Comme la plupart des entreprises, vous utilisez probablement l’email marketing dans votre stratégie de communication. Le RGPD ne vous est donc pas inconnu. Et pour cause, ce texte a fait couler beaucoup d’encre depuis l’année dernière. La mise en conformité à ce règlement européen a monopolisé de nombreuses ressources dans toutes les entreprises et a notablement modifié le monde de la communication marketing. L’entrée en vigueur du RGPD le 25 mai 2018 s’est révélé être une véritable prise de conscience générale sur la nécessité de créer un encadrement légal au traitement des données à caractère personnel. En à peine plus d’un an, ce texte s’est imposé comme un standard international en matière de protection des données. Revenons sur les objectifs et grands principes RGPD et dressons un bilan de cette première année et des évolutions à venir en matière de protection des données et de confidentialité en email marketing.

Retour sur les objectifs du RGPD

“Un des principaux objectifs du RGPD est de donner aux citoyens le pouvoir d’agir et de mieux contrôler une des ressources les plus précieuses de l’économie moderne : leurs données « , déclare la Commission européenne dans un communiqué.

Au vu de la quantité de données générées et des récentes évolutions technologiques, il apparaissait nécessaire de créer un texte de loi qui serve de référence pour mettre en place un cadre renforcé et harmonisé de la protection des données au sein de l’Union Européenne. Les trois principaux objectifs du RGPD sont de :

• Renforcer le droit de personnes : information sur la finalité du traitement, droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit à la portabilité, droit d’opposition…
• Responsabiliser et sensibiliser les acteurs traitant des données à caractère personnel
• Crédibiliser la régulation du traitement des données

Les grands principes du RGPD

Privacy by design

Le privacy by design and by default (ou encore “protection des données dès la conception et sécurité par défaut”) est la nécessité d’intégrer de manière systématique les mesures nécessaires à la protection des données personnelles lors de la création d’un produit ou d’un service comme par exemple :

• L’utilisation des données personnelles uniquement pour les finalités pour lesquelles elle ont été collectées ;
• Les données personnelles minimisées aux seules nécessaires et conservées pour une durée définie ;
• Assurer la sécurité des données en limitant l’accès aux seules personnes habilitées
• Prévoir la prise en compte et le respect des droits des personnes (information, opposition, accès, rectification, suppression, limitation…)

En tant qu’acteur de la création d’un produit ou d’un service, quelle qu’en soit l’étape, vous êtes donc concerné par ce principe.

Principe d’accountability

Les responsables de traitement des données personnelles et les sous-traitants doivent tout à la fois mettre en œuvre les processus permettant la protection des données personnelles, et dans le même temps être en capacité perpétuelle de fournir la preuve de leur conformité au règlement européen (en d’autres termes, pouvoir tracer en permanence l’efficacité de ces processus par de la documentation et des mesures internes).

Focus sur le consentement, élément clé en email marketing

Le RGPD rappelle que le consentement est l’une des justifications légales sur lesquelles peut s’appuyer le traitement des données et renforce les conditions applicables lorsqu’un traitement de données repose sur le consentement. En pratique, lorsque le consentement est exigé ou lorsque vous choisissez de justifier le traitement des données par le biais du consentement, vous devez obtenir un consentement valide. Voici ce que cela signifie concrètement :

• Vous devez obtenir une déclaration ou acte positif clair et univoque de la personne
• Le consentement doit être éclairé, libre et spécifique
• La personne concernée doit pouvoir retirer son consentement à tout moment et facilement
• Vous devez conserver la preuve du consentement obtenu

Bilan et nouveautés 2019

Une prise de conscience générale

Le RGPD a fait beaucoup parler de lui en 2018 et a permis de sensibiliser autant les particuliers que les entreprises à la notion de protection des données personnelles. Cette sensibilisation se traduit notamment par une augmentation notable du nombre de plaintes. Plus de 11 000 plaintes ont été adressées à la CNIL en 2018, soit une hausse de 32,5 %. L’impact de l’entrée en vigueur du RGPD rayonne au-delà même des frontières de l’Europe puisqu’il concerne non seulement les particuliers, entreprises et organismes au sein de l’UE mais aussi toutes organisations hors Europe qui traitent des données personnelles de citoyens européens. La dénomination d’environ 17 000 délégués à la protection des données (DPO) agissant pour environ 51 000 organismes français démontre une fois encore l’ampleur de la prise de conscience en France.

Les actions d’accompagnement proposées par la CNIL

Le principe d’accountability ou responsabilisation est un des grands changements arrivés avec le RGPD. Chacun doit réussir à atteindre et gérer sa conformité et doit être en mesure d’en fournir la preuve. La CNIL est devenue un acteur de référence dans le conseil et la mise en conformité au RGPD. L’organisme a dû faire preuve de beaucoup de pédagogie et a développé de nombreuses actions d’accompagnement.

La fin d’une période de transition

Après une certaine forme de patience et de tolérance, la CNIL entend maintenant passer à la vitesse supérieure et renforcer les contrôles et les sanctions pour inciter les entreprises à se mettre rapidement en conformité avec les textes. Consciente des problématiques propres à certaines branches, la CNIL continue à se montrer pédagogue en accompagnant et conseillant les entreprises et organisations qui en ont besoin.

RGPD et ePrivacy : quelles sont les différences ?

