RGPD emailing : bonnes pratiques pour être conforme en 2022 ?

Q: C’est quoi exactement l’opt in et l’opt out ?

L’opt in consiste à demander explicitement et clairement le consentement préalable des utilisateurs. Ils doivent par exemple cocher une case pour exprimer leur consentement. Si elle n’est pas cochée, on considère alors qu’il n’y a pas consentement. L’opt out, comme son nom l’indique, est la démarche inverse. Si le client n’exprime pas clairement son désaccord, alors on estime qu’il est d’accord. Une pratique courante de l’opt out est de pré-cocher la case de consentement sur chaque formulaire. À noter que seule l’opt in est une démarche conforme au RGPD bien que l’opt out reste la règle par défaut entre entreprises. En effet, le RGPD d’un emailing BtoB est différent. Les professionnels doivent explicitement exprimer leur désaccord pour être désabonnés d’une liste.

Que vous travailliez ou non dans le marketing, vous avez sûrement déjà lu ou entendu le terme RGPD. En effet, les droits des consommateurs ont évolué et notamment en ce qui concerne la collecte de leurs données personnelles. Qu’est-ce que le RDPG ? Comment s’assurer de la conformité d’une campagne emailing ? Ce sont quelques-unes des questions contenues dans cet article sur le RGPD emailing. Afin d’avoir tous les conseils pour une campagne marketing conforme.

Sommaire

C’est quoi le RGPD au juste ?

RGPD est un acronyme pour Règlement Général sur la Protection des Données. Face à l’évolution des pratiques, comme le développement des ventes en ligne, le droit a dû s’adapter.

Sous l’impulsion du Parlement européen et du Conseil, il a été décidé de mettre en place un règlement général. Le RGPD a donc vu le jour. S’inscrivant dans la continuité de la loi française informatique et libertés de 1976, il a plusieurs objectifs.

Il vise notamment à renforcer et unifier la protection des données. C’est pourquoi le RGPD s’applique au traitement des données personnelles sur l’ensemble du territoire de l’Union Européenne.

Ainsi, les règles sur le territoire de l’Union Européenne sont harmonisées. Ce qui facilite la transparence et la compréhension. Aussi bien pour les particuliers que pour les professionnels.

Depuis son entrée en vigueur le 25 mai 2018, en France le RGPD est placé sous l’autorité de la CNIL. Pour rappel, la CNIL est la Commission Nationale de l’Informatique et des Libertés.

Toute organisation, privée ou publique, qui traite des données personnelles (pour son compte ou non) doit être conforme au RGPD.

Et ce, si elle remplit ces deux conditions :

Elle est établie dans l’Union Européenne. Par exemple, une organisation installée en France qui vend ses produits exclusivement au Maroc doit être conforme RGPD.
Son activité a pour cible les résidents européens. Par exemple, une organisation située en Chine qui vend exclusivement des produits en France doit respecter le RGPD.

Les sous-traitants qui s’occupent du traitement des données personnelles pour le compte d’autres entreprises doivent respecter le RGPD.

Il est vrai que la notion de données personnelles peut être très vague. La CNIL considère ces informations suivantes comme étant des données personnelles :

Tout ce qui permet d’identifier directement une personne : nom, prénom…
Tout ce qui permet d’identifier indirectement une personne : identifiant, numéro de téléphone…

Pour la CNIL une donnée personnelle désigne « toute information se rapportant à une personne physique identifiée ou identifiable ».

Les 5 points de vigilance pour une campagne emailing conforme RGPD

#1. Consentement des contacts

Il s’agit de l’élément crucial pour assurer la conformité RGPD de l’emailing. Vous devez obtenir le consentement préalable de vos contacts, cela vaut pour chaque contact de votre liste, sans exception.

Le consentement obtenu doit être clair et sans équivoque. Si la personne n’a pas fait d’action visant à accorder son consentement de manière claire : il n’y a pas consentement.

C’est pour cela que l’opt out n’est pas considéré comme conforme au RGPD dans un email. L’opt out est une méthode qui consiste à pré-cocher l’option de consentement sur le formulaire.

Ceci concerne le BtoC, la conformité du RGPD de l’emailing BtoB est différente. Dans ce cadre-là, l’opt out est la règle, en effet, le RGPD est différent pour un email professionnel.

Pour être dans la conformité RGPD, l’emailing doit suivre un procédé opt in. C’est-à-dire que les utilisateurs doivent réaliser une action (cocher la case) pour signifier leur consentement.

