SendinBlue Blog

Choisissez une catégorie :

Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?

Si vous pratiquez l’email marketing, vous √™tes directement concern√© par le nouvelle loi europ√©enne sur la protection des donn√©es qui entrera en vigueur en 2018. Retour sur les cons√©quences de cette nouvelle l√©gislation et sur la meilleure fa√ßon de s’y pr√©parer.¬†

Le R√®glement G√©n√©ral sur la Protection des Donn√©es (RGPD) entrera en vigueur dans les 28 pays de l’Union Europ√©enne √† compter du 25 mai 2018. Elle concerne toutes les entreprises qui manipulent de pr√®s ou de loin les donn√©es personnelles de leurs utilisateurs.

De nombreux marketeurs, blogueurs et e-commerçants ignorent encore les conséquences de ce texte qui définit des amendes particulièrement élevées contre les organismes qui ne respecteraient pas ces nouvelles dispositions.

D’autres sont conscients des risques, mais sont totalement d√©munis face √† l’absence d’explications claire sur les mesures √† prendre pour se mettre en conformit√© avec la loi.

Dans cet article, on fait le point sur ce qu’il faut retenir du RGPD :

  • Son champ d’application
  • Ses cons√©quences concr√®tes sur la pratique de l’emailing
  • La marche √† suivre pour s’y pr√©parer

Le RGPD, c’est quoi ?

Le RGPD est la nouvelle loi de référence européenne en matière de protection des données à caractère personnel.

Dans la nouvelle l√©gislation, le terme ¬ę¬†donn√©e personnelle¬†¬Ľ d√©signe toute donn√©e relative √† une personne physique identifi√©e ou pouvant √™tre identifi√©e directement ou indirectement gr√Ęce √† cette donn√©e. L’adresse email, l’activit√© professionnelle, l’√Ęge, le sexe d’une personne physique sont donc des donn√©es personnelles.

Elle définit de nouveaux droits aux personnes dont les données sont traitées et de nouveaux devoirs pour les responsables du traitement de ces données.

Voici les quelques grands principes à retenir :

  • La d√©finition des donn√©es personnelles est √©largie √† tout ce qui peut permettre d’identifier un individu
  • Les droits individuels en mati√®re de consentement et d’acc√®s aux donn√©es sont renforc√©s
  • Les prestataires et sous-traitants (comme les services de Cloud) peuvent d√©sormais √™tre tenus responsables
  • Les entreprises ont l’obligation de communiquer clairement aux utilisateurs l’utilisation qui sera faite de leurs donn√©es et leurs droits √† la modification ou l’effacement de celles-ci
  • Les utilisateurs devront pouvoir annuler facilement leur consentement et demander l’effacement de leurs donn√©es dans les meilleurs d√©lais
  • Les entreprises devront mettre en place des mesures pr√©ventives de protection des donn√©es
  • Les entreprises devront informer les personnes concern√©es de toute fuite des donn√©es

En cas de non respect du dispositif, les entreprises pourront se voir infliger des amendes allant de 2% √† 4% du chiffre d’affaires et jusqu’√† 20 millions d’euros pour les infractions les plus graves.

Le texte de loi est disponible dans son intégralité ici.

Qui est concerné ?

Vous √™tes concern√©s par le RGPD √† partir du moment ou vous manipulez des donn√©es personnelles de citoyens europ√©ens, quelque soit le pays o√Ļ votre soci√©t√© est bas√©e.

De ce fait, les entreprises et personnes qui pratiquent l’emailing sont en premi√®re ligne, puisque les adresses email et toutes autres informations permettant d’identifier vos visiteurs sont consid√©r√©es comme des donn√©es √† caract√®re personnel.

En revanche, l’une des mesures du texte qui consiste √† rendre obligatoire le recrutement d’un Data Protection Officer (DPO) n’est obligatoire que pour les entreprises :

  • Publiques
  • Ou dont le coeur d’activit√© est le suivi r√©gulier et syst√©matique des donn√©es
  • Ou dont le coeur d’activit√© est la gestion de donn√©es sensibles ou relatives √† des infractions ou condamnations p√©nales
Et si vous preniez 2 minutes pour tester SendinBlue ?
SendinBlue est une solution email / SMS complète.
Gestion de vos contacts, édition des emails, envoi des campagnes, scénarios automatisés, etc.
Gratuit jusqu'à 9000 emails / mois.

Tester SendinBlue

Conséquences pour l’email marketing : des précisions sur le consentement

La principale disposition √† retenir pour les email marketeurs est une d√©finition plus exigeante du consentement des utilisateurs qui doit d√©sormais √™tre ¬ę¬†librement donn√©¬†¬Ľ et se traduire sous la forme d’une ¬ę¬†action positive ¬Ľ.

