SendinBlue Blog

Choisissez une catégorie :

Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?

Si vous pratiquez l’email marketing, vous êtes directement concerné par le nouvelle loi européenne sur la protection des données qui entrera en vigueur en 2018. Retour sur les conséquences de cette nouvelle législation et sur la meilleure façon de s’y préparer. 

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans les 28 pays de l’Union Européenne à compter du 25 mai 2018. Elle concerne toutes les entreprises qui manipulent de près ou de loin les données personnelles de leurs utilisateurs.

De nombreux marketeurs, blogueurs et e-commerçants ignorent encore les conséquences de ce texte qui définit des amendes particulièrement élevées contre les organismes qui ne respecteraient pas ces nouvelles dispositions.

D’autres sont conscients des risques, mais sont totalement démunis face à l’absence d’explications claire sur les mesures à prendre pour se mettre en conformité avec la loi.

Dans cet article, on fait le point sur ce qu’il faut retenir du RGPD :

  • Son champ d’application
  • Ses conséquences concrètes sur la pratique de l’emailing
  • La marche à suivre pour s’y préparer

Le RGPD, c’est quoi ?

Le RGPD est la nouvelle loi de référence européenne en matière de protection des données à caractère personnel.

Dans la nouvelle législation, le terme « donnée personnelle » désigne toute donnée relative à une personne physique identifiée ou pouvant être identifiée directement ou indirectement grâce à cette donnée. L’adresse email, l’activité professionnelle, l’âge, le sexe d’une personne physique sont donc des données personnelles.

Elle définit de nouveaux droits aux personnes dont les données sont traitées et de nouveaux devoirs pour les responsables du traitement de ces données.

Voici les quelques grands principes à retenir :

  • La définition des données personnelles est élargie à tout ce qui peut permettre d’identifier un individu
  • Les droits individuels en matière de consentement et d’accès aux données sont renforcés
  • Les prestataires et sous-traitants (comme les services de Cloud) peuvent désormais être tenus responsables
  • Les entreprises ont l’obligation de communiquer clairement aux utilisateurs l’utilisation qui sera faite de leurs données et leurs droits à la modification ou l’effacement de celles-ci
  • Les utilisateurs devront pouvoir annuler facilement leur consentement et demander l’effacement de leurs données dans les meilleurs délais
  • Les entreprises devront mettre en place des mesures préventives de protection des données
  • Les entreprises devront informer les personnes concernées de toute fuite des données

En cas de non respect du dispositif, les entreprises pourront se voir infliger des amendes allant de 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Le texte de loi est disponible dans son intégralité ici.

Qui est concerné ?

Vous êtes concernés par le RGPD à partir du moment ou vous manipulez des données personnelles de citoyens européens, quelque soit le pays où votre société est basée.

De ce fait, les entreprises et personnes qui pratiquent l’emailing sont en première ligne, puisque les adresses email et toutes autres informations permettant d’identifier vos visiteurs sont considérées comme des données à caractère personnel.

En revanche, l’une des mesures du texte qui consiste à rendre obligatoire le recrutement d’un Data Protection Officer (DPO) n’est obligatoire que pour les entreprises :

  • Publiques
  • Ou dont le coeur d’activité est le suivi régulier et systématique des données
  • Ou dont le coeur d’activité est la gestion de données sensibles ou relatives à des infractions ou condamnations pénales
Et si vous preniez 2 minutes pour tester SendinBlue ?
SendinBlue est une solution email / SMS complète.
Gestion de vos contacts, édition des emails, envoi des campagnes, scénarios automatisés, etc.
Gratuit jusqu'à 9000 emails / mois.

Tester SendinBlue

Conséquences pour l’email marketing : des précisions sur le consentement

La principale disposition à retenir pour les email marketeurs est une définition plus exigeante du consentement des utilisateurs qui doit désormais être « librement donné » et se traduire sous la forme d’une « action positive ».

De plus, les entreprises ont à leur charge de pouvoir fournir une preuve de ce consentement, qui doit donc être tracé et archivé.