Pour encore plus de sécurité, il est recommandé d’effectuer un double opt in. Même s’il n’est pas obligatoire pour la conformité au RGPD de l’emailing. Le double opt in consiste à recueillir deux fois le consentement des utilisateurs avant de les ajouter aux destinataires.

Le premier consentement est donné lorsque le client remplit le formulaire. Puis un email contenant un lien de confirmation lui est envoyé. Ainsi, vous êtes assuré du consentement de cette personne pour faire partie de votre liste de destinataires.

#2. Être capable de prouver le consentement

Il est important de préciser que le RGPD concerne toutes les données collectées. Et non pas uniquement celles collectées après l’entrée en vigueur du règlement.

Cela signifie que toute entreprise ou organisation doit pouvoir fournir la preuve de consentement pour tous les contacts de sa liste. Y compris pour les contacts dont le consentement a été recueilli avant le 25 mai 2018.

En complément

Newsletter interne entreprise : pour un meilleur taux d’ouverture

Pré-header : l’élément (négligé) pour booster le taux d’ouverture

Message d’absence email : 5 exemples pour Gmail ou Outlook

Objet mail : 7 astuces pour surperformer

Si lors de la vérification de vos données, vous constatez un problème, vous devez normalement effectuer une campagne de requalification. Cependant, selon le RGPD actuel, toute forme de communication sans consentement vous expose à des sanctions.

Vous avez donc deux possibilités :

Ôter toutes les personnes pour lesquelles vous ne disposez pas d’une preuve de consentement de vos contacts. Ainsi, vous êtes certain d’avoir un emailing conforme au RGPD en ne contactant que des personnes dont vous pouvez prouver le consentement.
Vous pouvez choisir d’effectuer une campagne de requalification. En gardant en tête que vous contactez des personnes sans avoir de preuve de leur consentement. Ceci peut donc mener à des sanctions.

Il faut donc bien peser le pour et le contre de chaque option avant de prendre votre décision.

#3. Donner le choix aux contacts de se désabonner

Pour être conforme RGPD, un email doit contenir un lien de désinscription. En effet, les destinataires doivent être en mesure de se désabonner quand ils le souhaitent.

Cela était obligatoire avant l’entrée en vigueur du règlement. Mais, désormais des sanctions peuvent être appliquées en cas d’absence de lien de désinscription.

Selon les bonnes pratiques du marketing, ce lien doit déjà se trouver dans tous les mails marketing. Si vous constatez que ce n’est pas le cas, il faut l’ajouter immédiatement afin de ne pas prendre de risques.

Dans l’éventualité où une personne clique sur le lien, il est conseillé de lui demander la raison. Est-ce dû à la fréquence d’envoi des mails ? Au contenu ? Cela vous permettra notamment d’améliorer votre stratégie marketing pour vos prochaines campagnes emailing.

A voir : Spam et emailing

#4. Faire valoir le droit des contacts

Pour être conforme au RGPD, l’emailing doit répondre à d’autres obligations. Après réception d’une communication de la part de l’entreprise, le destinataire doit pouvoir faire valoir ses droits.

Ces droits regroupent le droit d’accès, le droit de portabilité, de rectification ou encore le droit d’effacement de leurs données.

Vous devez donc clairement indiquer la procédure à suivre pour que les destinataires puissent faire valoir leurs droits. Vous devez notamment indiquer la personne à contacter (avec ses coordonnées). Cela peut-être le responsable emailing, le DPO RGPD (Data Protection Officer/Responsable à la protection des données).

Pour cela, veillez à ce que vos mentions d’informations soient bien à jour. Les utilisateurs doivent être en mesure de trouver facilement la procédure à suivre.

#5. Portabilité des données

Chacun de vos clients peut exiger de recevoir l’ensemble de ses données. Et ce sur un support lisible afin de pouvoir les transmettre à un de vos concurrents le cas échéant.

A quoi s’expose une entreprise qui ne respecte pas la RGPD ?

1. Notification de violation des données

S’il y a violation des données, le responsable de traitement doit obligatoirement prévenir l’autorité de protection des données. Et ce, dans les 72h qui suivent la violation (faille, accès non autorisé…).

Dans le cas d’un risque élevé d’atteinte aux droits et libertés des personnes touchées. Le responsable de traitement est dans l’obligation de les prévenir.

2. La venue d’un Data Protection Officer (DPO)

Pour vérifier que tout est conforme, ou en cas de violation, l’entreprise peut faire appel au DPO. Soit le responsable à la protection des données en français.

