Aujourd'hui, dans une stratégie marketing, l'envoi de newsletters pour informer vos abonnés et l'envoi de mails promotionnels sur vos produits ou services sont indispensables. Leur point commun ? Ces deux techniques d'e-mailing doivent respecter le RGPD. En quoi cela consiste concrètement et quelles sont les obligations légales que vous devez respecter pour être en conformité avec la loi ? On vous explique tout.
La protection des données personnelles : ce que vous devez savoir
Quelles sont les obligations relatives au RGPD ? Comment cela peut-il impacter votre entreprise si vous ne respectez pas la législation ?
Le Règlement Général sur la Protection des Données (RGPD) est un texte européen de référence entré en vigueur le 25 mai 2018. Il concerne toutes les entreprises privées et les administrations publiques (tous secteurs et toutes tailles confondus), qui recueillent les données personnelles des internautes sur le territoire européen. Ce règlement permet d'encadrer l'utilisation des données personnelles recueillies et d'éviter les abus. Les structures privées et publiques européennes doivent respecter certaines obligations lors des inscriptions des utilisateurs à leurs newsletters. Le RGPD s'applique aussi à celles qui sont situées hors d'Europe, mais qui s'adressent aux citoyens européens, ainsi qu'aux sous-traitants qui récoltent des données pour le compte d'une autre entreprise.
Selon la CNIL, une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il s'agit de ce qui permet d'identifier une personne, de manière directe ou indirecte : son nom, son prénom, son adresse, son CV, son adresse IP, sa photo, son n° client, son identifiant…
Le non-respect de la législation relative au RGPD peut avoir des conséquences importantes. Les entreprises qui ne la respecteraient pas s'exposent à de lourdes amendes : de 2 à 4 % de leur chiffre d'affaires avec un plafonnement à 20 millions d'euros, pour les cas les plus graves. De plus, ne pas respecter le RGPD peut ternir leur réputation et la qualité de leur relation avec leur clientèle.
Les entreprises ou les administrations qui utilisent les newsletters pour communiquer avec leurs contacts ou fidéliser leurs clients doivent au préalable :
Le règlement interdit les pratiques suivantes :
La mise en place du RGPD ne change pas les règles pour l'envoi de mails de prospection, tant pour les particuliers que pour les professionnels, dès lors que le consentement a été donné au préalable. Pour la prospection par mail, les règles dépendent de la directive e-Privacy (article L.34-5 du Code des Postes et des communications électroniques, consultable sur le site legifrance.gouv.fr).
Un particulier doit donner son accord au préalable pour recevoir des mails de prospection commerciale. Il existe deux exceptions :
Toutefois dans tous les cas, la personne doit être informée lors du recueil de son adresse mail que celle-ci peut être exploitée à des fins de prospection. Elle doit aussi pouvoir s'y opposer à tout moment.
En ce qui concerne les professionnels, l'envoi de mails de prospection commerciale est aussi fondé sur le principe de l'information préalable et du droit d'opposition. Il est autorisé seulement si :
De plus, le contenu du mail de prospection doit être en rapport avec la profession du destinataire (par exemple, un « mail RGPD friendly » fera la promotion d'un logiciel de comptabilité envoyé à un expert-comptable). Enfin, autre exception pour les adresses de messageries professionnelles telles que « [email protected] ou [email protected] ». Ces adresses mail sont considérées comme des personnes morales, elles ne sont donc pas soumises aux mêmes obligations en matière de consentement et de droit à l'opposition. En résumé, les entreprises qui pratiquent la prospection commerciale par mail doivent respecter ces deux principes :
Toute entreprise qui ne respecte pas ces règles s'expose à des sanctions de la part de la CNIL. (Sources : cnil.fr)
À ce stade, vous vous demandez certainement comment faire pour respecter ces obligations ? Voici les 4 étapes incontournables.
Selon l'article 4 du RGPD, le consentement de l'utilisateur doit être « libre, spécifique, éclairé et univoque ». Vous devez donc être en mesure de prouver que vous avez bien obtenu le consentement de vos abonnés de manière libre et volontaire. Pour être en conformité avec le RGPD, il vous sera demandé d'avoir une base de données qui inclue la date, le type de données personnelles collectées ainsi que la validation de votre abonné. Pour vous en assurer, il est conseillé de réaliser un audit de votre base de données et si nécessaire de la requalifier en envoyant un e-mailing à vos abonnés en leur demandant s'ils souhaitent toujours recevoir vos newsletters ou mails de promotion.
Vous devez obligatoirement informer les internautes sur :
Pour respecter le RGPD, il est impératif de pouvoir justifier du consentement de l'utilisateur. Vous devez donc l'informer de manière explicite sur l'utilisation qui sera faite de ses données personnelles. Pour cela, vous devez insérer dans vos modules d'inscription à votre newsletter ou mails promotionnels des mentions claires et rédigées de manière simple et sans équivoque. Par exemple, « vous acceptez de recevoir la newsletter hebdomadaire de notre société… » et « vous acceptez de recevoir des offres promotionnelles sur nos produits et nos prestations ».
Le RGPD rend obligatoire la sécurisation des données personnelles récoltées par vos soins, via une inscription à une newsletter. La CNIL pourra vous demander de prouver et de justifier la sécurité des données. En cas de vol ou d'intrusion sur vos serveurs, vous devez le signaler à la CNIL dans un délai de 72 h et informer vos abonnés des risques encourus.
Vous savez maintenant l'essentiel pour être en conformité avec le RGPD et pour pouvoir vous justifier auprès de la CNIL en cas de contrôle. Notez que les obligations relatives au RGPD ne s'appliquent pas seulement aux données collectées après son entrée en vigueur. En effet, le RGPD concerne également les données personnelles collectées avant sa date d'application (25 mai 2018).
Avez-vous mis en place toutes les mesures nécessaires pour respecter les obligations imposées ? Il en va de votre responsabilité de vous en assurer.