Sendinblue Blog

Choisissez une catégorie :

Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?

Si vous pratiquez l’email marketing, vous ĂȘtes directement concernĂ© par le nouvelle loi europĂ©enne sur la protection des donnĂ©es qui entrera en vigueur en 2018. Retour sur les consĂ©quences de cette nouvelle lĂ©gislation et sur la meilleure façon de s’y prĂ©parer. 

Le RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es (RGPD) entrera en vigueur dans les 28 pays de l’Union EuropĂ©enne Ă  compter du 25 mai 2018. Elle concerne toutes les entreprises qui manipulent de prĂšs ou de loin les donnĂ©es personnelles de leurs utilisateurs.

De nombreux marketeurs, blogueurs et e-commerçants ignorent encore les conséquences de ce texte qui définit des amendes particuliÚrement élevées contre les organismes qui ne respecteraient pas ces nouvelles dispositions.

D’autres sont conscients des risques, mais sont totalement dĂ©munis face Ă  l’absence d’explications claire sur les mesures Ă  prendre pour se mettre en conformitĂ© avec la loi.

Dans cet article, on fait le point sur ce qu’il faut retenir du RGPD :

  • Son champ d’application
  • Ses consĂ©quences concrĂštes sur la pratique de l’emailing
  • La marche Ă  suivre pour s’y prĂ©parer

Le RGPD, c’est quoi ?

Le RGPD est la nouvelle loi de référence européenne en matiÚre de protection des données à caractÚre personnel.

Dans la nouvelle lĂ©gislation, le terme « donnĂ©e personnelle » dĂ©signe toute donnĂ©e relative Ă  une personne physique identifiĂ©e ou pouvant ĂȘtre identifiĂ©e directement ou indirectement grĂące Ă  cette donnĂ©e. L’adresse email, l’activitĂ© professionnelle, l’Ăąge, le sexe d’une personne physique sont donc des donnĂ©es personnelles.

Elle définit de nouveaux droits aux personnes dont les données sont traitées et de nouveaux devoirs pour les responsables du traitement de ces données.

Voici les quelques grands principes Ă  retenir :

  • La dĂ©finition des donnĂ©es personnelles est Ă©largie Ă  tout ce qui peut permettre d’identifier un individu
  • Les droits individuels en matiĂšre de consentement et d’accĂšs aux donnĂ©es sont renforcĂ©s
  • Les prestataires et sous-traitants (comme les services de Cloud) peuvent dĂ©sormais ĂȘtre tenus responsables
  • Les entreprises ont l’obligation de communiquer clairement aux utilisateurs l’utilisation qui sera faite de leurs donnĂ©es et leurs droits Ă  la modification ou l’effacement de celles-ci
  • Les utilisateurs devront pouvoir annuler facilement leur consentement et demander l’effacement de leurs donnĂ©es dans les meilleurs dĂ©lais
  • Les entreprises devront mettre en place des mesures prĂ©ventives de protection des donnĂ©es
  • Les entreprises devront informer les personnes concernĂ©es de toute fuite des donnĂ©es

En cas de non respect du dispositif, les entreprises pourront se voir infliger des amendes allant de 2% Ă  4% du chiffre d’affaires et jusqu’Ă  20 millions d’euros pour les infractions les plus graves.

Le texte de loi est disponible dans son intégralité ici.

Qui est concerné ?

Vous ĂȘtes concernĂ©s par le RGPD Ă  partir du moment ou vous manipulez des donnĂ©es personnelles de citoyens europĂ©ens, quelque soit le pays oĂč votre sociĂ©tĂ© est basĂ©e.

De ce fait, les entreprises et personnes qui pratiquent l’emailing sont en premiĂšre ligne, puisque les adresses email et toutes autres informations permettant d’identifier vos visiteurs sont considĂ©rĂ©es comme des donnĂ©es Ă  caractĂšre personnel.

En revanche, l’une des mesures du texte qui consiste Ă  rendre obligatoire le recrutement d’un Data Protection Officer (DPO) n’est obligatoire que pour les entreprises :

  • Publiques
  • Ou dont le coeur d’activitĂ© est le suivi rĂ©gulier et systĂ©matique des donnĂ©es
  • Ou dont le coeur d’activitĂ© est la gestion de donnĂ©es sensibles ou relatives Ă  des infractions ou condamnations pĂ©nales

ConsĂ©quences pour l’email marketing : des prĂ©cisions sur le consentement

La principale disposition Ă  retenir pour les email marketeurs est une dĂ©finition plus exigeante du consentement des utilisateurs qui doit dĂ©sormais ĂȘtre « librement donné » et se traduire sous la forme d’une « action positive ».

De plus, les entreprises ont Ă  leur charge de pouvoir fournir une preuve de ce consentement, qui doit donc ĂȘtre tracĂ© et archivĂ©.

