Le RGPD arrive en 2018 : quelles conséquences pour vos pratiques emailing ?

Si vous pratiquez l’email marketing, vous êtes directement concerné par le nouvelle loi européenne sur la protection des données qui entrera en vigueur en 2018. Retour sur les conséquences de cette nouvelle législation et sur la meilleure façon de s’y préparer. 

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans les 28 pays de l’Union Européenne à compter du 25 mai 2018. Elle concerne toutes les entreprises qui manipulent de près ou de loin les données personnelles de leurs utilisateurs.

De nombreux marketeurs, blogueurs et e-commerçants ignorent encore les conséquences de ce texte qui définit des amendes particulièrement élevées contre les organismes qui ne respecteraient pas ces nouvelles dispositions.

D’autres sont conscients des risques, mais sont totalement démunis face à l’absence d’explications claire sur les mesures à prendre pour se mettre en conformité avec la loi.

Dans cet article, on fait le point sur ce qu’il faut retenir du RGPD :

• Son champ d’application
• Ses conséquences concrètes sur la pratique de l’emailing
• La marche à suivre pour s’y préparer

Le RGPD, c’est quoi ?

Le RGPD est la nouvelle loi de référence européenne en matière de protection des données à caractère personnel.

Dans la nouvelle législation, le terme « donnée personnelle » désigne toute donnée relative à une personne physique identifiée ou pouvant être identifiée directement ou indirectement grâce à cette donnée. L’adresse email, l’activité professionnelle, l’âge, le sexe d’une personne physique sont donc des données personnelles.

Elle définit de nouveaux droits aux personnes dont les données sont traitées et de nouveaux devoirs pour les responsables du traitement de ces données.

Voici les quelques grands principes à retenir :

• La définition des données personnelles est élargie à tout ce qui peut permettre d’identifier un individu
• Les droits individuels en matière de consentement et d’accès aux données sont renforcés
• Les prestataires et sous-traitants (comme les services de Cloud) peuvent désormais être tenus responsables
• Les entreprises ont l’obligation de communiquer clairement aux utilisateurs l’utilisation qui sera faite de leurs données et leurs droits à la modification ou l’effacement de celles-ci
• Les utilisateurs devront pouvoir annuler facilement leur consentement et demander l’effacement de leurs données dans les meilleurs délais
• Les entreprises devront mettre en place des mesures préventives de protection des données
• Les entreprises devront informer les personnes concernées de toute fuite des données

En cas de non respect du dispositif, les entreprises pourront se voir infliger des amendes allant de 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Le texte de loi est disponible dans son intégralité ici.

Qui est concerné ?

Vous êtes concernés par le RGPD à partir du moment ou vous manipulez des données personnelles de citoyens européens, quelque soit le pays où votre société est basée.

De ce fait, les entreprises et personnes qui pratiquent l’emailing sont en première ligne, puisque les adresses email et toutes autres informations permettant d’identifier vos visiteurs sont considérées comme des données à caractère personnel.

En revanche, l’une des mesures du texte qui consiste à rendre obligatoire le recrutement d’un Data Protection Officer (DPO) n’est obligatoire que pour les entreprises :

• Publiques
• Ou dont le coeur d’activité est le suivi régulier et systématique des données
• Ou dont le coeur d’activité est la gestion de données sensibles ou relatives à des infractions ou condamnations pénales

Conséquences pour l’email marketing : des précisions sur le consentement

La principale disposition à retenir pour les email marketeurs est une définition plus exigeante du consentement des utilisateurs qui doit désormais être « librement donné » et se traduire sous la forme d’une « action positive ».

De plus, les entreprises ont à leur charge de pouvoir fournir une preuve de ce consentement, qui doit donc être tracé et archivé.

L’opt-out & opt-in passif désormais interdits

Opt-out : pratique consistant à inscrire d’office un utilisateur à une liste après une inscription à un service, en lui laissant la charge de se désinscrire.
Opt-in passif : pratique consistant à obtenir le consentement d’un internaute de manière détournée, le plus souvent en pré-cochant la case correspondant au souhait de recevoir des emails de la part de l’entreprise.
Opt-in : pratique consistant à laisser l’internaute exprimer librement son consentement par une action positive, généralement en cochant de lui-même une case correspondant au souhait de recevoir des emails de votre part.