L’opt-out & opt-in passif désormais interdits

Opt-out : pratique consistant à inscrire d’office un utilisateur à une liste après une inscription à un service, en lui laissant la charge de se désinscrire.
Opt-in passif : pratique consistant à obtenir le consentement d’un internaute de manière détournée, le plus souvent en pré-cochant la case correspondant au souhait de recevoir des emails de la part de l’entreprise.
Opt-in : pratique consistant à laisser l’internaute exprimer librement son consentement par une action positive, généralement en cochant de lui-même une case correspondant au souhait de recevoir des emails de votre part.

Au vu de cette nouvelle définition du consentement, il sera désormais strictement interdit d’utiliser des adresses emails obtenues par opt-out ou par opt-in passif. Le consentement devra être demandé de manière explicite via la méthode de l’opt-in uniquement.

Seules les listes 100% opt-in seront utilisables légalement. Vous devrez également être en mesure de démontrer que vous avez bien obtenu le consentement de vos contacts :

Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

A noter que le RGPD prévoit 2 exceptions pour lesquelles l’obtention du consentement n’est pas obligatoire :

  • Pour les contacts B2B, c’est à dire des adresses email professionnelles et à condition que la prospection soit en rapport avec l’activité exercée par le destinataire
  • Pour vos clients existants, à condition que vos communications portent sur des produits ou services en rapport avec ce qu’ils ont déjà acheté précédemment

Le profilage doit être porté à la connaissance de l’utilisateur

Le profilage désigne le traitement automatisé des données personnelles afin d’évaluer, analyser ou prédire des caractéristiques d’un utilisateur.

La nouvelle législation prévoit notamment un droit à ne pas faire l’objet d’une décision automatisée basée sur le profilage : cette disposition pourrait concerner certains cas d’utilisation du Marketing Automation.

Rassurez-vous, cela ne veut pas dire que vous ne pourrez plus mettre en place de scénarios automatisés, mais que vous devrez :

  • En informer vos utilisateurs (via vos clauses de confidentialités, un bandeau d’avertissement…)
  • Leur donner la possibilité de sortir de s’y opposer (en traitant toutes les demandes que vous recevrez en ce sens)

Quelques conseils pour vous préparer à l’entrée en vigueur du RGPD

De nombreuses entreprises sont dans l’expectative quand au manque d’explications claires sur les moyens effectifs de mettre en application les principes du RGPD. L’un des points les plus obscurs est la matérialisation des preuves du consentement des utilisateurs, dont la forme n’a pas été précisée.

Pour l’heure, nous vous conseillons de mettre en place les actions suivantes :

Evaluer la comptabilité de vos listes de contact avec le RGPD

Vos listes de contacts actuelles sont-elles compatibles avec la nouvelle législation ?

Posez-vous 4 questions :

  1. Vos contacts B2C vous ont-ils donné leur autorisation explicite de leur envoyer des emails via un formulaire opt-in ?
  2. Cette autorisation est-elle distincte et spécifique à chaque usage que vous en faites ? Par exemple, si vous avez simplement demandé l’autorisation d’envoyer votre newsletter, elle n’est pas suffisante pour profiler vos utilisateurs dans le cadre d’un scénario de marketing automation.
  3. Êtes-vous en mesure de démontrer que vous avez obtenu le consentement explicite de vos contacts ?
  4. Les enfants de moins de 16 ans ne peuvent pas donner leur consentement, l’autorisation doit-être donnée par leurs parents : votre liste contient-elle des adresses de mineurs ?

Vous assurer que vous respectez les droits de vos utilisateurs

Vos procédures actuelles en matière d’accès des utilisateurs à leur données personnelles sont-elles à jour ? C’est peu probable.