L’opt-out & opt-in passif dĂ©sormais interdits

Opt-out : pratique consistant Ă  inscrire d’office un utilisateur Ă  une liste aprĂšs une inscription Ă  un service, en lui laissant la charge de se dĂ©sinscrire.
Opt-in passif : pratique consistant Ă  obtenir le consentement d’un internaute de maniĂšre dĂ©tournĂ©e, le plus souvent en prĂ©-cochant la case correspondant au souhait de recevoir des emails de la part de l’entreprise.
Opt-in : pratique consistant Ă  laisser l’internaute exprimer librement son consentement par une action positive, gĂ©nĂ©ralement en cochant de lui-mĂȘme une case correspondant au souhait de recevoir des emails de votre part.

Au vu de cette nouvelle dĂ©finition du consentement, il sera dĂ©sormais strictement interdit d’utiliser des adresses emails obtenues par opt-out ou par opt-in passif. Le consentement devra ĂȘtre demandĂ© de maniĂšre explicite via la mĂ©thode de l’opt-in uniquement.

Seules les listes 100% opt-in seront utilisables lĂ©galement. Vous devrez Ă©galement ĂȘtre en mesure de dĂ©montrer que vous avez bien obtenu le consentement de vos contacts :

Dans les cas oĂč le traitement repose sur le consentement, le responsable du traitement est en mesure de dĂ©montrer que la personne concernĂ©e a donnĂ© son consentement au traitement de donnĂ©es Ă  caractĂšre personnel la concernant.

A noter que le RGPD prĂ©voit 2 exceptions pour lesquelles l’obtention du consentement n’est pas obligatoire :

  • Pour les contacts B2B, c’est Ă  dire des adresses email professionnelles et Ă  condition que la prospection soit en rapport avec l’activitĂ© exercĂ©e par le destinataire
  • Pour vos clients existants, Ă  condition que vos communications portent sur des produits ou services en rapport avec ce qu’ils ont dĂ©jĂ  achetĂ© prĂ©cĂ©demment

Le profilage doit ĂȘtre portĂ© Ă  la connaissance de l’utilisateur

Le profilage dĂ©signe le traitement automatisĂ© des donnĂ©es personnelles afin d’Ă©valuer, analyser ou prĂ©dire des caractĂ©ristiques d’un utilisateur.

La nouvelle lĂ©gislation prĂ©voit notamment un droit Ă  ne pas faire l’objet d’une dĂ©cision automatisĂ©e basĂ©e sur le profilage : cette disposition pourrait concerner certains cas d’utilisation du Marketing Automation.

Rassurez-vous, cela ne veut pas dire que vous ne pourrez plus mettre en place de scénarios automatisés, mais que vous devrez :

  • En informer vos utilisateurs (via vos clauses de confidentialitĂ©s, un bandeau d’avertissement…)
  • Leur donner la possibilitĂ© de sortir de s’y opposer (en traitant toutes les demandes que vous recevrez en ce sens)

Quelques conseils pour vous prĂ©parer Ă  l’entrĂ©e en vigueur du RGPD

De nombreuses entreprises sont dans l’expectative quand au manque d’explications claires sur les moyens effectifs de mettre en application les principes du RGPD. L’un des points les plus obscurs est la matĂ©rialisation des preuves du consentement des utilisateurs, dont la forme n’a pas Ă©tĂ© prĂ©cisĂ©e.

Pour l’heure, nous vous conseillons de mettre en place les actions suivantes :

Evaluer la comptabilité de vos listes de contact avec le RGPD

Vos listes de contacts actuelles sont-elles compatibles avec la nouvelle législation ?

Posez-vous 4 questions :

  1. Vos contacts B2C vous ont-ils donné leur autorisation explicite de leur envoyer des emails via un formulaire opt-in ?
  2. Cette autorisation est-elle distincte et spĂ©cifique Ă  chaque usage que vous en faites ? Par exemple, si vous avez simplement demandĂ© l’autorisation d’envoyer votre newsletter, elle n’est pas suffisante pour profiler vos utilisateurs dans le cadre d’un scĂ©nario de marketing automation.
  3. Êtes-vous en mesure de dĂ©montrer que vous avez obtenu le consentement explicite de vos contacts ?
  4. Les enfants de moins de 16 ans ne peuvent pas donner leur consentement, l’autorisation doit-ĂȘtre donnĂ©e par leurs parents : votre liste contient-elle des adresses de mineurs ?

Vous assurer que vous respectez les droits de vos utilisateurs

Vos procĂ©dures actuelles en matiĂšre d’accĂšs des utilisateurs Ă  leur donnĂ©es personnelles sont-elles Ă  jour ? C’est peu probable.

