Comment assurer la conformité RGPD pour une newsletter ?

Lorsque vous récupérez les données de vos abonnés, leur consentement est essentiel dans le cadre des lois mises en place par l'Union européenne. Si ces mesures semblent être fastidieuses à mettre en place, il s'agit en réalité d'une formalité lorsque l'on sait comment s'y prendre.

Pour vous aider à protéger votre business et les données de vos clients, nous vous livrons dans cet article les choses à faire pour vous conformer aux normes RGPD (Règlement Général sur la Protection des Données).

Le point sur les obligations du RGPD en matière de newsletter

Comme vous le savez sûrement, vos outils analytiques utilisent les habitudes et le parcours de vos clients pour vous remonter des données que vous pourrez utiliser afin d'optimiser vos actions marketing. Il faut toutefois respecter certaines règles pour pouvoir le faire.

1. Recueillir le consentement de la personne

Pour pouvoir le faire en toute légalité, le RGPD prévoit que vous devez demander, au préalable, le consentement de la personne qui sera sujette à une récupération de ses actions pour améliorer votre newsletter. Pour cela, le consentement de la personne doit respecter 3 critères :

• Le consentement clair : la personne doit pouvoir donner son accord en ayant pleine connaissance des enjeux présentés. Vous devez être clair sur les données que vous allez récupérer et comment vous allez les utiliser.
• Le consentement éclairé : il fait suite au point précédent et vous demande de fournir à la personne un moyen de savoir avec exactitude comment vous allez collecter et utiliser ses données.
• Le consentement libre : vous ne devez pas exercer de pression quelconque sur la décision de votre client. Celui-ci ne doit également pas recevoir d'influence extérieure sur sa décision.

2. Faire preuve de transparence envers la personne

Vous devez informer autant que possible vos futurs abonnés sur la manière dont vous allez collecter et utiliser leurs données. Cette étape s'inscrit dans un objectif de transparence fixé par le RGPD. Vous devez notamment informer le lecteur de l'objectif pour lequel vous souhaitez utiliser leurs données.

Dans le cadre d'une activité commerciale, l'a réponse est généralement l'optique est très souvent de "proposer du contenu personnalisé pertinent". Vous devez aussi préciser le lieu où seront prélevées ces informations. Dans ce cas précis, vous devrez mentionner que des données seront récoltées lors de la lecture de votre newsletter par vos abonnés.

3. Une option de désinscription accessible et visible

Vos abonnés doivent pouvoir se désabonner à votre newsletter à tout moment. Selon le RGPD, cette option doit être facilement accessible et visible par la personne qui souhaite le faire.

Concrètement, cela se traduit par la présence d'un lien visible qui renvoi vers un formulaire de désinscription. Il doit être aisément identifiable, même si placé en bas de votre newsletter.

Enfin, le processus de désinscription se doit d'être simple et rapide. Nous vous déconseillons fortement de rendre votre processus de désinscription laborieux, car cela ne serait pas conforme aux normes RGPD. En général, un processus de désinscription idéal ne nécessite que 1 ou 2 clics au maximum. Cette désinscription doit automatiquement entraîner la suppression des informations de la personne de vos bases de données.

4. Un contrôle total de la personne sur ses données

Vos abonnés ont un droit de regard sur leurs données. Ils peuvent alors visionner les données que vous possédez, les corriger ou les supprimer. Pour cela, vous devez, là aussi, rendre ces éventuelles démarches accessibles auprès de vos abonnés.

Vous pouvez par exemple les informer que l'accès et la personnalisation de leurs données est accessible via :

• Une demande par mail.
• Un formulaire en ligne à remplir.
• Un logiciel RGPD qui permet la gestion des demandes de vos clients.

La preuve de consentement : un essentiel pour votre entreprise

La preuve de consentement est l'objectif final de toutes ces mesures. En effet, votre entreprise doit consigner la preuve du consentement de vos abonnés dans une base de données que vous pourrez présenter en cas de besoin. On l'appelle alors "Registre des consentements" et il doit être présenté de la façon suivante :

• Il doit comporter le nom et les coordonnées de votre organisme.
• Les finalités du traitement, c'est-à-dire l'objectif en vue duquel vous avez collecté ces données.
• Les catégories de personnes concernées (ex : client, prospect, employé, etc).
• Les catégories de données personnelles (identité, sexe, lieu de résidence, etc).
• Les transferts de données.
• Les délais prévus en cas d'effacement des données.
• Une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en oeuvre.

Pour en savoir plus, nous vous recommandons de visiter le site web de la CNIL pour connaître toutes les informations relatives à ce sujet.

Pour ce qui est de la forme, le Registre des consentements prendra une forme écrite avec un format libre. Le format Excel sera le plus logique pour une consignation de ce genre de données.

Vous pourrez être amené à fournir ce registre auprès de la CNIL lorsque celle-ci le demande. Pour les entreprises privées, vous n'êtes pas tenu de communiquer le registre au grand public même si une personne en fait la demande.

Si toutes ces obligations vous semblent complexes à mettre en place, sachez que les outils modernes facilitent grandement ce travail. Que ce soit des CMS comme Shopify ou WordPress, ou bien des logiciels RGPD comme Dastra et PIA (logiciel open source de la CNIL), vous arriverez rapidement à vous conformer à ces règles sans y passer des heures.

• Vos clients doivent donner leur consentement éclairé sur le traitement de leurs données.
• Qu'ils doivent pouvoir les gérer comme bon leur semble.
• Que vous devez pouvoir fournir une preuve des consentements auprès de la CNIL.