Voici les principales actions que vous allez devoir mettre en place :

  1. Revoir vos clauses de confidentialité et les textes de vos formulaires opt-in pour vous assurer que vos utilisateurs soient informés de l’utilisation que vous faites de leur données
  2. Mettre en place une procédure (formulaire, page de contact, lien dans votre newsletter…) permettant à vos utilisateurs de demander une copie, une modification ou un effacement de leurs données
  3. Mettre en place une procédure permettant à vos utilisateurs de s’opposer à ce que leurs données servent au profilage ou à une prise de décision automatisée les concernant

Vous assurer que vos prestataires sont en conformité avec le RGPD

La nouvelle législation prévoit une responsabilité commune des entreprises et de leurs prestataires qui hébergent leurs données.

Pour éviter de vous faire sanctionner à cause d’un prestataire non conforme :

  1. Faites la listes de tous les prestataires et services Cloud qui hébergent vos données
  2. Demandez-leurs si ils sont conformes au RGPD
  3. Commencez à évaluer la concurrence de vos prestataires qui ne pourront pas être conformes au RGPD à temps

Ce qu’il faut retenir

 

  • Date d’entrée en vigueur : 25 mai 2018
  • L’opt-in devient la seule façon légale de recueillir l’autorisation de vos contacts pour utiliser leurs adresses emails
  • Le responsable de traitement doit tenir un registre des différentes catégories de personnes dont il traite les données et de la nature du traitement
  • Vous devrez mettre à jour vos clauses de confidentialité, textes de formulaires et prévoir des procédures permettant à vos contacts d’accéder à vos données pour vous mettre en conformité avec la loi

Cet article est le premier d’une série à venir sur les implications du RGPD et les bonnes pratiques à mettre en place pour s’y conformer. Il ne se veut pas exhaustif et nous vous encourageons à faire vos propres recherches sur les actions à prendre en fonction de votre activité et de la nature des données personnelles que vous traitez.

Inbound Marketing Manager @ SendinBlue. J’aime comprendre les besoins des utilisateurs pour redonner du sens et de la valeur aux contenus. J’aime aussi le skateboard, le vin de bourgogne et la musique classique.

Étiquettes :

10 Réponses à “Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?”

  1. Bonjour,

    L’utilisation d’un serveur smtp qui ne serait pas dans l’UE constitue-il un transfert de données hors UE?

    Lorsqu’on est utilisateur Français utilise-t-on des serveurs smtp sendinblue, en France?

    Merci

    • Bonjour Claire,

      En effet, le RGPD n’applique plus la distinction B2C / B2B. Par conséquent ce type d’inscription n’est plus valide !

      Bonne journée,

      Bulle

        • Bonjour Caroline, je tente d’apporter mon maigre éclairage pour éviter la confusion :
          La distinction B2B / B2C reconnue par le RGPD et mentionnée par la CNIL concerne le type d’adresse email du destinataire et non pas vos offres / services / le secteur dans lequel vous évoluez.
          Je m’explique : vous pouvez contacter une adresse de type [email protected]com dans le cadre d’un démarchage ciblé sans consentement préalable car il s’agit d’une adresse b2b.
          Mais même si vous vendez une solution B2B, ça ne vous donne pas le droit pour autant de récolter des adresses email via un formulaire opt-out ou opt-in passif (surtout dans la mesure ou votre formulaire ne vous fera pas récolter que des adresses professionnelles !)
          Bien à vous,
          Numa @ SendinBlue

  2. Vincent

    Bonjour,

    Question : comment archiver le consentement de la personne ?
    Aujourd’hui, je reçois une notification quand un nouvel utilisateur s’abonne à une newsletter. Mais même si dans le formulaire d’inscription, il y a une case à cocher obligatoire, comment récupérer ce choix ? Et qu’est-ce qui fait foi pour respecter le RGPD (mél ? document ?)

    Merci !

    • Bonjour Vincent,

      Nous travaillons actuellement sur une fonction qui vous permettra de conserver le consentement de vos contacts lors du remplissage de formulaire. Vous pouvez également configurer votre inscription en double opt-in à cet effet.

      Bonne journée,

      Bulle

Laisser une réponse

Essayez notre plan gratuit jusqu'à 300 emails par jour

Pas besoin de carte bancaire. Sans engagement.

Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?

Temps de lecture : 7 min