Selon la CNIL, le DPO est un véritable chef d’orchestre. C’est lui qui est chargé de la protection des données personnelles au sein d’une société ou organisation. Le DPO est présent aussi bien dans le privé que dans le public.

Il est donc intéressant de nommer un DPO au sein de l’entreprise. Ainsi, il sera le garant de la protection des données personnelles de vos clients ou contacts. Cela vous permettra également de vous assurer de la conformité RGPD de votre emailing, en désignant une personne responsable.

3. Une analyse d’impact

Dans l’éventualité d’un risque élevé d’atteinte à la protection des données personnelles, il faut réaliser une analyse d’impact. Et ce, avant même de mettre en place un nouveau traitement.

Cette analyse d’impact est particulièrement recommandée dans le cas d’un traitement déjà en place. Surtout si celui-ci présente un risque élevé.

Les grands principes sur les données personnelles

RGPD emailing : des règles simples sur les données personnelles

1. Ne pas systématiquement recueillir les données

Par exemple, pour la vente d’un bien ou service, il n’est pas nécessaire de systématiquement collecter les données personnelles. Cependant, pour facturer, effectuer une livraison ou établir une relation de longue durée, il faut collecter les données personnelles. Veillez à bien informer votre client des données obligatoires pour obtenir le bien ou service.

S’il le souhaite, le client peut vous fournir d’autres infos afin que vous puissiez lui proposer d’autres services. Comme l’inscription à un programme de fidélité.

Parfois, la collecte de ces données nécessite des justificatifs que vous devez demander à vos clients. Les entreprises ne sont pas obligées de garder la pièce justificative (ou la copie). Seule la conservation de l’information que la justification a été donnée suffit.

Pour résumer, il est important de faire le tri dans la collecte des données. Toutes les situations ne nécessitent pas la collecte de données.

2. Informer les clients

Pour vous assurer d’être conforme au RGPD, le mail doit contenir toutes les infos nécessaires. Vous devez par exemple inclure une rubrique « protection des données » dans vos conditions générales de vente.

Cette rubrique doit être facilement accessible, et compréhensible par tous.

Pensez également à inclure dans le mail une mention d’information sur chaque formulaire de collecte de données. Comme le formulaire d’inscription à un programme de fidélité.

Comme nous l’avons évoqué, vos clients ou contacts doivent pouvoir être en mesure de faire valoir leurs droits. Pensez à inclure les moyens de vous contacter.

Pour louer ou partager les coordonnées de vos clients avec d’autres partenaires, vous devez demander à vos clients leurs préférences. Dans le cas des coordonnées électroniques, vous devez recueillir leur consentement préalable (et en conserver la preuve).

3. Ne pas stocker les données indéfiniment

Si un client reste inactif pendant une longue période, vous devez supprimer ses données. Cette période est généralement de 3 ans à compter de la fin de la relation commerciale.

Cependant, certaines données doivent être conservées. Et ce, en raison d’obligations légales, pour la comptabilité ou en cas de contentieux par exemple. Pour plus de sécurité, archivez ces données dans une base de données différente, dotée d’un accès plus restreint.

FAQ

C’est quoi exactement l’opt in et l’opt out ?

L’opt in consiste à demander explicitement et clairement le consentement préalable des utilisateurs. Ils doivent par exemple cocher une case pour exprimer leur consentement. Si elle n’est pas cochée, on considère alors qu’il n’y a pas consentement.
L’opt out, comme son nom l’indique, est la démarche inverse. Si le client n’exprime pas clairement son désaccord, alors on estime qu’il est d’accord. Une pratique courante de l’opt out est de pré-cocher la case de consentement sur chaque formulaire.
À noter que seule l’opt in est une démarche conforme au RGPD bien que l’opt out reste la règle par défaut entre entreprises. En effet, le RGPD d’un emailing BtoB est différent. Les professionnels doivent explicitement exprimer leur désaccord pour être désabonnés d’une liste.

Quelles sanctions pour non-respect du RGPD ?

Selon l’étendue du manquement aux obligations, plusieurs sanctions peuvent être appliquées :
Rappel à l’ordre.
‣ Demander la mise en conformité, y compris sous astreinte.
‣ Limiter (sur une période donnée ou définitivement) le site ou le blog.
‣ Arrêter les flux de données.
‣ Ordonner la mise en conformité, y compris sous astreinte.
‣ Prendre une mesure d’amende administrative.
‣ Outre la fermeture du site ou blog, le propriétaire peut écoper d’une amende dont le montant peut vite devenir important. Jusqu’à 10% du chiffre d’affaires ou 375 000 euros.