De plus, les entreprises ont à leur charge de pouvoir fournir une preuve de ce consentement, qui doit donc être tracé et archivé.

L’opt-out & opt-in passif d√©sormais interdits

Opt-out¬†:¬†pratique consistant √† inscrire d’office un utilisateur √† une liste apr√®s une inscription √† un service, en lui laissant la charge de se d√©sinscrire.
Opt-in passif : pratique consistant √† obtenir le consentement d’un internaute de mani√®re d√©tourn√©e, le plus souvent en pr√©-cochant la case correspondant au souhait de recevoir des emails de la part de l’entreprise.
Opt-in : pratique consistant √† laisser l’internaute exprimer librement son consentement par une action positive, g√©n√©ralement en cochant de lui-m√™me une case correspondant au souhait de recevoir des emails de votre part.

Au vu de cette nouvelle d√©finition du consentement, il sera d√©sormais strictement interdit d’utiliser des adresses emails obtenues par opt-out ou par opt-in passif. Le consentement devra √™tre demand√© de mani√®re explicite via la m√©thode de l’opt-in uniquement.

Seules les listes 100% opt-in seront utilisables légalement. Vous devrez également être en mesure de démontrer que vous avez bien obtenu le consentement de vos contacts :

Dans les cas o√Ļ le traitement repose sur le consentement, le responsable du traitement est en mesure de d√©montrer que la personne concern√©e a donn√© son consentement au traitement de donn√©es √† caract√®re personnel la concernant.

A noter que le RGPD pr√©voit 2 exceptions pour lesquelles l’obtention du consentement n’est pas obligatoire :

  • Pour les contacts B2B, c’est √† dire des adresses email professionnelles et √† condition que la prospection soit en rapport avec l’activit√© exerc√©e par le destinataire
  • Pour vos clients existants, √† condition que vos communications portent sur des produits ou services en rapport avec ce qu’ils ont d√©j√† achet√© pr√©c√©demment

Le profilage doit √™tre port√© √† la connaissance de l’utilisateur

Le profilage d√©signe le traitement automatis√© des donn√©es personnelles afin d’√©valuer, analyser ou pr√©dire des caract√©ristiques d’un utilisateur.

La nouvelle l√©gislation pr√©voit notamment un droit √† ne pas faire l’objet d’une d√©cision automatis√©e bas√©e sur le profilage : cette disposition pourrait concerner certains cas d’utilisation du¬†Marketing Automation.

Rassurez-vous, cela ne veut pas dire que vous ne pourrez plus mettre en place de scénarios automatisés, mais que vous devrez :

  • En informer vos utilisateurs (via vos clauses de confidentialit√©s, un bandeau d’avertissement…)
  • Leur donner la possibilit√© de sortir de s’y opposer (en traitant toutes les demandes que vous recevrez en ce sens)

Quelques conseils pour vous préparer à l’entrée en vigueur du RGPD

De nombreuses entreprises sont dans l’expectative quand au manque d’explications claires sur les moyens effectifs de mettre en application les principes du RGPD. L’un des points les plus obscurs est la mat√©rialisation des preuves du consentement des utilisateurs, dont la forme n’a pas √©t√© pr√©cis√©e.

Pour l’heure, nous vous conseillons de mettre en place les actions suivantes :

Evaluer la comptabilité de vos listes de contact avec le RGPD

Vos listes de contacts actuelles sont-elles compatibles avec la nouvelle législation ?

Posez-vous 4 questions :

  1. Vos contacts B2C vous ont-ils donné leur autorisation explicite de leur envoyer des emails via un formulaire opt-in ?
  2. Cette autorisation est-elle distincte et sp√©cifique √† chaque usage que vous en faites ? Par exemple, si vous avez simplement demand√© l’autorisation d’envoyer votre newsletter, elle n’est pas suffisante pour profiler vos utilisateurs dans le cadre d’un sc√©nario de marketing automation.
  3. Êtes-vous en mesure de démontrer que vous avez obtenu le consentement explicite de vos contacts ?
  4. Les enfants de moins de 16 ans ne peuvent pas donner leur consentement, l’autorisation doit-√™tre donn√©e par leurs parents : votre liste contient-elle des adresses de mineurs ?

Vous assurer que vous respectez les droits de vos utilisateurs

Vos proc√©dures actuelles en mati√®re d’acc√®s des utilisateurs √† leur donn√©es personnelles sont-elles √† jour ? C’est peu probable.

