches sur la conformité RGPD et les conformité politique de Cookies. Il ne remplace pas l'avis d'un juriste et les textes de loi en vigueur mais vise à donner un aperçu des obligations légales.

Les sites BtoB sont soumis aux mêmes règles RGPD et cookies que les sites BtoC, avec une petite spécificité plus souple sur la prospection par email (intérêt légitime possible) mais pas sur les traceurs ni sur l'information des personnes.

1. Cadre légal à avoir en tête

• RGPD (UE 2016/679) : encadre tout traitement de données perso, y compris celles des professionnels identifiables (email prénom.nom@entreprise, mobile pro, IP, etc.).
• Directive ePrivacy + article 82 loi Informatique & Libertés : encadre les cookies/traceurs sur les terminaux (opt in sauf exceptions techniques).
• Article L34 5 CPCE : règles de prospection électronique (email, SMS) avec distinction B2B/B2C, mais même logique information + droit d'opposition en B2B

2. Obligations RGPD sur un site BtoB

Sur un site vitrine, blog ou SaaS B2B, tu dois assurer l'information, la base légale et les droits.

Information obligatoire (art. 13/14 RGPD) là où tu collectes

• Identité du responsable (société, coordonnées, DPO le cas échéant).
• Finalités (prospection B2B, gestion compte, support...), base légale (souvent intérêt légitime pour prospection B2B, contrat pour un essai, consentement pour newsletter).
• Durées de conservation, destinataires (CRM, routeur email, hébergeur), transferts hors UE, droits (accès, rectification, opposition, effacement, réclamation CNIL, etc.).
• Mentions obligatoires de site pro : mentions légales complètes (éditeur, hébergeur, RCS/SIREN, contact).
• Registre des traitements incluant au minimum : prospection B2B, gestion clients, analytics, support.

Registre de traitement à mettre en place

Exemple de modèle : https://www.cnil.fr/sites/cnil/files/atoms/files/registre-traitement-simplifie.ods

C'est Reboot Conseil, en tant que responsable de traitement, qui est responsable du registre... donc concrètement : la direction, et éventuellement le DPO ou référent RGPD s'il y en a un.

Qui porte la responsabilité juridique

• Le responsable de traitement (ici Reboot Conseil, Lamalo, Madeline) doit tenir un registre des activités de traitement pour toutes les données qu'il exploite : prospection B2B, gestion clients/participants, analytics, publicité, etc.
• L'obligation découle directement de l'article 30 du RGPD : "Chaque responsable du traitement [...] tient un registre des activités de traitement effectuées sous sa responsabilité".

Qui le gère au quotidien dans une petite structure

• La CNIL indique que le registre peut être tenu par le responsable de traitement lui même ou par une personne désignée en interne (juridique, DSI, RSSI, référent RGPD, etc.).
• Quand un DPO existe (interne ou externe), il pilote souvent la tenue et la mise à jour du registre, mais la responsabilité finale reste celle du responsable de traite