Si le RGPD a fait beaucoup parlé de lui depuis mai 2018, un autre règlement vient heurter les oreilles des entreprises : ePrivacy. Bien souvent confondu avec le RGPD, la différence entre ces deux règlements réside principalement dans leur périmètre d’action. Le RGPD encadre le traitement des données à caractère personnel collectées en ligne ou hors ligne, alors que le règlement ePrivacy encadre les échanges d’information qui transitent au sein des fournisseurs de services électroniques et qui permettent notamment le ciblage publicitaire en fonction du comportement des internautes.

La CNIL a d’ailleurs publié ses lignes directrices liées au fonctionnement des cookies, en anticipant l’évolution de la directive e-privacy. Les entreprises ont 6 mois pour se mettre en conformité sur ce sujet, pour intégrer les nouvelles règles. Les questionnements des acteurs du secteur du marketing en ligne portent sur deux sujets centraux : la prospection commerciale, opt-in partenaire, et les cookies et autres traceurs). Plus d’informations à ce sujet sont disponibles sur le site de la CNIL.

Quelques conseils pour se conformer au RGPD en email marketing en 2019

Informez vos contacts sur la finalité du traitement de leurs données

Veillez à informer vos contacts du but précis pour lequel leurs données seront collectées et utilisées. Cet objectif doit être clair, compréhensible et compatible avec les missions de votre organisme. Vous devez bien entendu respecter cette finalité par la suite. C’est également la finalité qui permet de déterminer la pertinence des données collectées. Seules les données qui servent à atteindre votre objectif sont autorisées. Et enfin, la finalité permet de fixer la durée de conservation des données. Veillez également à rendre publique votre politique en matière de traitement de données, par exemple, dans vos conditions générales, vos mentions légales, votre politique de confidentialité, etc.

Opt-in, double opt-in, opt-out : qu’en est-il avec le RGPD ?

Contrairement à certaines idées reçues, le double opt-in n’est pas une obligation dans tous les pays pour être conforme au RGPD. En France, les règles en matière de consentement diffèrent selon le type de prospection, Btoc ou BtoB. L’opt-in simple y est donc possible dans certains cas bien définis. Dans les autres pays, les règles peuvent varier selon les autres textes en vigueur.

Quoi qu’il en soit, si la base légale du traitement est le consentement, utilisez le double opt-in… La procédure de double opt-in a pour but d’une part de protéger l’utilisateur contre le spam et d’autre part d’offrir une sécurité juridique aux expéditeurs en leur fournissant une preuve réelle et datée du consentement actif de l’utilisateur à recevoir ses communications. Concrètement, il s’agit d’une processus d’inscription en deux étapes. Dans un premier temps, l’intéressé s’inscrit à une newsletter en remplissant un formulaire. Une fois le formulaire validé, il reçoit un email de confirmation d’inscription. Son inscription ne sera validée qu’une fois qu’il aura cliqué sur le lien de confirmation.

Assurez-vous d’informer clairement le lecteur de la finalité du traitement de ses données et sur les droits dont il dispose. N’envoyez d’emails qu’à des contacts dont vous avez le consentement explicite et dont vous avez la preuve. N’utilisez pas de cases pré-cochées pour recueillir le consentement de vos futurs abonnés. Et enfin, surtout, gardez la preuve du consentement de vos contacts.

Assurez-vous que votre prestataire emailing respecte les règles du RGPD

Vous envoyez vos campagnes via une solution professionnelle d’emailing. Il est de votre rôle de veiller à ce que votre prestataire respecte les normes imposées par le RGPD. Pour vous assurer de la conformité de votre sous-traitant, demandez-leur un accord de sous-traitance ou de traitement des données. L’analyse de son contenu, l’obtention de la liste des sous-traitants ultérieurs et des mesures techniques et organisationnelles en place garantissant la bonne protection des données personnelles vous permettront de vous assurer de la conformité de vos sous-traitants. Vous pouvez retrouver toutes ces informations pour Sarbacane via ce lien.

Facilitez la désinscription

Le droit d’opposition tient une place importante dans les points clés du RGPD. Veillez à inclure un lien de désinscription dans toutes vos communications et à le rendre suffisamment visible pour vos lecteurs. Un lien de désabonnement que vous tenteriez de cacher dans votre message risque de pousser vos contacts à signaler votre campagne emailing comme SPAM ou qu’une plainte ne soit déposée à l’encontre de votre organisme auprès de la CNIL. Pouvoir retirer son consentement de manière simple et gratuite est un droit absolument nécessaire. Au-delà du lien de désinscription, il existe d’autres moyens pour retirer son consentement comme par exemple demander au responsable de traitement, l’expéditeur, de prendre en compte la demande par courrier. Dans tous les cas, un moyen simple de s’opposer doit être disponible.

Mettez à jour votre liste de contacts régulièrement

Nettoyer régulièrement votre base de données vous aide à respecter l’engagement de durée de conservation des données. En effet, si une durée de conservation est précisée dans la politique de traitement ou les mentions d’informations associées aux formulaires de collecte, il faut absolument que celle-ci soit respectée.

Enfin un dernier conseil, restez informé !

Les directives sur le traitement des données à caractère personnelle et la protection de la vie privée, sont amenées à évoluer. Il est fortement recommandé de s’informer régulièrement et activement sur les nouvelles règlementations en vigueur auprès des organismes compétents. La CNIL a d’ores et déjà a publié sa stratégie de contrôle pour 2019 mais aussi son plan d’action pour 2019-2020.