Voici les principales actions que vous allez devoir mettre en place :

  1. Revoir vos clauses de confidentialit√© et les textes de vos formulaires opt-in pour vous assurer que vos utilisateurs soient inform√©s de l’utilisation que vous faites de leur donn√©es
  2. Mettre en place une proc√©dure (formulaire, page de contact, lien dans votre newsletter…) permettant √† vos utilisateurs de demander une copie, une modification ou un effacement de leurs donn√©es
  3. Mettre en place une proc√©dure permettant √† vos utilisateurs de s’opposer √† ce que leurs donn√©es servent au profilage ou √† une prise de d√©cision automatis√©e les concernant

Vous assurer que vos prestataires sont en conformité avec le RGPD

La nouvelle législation prévoit une responsabilité commune des entreprises et de leurs prestataires qui hébergent leurs données.

Pour √©viter de vous faire sanctionner √† cause d’un prestataire non conforme :

  1. Faites la listes de tous les prestataires et services Cloud qui hébergent vos données
  2. Demandez-leurs si ils sont conformes au RGPD
  3. Commencez à évaluer la concurrence de vos prestataires qui ne pourront pas être conformes au RGPD à temps

Ce qu’il faut retenir

 

  • Date d’entr√©e en vigueur : 25 mai 2018
  • L’opt-in devient la seule fa√ßon l√©gale de recueillir l’autorisation de vos contacts pour utiliser leurs adresses emails
  • Le responsable de traitement doit tenir un registre des diff√©rentes cat√©gories de personnes dont il traite les donn√©es et de la nature du traitement
  • Vous devrez mettre √† jour vos clauses de confidentialit√©, textes de formulaires et pr√©voir des proc√©dures permettant √† vos contacts d’acc√©der √† vos donn√©es pour vous mettre en conformit√© avec la loi

Cet article est le premier d’une s√©rie √† venir sur les implications du RGPD et les bonnes pratiques √† mettre en place pour s’y conformer. Il ne se veut pas exhaustif et nous vous encourageons √† faire vos propres recherches sur les actions √† prendre en fonction de votre activit√© et de la nature des donn√©es personnelles que vous traitez.

√Čtiquettes¬†:

10 R√©ponses √† “Le RGPD arrive en 2018 : quelles cons√©quences pour vos pratiques emailing ?”

  1. Bonjour,

    L’utilisation d’un serveur smtp qui ne serait pas dans l’UE constitue-il un transfert de donn√©es hors UE?

    Lorsqu’on est utilisateur Fran√ßais utilise-t-on des serveurs smtp sendinblue, en France?

    Merci

    • Bonjour Claire,

      En effet, le RGPD n’applique plus la distinction B2C / B2B. Par cons√©quent ce type d’inscription n’est plus valide !

      Bonne journée,

      Bulle

        • Bonjour Caroline, je tente d’apporter mon maigre √©clairage pour √©viter la confusion :
          La distinction B2B / B2C reconnue par le RGPD et mentionn√©e par la CNIL concerne le type d’adresse email du destinataire et non pas vos offres / services / le secteur dans lequel vous √©voluez.
          Je m’explique : vous pouvez contacter une adresse de type [email protected] dans le cadre d’un d√©marchage cibl√© sans consentement pr√©alable car il s’agit d’une adresse b2b.
          Mais même si vous vendez une solution B2B, ça ne vous donne pas le droit pour autant de récolter des adresses email via un formulaire opt-out ou opt-in passif (surtout dans la mesure ou votre formulaire ne vous fera pas récolter que des adresses professionnelles !)
          Bien à vous,
          Numa @ Sendinblue

  2. Vincent

    Bonjour,

    Question : comment archiver le consentement de la personne ?
    Aujourd’hui, je re√ßois une notification quand un nouvel utilisateur s’abonne √† une newsletter. Mais m√™me si dans le formulaire d’inscription, il y a une case √† cocher obligatoire, comment r√©cup√©rer ce choix ? Et qu’est-ce qui fait foi pour respecter le RGPD (m√©l ? document ?)

    Merci !

    • Bonjour Vincent,

      Nous travaillons actuellement sur une fonction qui vous permettra de conserver le consentement de vos contacts lors du remplissage de formulaire. Vous pouvez également configurer votre inscription en double opt-in à cet effet.

      Bonne journée,

      Bulle

Laisser une réponse

Essayez notre plan gratuit jusqu'à 300 emails par jour

Pas besoin de carte bancaire. Sans engagement.

Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?

Temps de lecture : 7 min