Au vu de cette nouvelle définition du consentement, il sera désormais strictement interdit d’utiliser des adresses emails obtenues par opt-out ou par opt-in passif. Le consentement devra être demandé de manière explicite via la méthode de l’opt-in uniquement.

Seules les listes 100% opt-in seront utilisables légalement. Vous devrez également être en mesure de démontrer que vous avez bien obtenu le consentement de vos contacts :

Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

A noter que le RGPD prévoit 2 exceptions pour lesquelles l’obtention du consentement n’est pas obligatoire :

• Pour les contacts B2B, c’est à dire des adresses email professionnelles et à condition que la prospection soit en rapport avec l’activité exercée par le destinataire
• Pour vos clients existants, à condition que vos communications portent sur des produits ou services en rapport avec ce qu’ils ont déjà acheté précédemment

Le profilage doit être porté à la connaissance de l’utilisateur

Le profilage désigne le traitement automatisé des données personnelles afin d’évaluer, analyser ou prédire des caractéristiques d’un utilisateur.

La nouvelle législation prévoit notamment un droit à ne pas faire l’objet d’une décision automatisée basée sur le profilage : cette disposition pourrait concerner certains cas d’utilisation du Marketing Automation.

Rassurez-vous, cela ne veut pas dire que vous ne pourrez plus mettre en place de scénarios automatisés, mais que vous devrez :

• En informer vos utilisateurs (via vos clauses de confidentialités, un bandeau d’avertissement…)
• Leur donner la possibilité de sortir de s’y opposer (en traitant toutes les demandes que vous recevrez en ce sens)

Quelques conseils pour vous préparer à l’entrée en vigueur du RGPD

De nombreuses entreprises sont dans l’expectative quand au manque d’explications claires sur les moyens effectifs de mettre en application les principes du RGPD. L’un des points les plus obscurs est la matérialisation des preuves du consentement des utilisateurs, dont la forme n’a pas été précisée.

Pour l’heure, nous vous conseillons de mettre en place les actions suivantes :

Evaluer la comptabilité de vos listes de contact avec le RGPD

Vos listes de contacts actuelles sont-elles compatibles avec la nouvelle législation ?

Posez-vous 4 questions :

1. Vos contacts B2C vous ont-ils donné leur autorisation explicite de leur envoyer des emails via un formulaire opt-in ?
2. Cette autorisation est-elle distincte et spécifique à chaque usage que vous en faites ? Par exemple, si vous avez simplement demandé l’autorisation d’envoyer votre newsletter, elle n’est pas suffisante pour profiler vos utilisateurs dans le cadre d’un scénario de marketing automation.
3. Êtes-vous en mesure de démontrer que vous avez obtenu le consentement explicite de vos contacts ?
4. Les enfants de moins de 16 ans ne peuvent pas donner leur consentement, l’autorisation doit-être donnée par leurs parents : votre liste contient-elle des adresses de mineurs ?

Vous assurer que vous respectez les droits de vos utilisateurs

Vos procédures actuelles en matière d’accès des utilisateurs à leur données personnelles sont-elles à jour ? C’est peu probable.

Voici les principales actions que vous allez devoir mettre en place :

1. Revoir vos clauses de confidentialité et les textes de vos formulaires opt-in pour vous assurer que vos utilisateurs soient informés de l’utilisation que vous faites de leur données
2. Mettre en place une procédure (formulaire, page de contact, lien dans votre newsletter…) permettant à vos utilisateurs de demander une copie, une modification ou un effacement de leurs données
3. Mettre en place une procédure permettant à vos utilisateurs de s’opposer à ce que leurs données servent au profilage ou à une prise de décision automatisée les concernant

Vous assurer que vos prestataires sont en conformité avec le RGPD

La nouvelle législation prévoit une responsabilité commune des entreprises et de leurs prestataires qui hébergent leurs données.

Pour éviter de vous faire sanctionner à cause d’un prestataire non conforme :

1. Faites la listes de tous les prestataires et services Cloud qui hébergent vos données
2. Demandez-leurs si ils sont conformes au RGPD
3. Commencez à évaluer la concurrence de vos prestataires qui ne pourront pas être conformes au RGPD à temps

Cet article est le premier d’une série à venir sur les implications du RGPD et les bonnes pratiques à mettre en place pour s’y conformer. Il ne se veut pas exhaustif et nous vous encourageons à faire vos propres recherches sur les actions à prendre en fonction de votre activité et de la nature des données personnelles que vous traitez.