RGPD et Newsletters

Aujourd'hui, dans une stratégie marketing, l'envoi de newsletters pour informer vos abonnés et l'envoi de mails promotionnels sur vos produits ou services sont indispensables. Leur point commun  ? Ces deux techniques d'e-mailing doivent respecter le RGPD. En quoi cela consiste concrètement et quelles sont les obligations légales que vous devez respecter pour être en conformité avec la loi  ? On vous explique tout.

La protection des données personnelles : ce que vous devez savoir

Quelles sont les obligations relatives au RGPD ? Comment cela peut-il impacter votre entreprise si vous ne respectez pas la législation  ?

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est un texte européen de référence entré en vigueur le 25 mai 2018. Il concerne toutes les entreprises privées et les administrations publiques (tous secteurs et toutes tailles confondus), qui recueillent les données personnelles des internautes sur le territoire européen. Ce règlement permet d'encadrer l'utilisation des données personnelles recueillies et d'éviter les abus. Les structures privées et publiques européennes doivent respecter certaines obligations lors des inscriptions des utilisateurs à leurs newsletters. Le RGPD s'applique aussi à celles qui sont situées hors d'Europe, mais qui s'adressent aux citoyens européens, ainsi qu'aux sous-traitants qui récoltent des données pour le compte d'une autre entreprise.

Qu'est-ce qu'une donnée personnelle ?

Selon la CNIL, une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il s'agit de ce qui permet d'identifier une personne, de manière directe ou indirecte : son nom, son prénom, son adresse, son CV, son adresse IP, sa photo, son n° client, son identifiant…

Non-conformité au RGPD : quelles conséquences ?

Le non-respect de la législation relative au RGPD peut avoir des conséquences importantes. Les entreprises qui ne la respecteraient pas s'exposent à de lourdes amendes : de 2 à 4 % de leur chiffre d'affaires avec un plafonnement à 20 millions d'euros, pour les cas les plus graves. De plus, ne pas respecter le RGPD peut ternir leur réputation et la qualité de leur relation avec leur clientèle.

RGPD et newsletter : les obligations

Les entreprises ou les administrations qui utilisent les newsletters pour communiquer avec leurs contacts ou fidéliser leurs clients doivent au préalable :

  • Obtenir le consentement explicite de la personne à qui elles souhaitent envoyer leur newsletter et pouvoir le prouver (via un module d'inscription et une case à cocher par l'utilisateur, du type « vous acceptez de recevoir nos newsletters »).
  • Obtenir une double confirmation d'autorisation (envoi d'un mail lors de l'inscription. L'abonné doit ensuite le valider. L'abonnement est effectif uniquement quand il est validé via ce mail). C'est aussi pour l'entreprise une preuve du consentement de l'abonné.
  • Rendre le désabonnement possible à chaque envoi de newsletter et indiquer comment faire.
  • Garantir le respect des droits des abonnés : droit à l'information, droit à l'oubli, droit à la rectification, droit d'opposition, droit d'accès, droit à la portabilité.

Les pratiques interdites par le RGPD en matière d'e-mailing

Le règlement interdit les pratiques suivantes :

  • Pré-cocher une case (opt-in passif) dans un formulaire d'inscription à une newsletter ;
  • Faire un abonnement par défaut de l'utilisateur, suite à son inscription à un service et le laisser se désinscrire lui-même (opt-out).

RGPD et prospection commerciale : comment faire ?

La mise en place du RGPD ne change pas les règles pour l'envoi de mails de prospection, tant pour les particuliers que pour les professionnels, dès lors que le consentement a été donné au préalable. Pour la prospection par mail, les règles dépendent de la directive e-Privacy (article L.34-5 du Code des Postes et des communications électroniques, consultable sur le site legifrance.gouv.fr).

RGPD et B2C : quels principes ?

Un particulier doit donner son accord au préalable pour recevoir des mails de prospection commerciale. Il existe deux exceptions :

  • si la personne est déjà cliente de l'entreprise qui lui envoie un mail et que cela concerne des produits ou services qu'elle a déjà achetés ;
  • si le mail n'a pas un caractère commercial (il peut être caritatif par exemple).

Toutefois dans tous les cas, la personne doit être informée lors du recueil de son adresse mail que celle-ci peut être exploitée à des fins de prospection. Elle doit aussi pouvoir s'y opposer à tout moment.