Voici les principales actions que vous allez devoir mettre en place :

  1. Revoir vos clauses de confidentialitĂ© et les textes de vos formulaires opt-in pour vous assurer que vos utilisateurs soient informĂ©s de l’utilisation que vous faites de leur donnĂ©es
  2. Mettre en place une procĂ©dure (formulaire, page de contact, lien dans votre newsletter…) permettant Ă  vos utilisateurs de demander une copie, une modification ou un effacement de leurs donnĂ©es
  3. Mettre en place une procĂ©dure permettant Ă  vos utilisateurs de s’opposer Ă  ce que leurs donnĂ©es servent au profilage ou Ă  une prise de dĂ©cision automatisĂ©e les concernant

Vous assurer que vos prestataires sont en conformité avec le RGPD

La nouvelle législation prévoit une responsabilité commune des entreprises et de leurs prestataires qui hébergent leurs données.

Pour Ă©viter de vous faire sanctionner Ă  cause d’un prestataire non conforme :

  1. Faites la listes de tous les prestataires et services Cloud qui hébergent vos données
  2. Demandez-leurs si ils sont conformes au RGPD
  3. Commencez Ă  Ă©valuer la concurrence de vos prestataires qui ne pourront pas ĂȘtre conformes au RGPD Ă  temps

Ce qu’il faut retenir

 

  • Date d’entrĂ©e en vigueur : 25 mai 2018
  • L’opt-in devient la seule façon lĂ©gale de recueillir l’autorisation de vos contacts pour utiliser leurs adresses emails
  • Le responsable de traitement doit tenir un registre des diffĂ©rentes catĂ©gories de personnes dont il traite les donnĂ©es et de la nature du traitement
  • Vous devrez mettre Ă  jour vos clauses de confidentialitĂ©, textes de formulaires et prĂ©voir des procĂ©dures permettant Ă  vos contacts d’accĂ©der Ă  vos donnĂ©es pour vous mettre en conformitĂ© avec la loi

Cet article est le premier d’une sĂ©rie Ă  venir sur les implications du RGPD et les bonnes pratiques Ă  mettre en place pour s’y conformer. Il ne se veut pas exhaustif et nous vous encourageons Ă  faire vos propres recherches sur les actions Ă  prendre en fonction de votre activitĂ© et de la nature des donnĂ©es personnelles que vous traitez.

Étiquettes :

12 RĂ©ponses Ă  “Le RGPD arrive en 2018 : quelles consĂ©quences pour vos pratiques emailing ?”

  1. Bonjour,

    L’utilisation d’un serveur smtp qui ne serait pas dans l’UE constitue-il un transfert de donnĂ©es hors UE?

    Lorsqu’on est utilisateur Français utilise-t-on des serveurs smtp sendinblue, en France?

    Merci

    • Bonjour Claire,

      En effet, le RGPD n’applique plus la distinction B2C / B2B. Par consĂ©quent ce type d’inscription n’est plus valide !

      Bonne journée,

      Bulle

        • Bonjour Caroline, je tente d’apporter mon maigre Ă©clairage pour Ă©viter la confusion :
          La distinction B2B / B2C reconnue par le RGPD et mentionnĂ©e par la CNIL concerne le type d’adresse email du destinataire et non pas vos offres / services / le secteur dans lequel vous Ă©voluez.
          Je m’explique : vous pouvez contacter une adresse de type nom@entreprise.com dans le cadre d’un dĂ©marchage ciblĂ© sans consentement prĂ©alable car il s’agit d’une adresse b2b.
          Mais mĂȘme si vous vendez une solution B2B, ça ne vous donne pas le droit pour autant de rĂ©colter des adresses email via un formulaire opt-out ou opt-in passif (surtout dans la mesure ou votre formulaire ne vous fera pas rĂ©colter que des adresses professionnelles !)
          Bien Ă  vous,
          Numa @ Sendinblue

  2. Vincent

    Bonjour,

    Question : comment archiver le consentement de la personne ?
    Aujourd’hui, je reçois une notification quand un nouvel utilisateur s’abonne Ă  une newsletter. Mais mĂȘme si dans le formulaire d’inscription, il y a une case Ă  cocher obligatoire, comment rĂ©cupĂ©rer ce choix ? Et qu’est-ce qui fait foi pour respecter le RGPD (mĂ©l ? document ?)

    Merci !

    • Bonjour Vincent,

      Nous travaillons actuellement sur une fonction qui vous permettra de conserver le consentement de vos contacts lors du remplissage de formulaire. Vous pouvez Ă©galement configurer votre inscription en double opt-in Ă  cet effet.

      Bonne journée,

      Bulle

    • Bonjour Bertrand,

      Pas forcĂ©ment ! La gestion des consentements se fait de maniĂšre spĂ©cifique pour chaque type d’envois. Un client qui souhaite ne plus recevoir vos campagnes sms peut trĂšs bien souhaiter continuer Ă  recevoir vos informations par email.

      Bien Ă  vous,

      Numa @ Sendinblue

Laisser une réponse

Essayez notre plan gratuit jusqu'Ă  300 emails par jour

Pas besoin de carte bancaire. Sans engagement.

Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?

Temps de lecture : 7 min