RGPD et B2B : quelles sont les règles ?

En ce qui concerne les professionnels, l'envoi de mails de prospection commerciale est aussi fondé sur le principe de l'information préalable et du droit d'opposition. Il est autorisé seulement si :

  • La personne a donné son accord lors de l'inscription.
  • La personne peut s'opposer facilement à l'utilisation de son adresse mail.

De plus, le contenu du mail de prospection doit être en rapport avec la profession du destinataire (par exemple, un « mail RGPD friendly » fera la promotion d'un logiciel de comptabilité envoyé à un expert-comptable). Enfin, autre exception pour les adresses de messageries professionnelles telles que « info@nomentreprise.fr ou contact@nomentreprise.fr ». Ces adresses mail sont considérées comme des personnes morales, elles ne sont donc pas soumises aux mêmes obligations en matière de consentement et de droit à l'opposition. En résumé, les entreprises qui pratiquent la prospection commerciale par mail doivent respecter ces deux principes :

  • pouvoir être identifié clairement ;
  • permettre l'opposition et la désinscription de manière simple.

Toute entreprise qui ne respecte pas ces règles s'expose à des sanctions de la part de la CNIL. (Sources : cnil.fr)

E-mailing et RGPD : comment être en conformité avec le règlement ?

À ce stade, vous vous demandez certainement comment faire pour respecter ces obligations ? Voici les 4 étapes incontournables.

1 - Avoir le consentement de vos abonnés et pouvoir le prouver

Selon l'article 4 du RGPD, le consentement de l'utilisateur doit être « libre, spécifique, éclairé et univoque ». Vous devez donc être en mesure de prouver que vous avez bien obtenu le consentement de vos abonnés de manière libre et volontaire. Pour être en conformité avec le RGPD, il vous sera demandé d'avoir une base de données qui inclue la date, le type de données personnelles collectées ainsi que la validation de votre abonné. Pour vous en assurer, il est conseillé de réaliser un audit de votre base de données et si nécessaire de la requalifier en envoyant un e-mailing à vos abonnés en leur demandant s'ils souhaitent toujours recevoir vos newsletters ou mails de promotion.

2 - Informer les utilisateurs du traitement de chaque donnée

Vous devez obligatoirement informer les internautes sur :

  • les données qui sont collectées : nom, prénom, adresse, âge, mail, téléphone… ;
  • l'objectif de la collecte : inscription à la newsletter, recevoir des offres promotionnelles… ;
  • les démarches à faire pour : se désinscrire, demander le droit à l'oubli ou effacer leurs données personnelles ;
  • l'accès aux données personnelles en interne ou par les partenaires commerciaux ;
  • la durée de conservation des données personnelles ;
  • les moyens mis en place pour sécuriser ces données.

3 - Insérer des mentions pour obtenir le consentement de l'utilisateur

Pour respecter le RGPD, il est impératif de pouvoir justifier du consentement de l'utilisateur. Vous devez donc l'informer de manière explicite sur l'utilisation qui sera faite de ses données personnelles. Pour cela, vous devez insérer dans vos modules d'inscription à votre newsletter ou mails promotionnels des mentions claires et rédigées de manière simple et sans équivoque. Par exemple, « vous acceptez de recevoir la newsletter hebdomadaire de notre société… » et « vous acceptez de recevoir des offres promotionnelles sur nos produits et nos prestations ».

4 - Obligation de protection des données personnelles

Le RGPD rend obligatoire la sécurisation des données personnelles récoltées par vos soins, via une inscription à une newsletter. La CNIL pourra vous demander de prouver et de justifier la sécurité des données. En cas de vol ou d'intrusion sur vos serveurs, vous devez le signaler à la CNIL dans un délai de 72 h et informer vos abonnés des risques encourus.

Vous savez maintenant l'essentiel pour être en conformité avec le RGPD et pour pouvoir vous justifier auprès de la CNIL en cas de contrôle. Notez que les obligations relatives au RGPD ne s'appliquent pas seulement aux données collectées après son entrée en vigueur. En effet, le RGPD concerne également les données personnelles collectées avant sa date d'application (25 mai 2018).

Avez-vous mis en place toutes les mesures nécessaires pour respecter les obligations imposées  ? Il en va de votre responsabilité de vous en assurer.