Votre choix concernant les cookies sur ce site

Les cookies sont indispensables au bon fonctionnement de nos sites.
Nous les utilisons afin d'améliorer votre expérience utilisateur, et en particulier de sauvegarder vos identifiants tout en assurant la confidentialité de vos données, de réaliser des statistiques afin d'optimiser les fonctionnalités de notre site et vous proposer du contenu toujours plus pertinent. Cliquez sur 'Accepter et Continuer' pour accepter le fonctionnement de nos cookies et poursuivre votre navigation ou sur 'En savoir plus' afin d'accéder au détail des types de cookies et choisir de désactiver certains d'entre eux pendant votre navigation. En savoir plus

  • Service Clients keyboard_arrow_down
0805 280 201 Appel gratuit
done Votre adresse a bien été enregistrée
close
error_outline Email invalide
close
Essayer gratuitement

Blog Sarbacane

Le blog de l'actualité marketing : retrouvez conseils, bonnes pratiques et nouveautés pour maîtriser votre communication multi-canale.

Blog Sarbacane

RGPD : bilan et nouveautés 2019 en email marketing

RGPD : bilan et nouveautés 2019 en email marketing

Recevez les bonnes pratiques pour optimiser vos campagnes emailing

Comme la plupart des entreprises, vous utilisez probablement l’email marketing dans votre stratégie de communication. Le RGPD ne vous est donc pas inconnu. Et pour cause, ce texte a fait couler beaucoup d’encre depuis l’année dernière. La mise en conformité à ce règlement européen a monopolisé de nombreuses ressources dans toutes les entreprises et a notablement modifié le monde de la communication marketing. L’entrée en vigueur du RGPD le 25 mai 2018 s’est révélé être une véritable prise de conscience générale sur la nécessité de créer un encadrement légal au traitement des données à caractère personnel. En à peine plus d’un an, ce texte s’est imposé comme un standard international en matière de protection des données. Revenons sur les objectifs et grands principes RGPD et dressons un bilan de cette première année et des évolutions à venir en matière de protection des données et de confidentialité en email marketing.

 

Retour sur les objectifs du RGPD

“Un des principaux objectifs du RGPD est de donner aux citoyens le pouvoir d’agir et de mieux contrôler une des ressources les plus précieuses de l’économie moderne : leurs données « , déclare la Commission européenne dans un communiqué.

Au vu de la quantité de données générées et des récentes évolutions technologiques, il apparaissait nécessaire de créer un texte de loi qui serve de référence pour mettre en place un cadre renforcé et harmonisé de la protection des données au sein de l’Union Européenne. Les trois principaux objectifs du RGPD sont de :

  • Renforcer le droit de personnes : information sur la finalité du traitement, droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit à la portabilité, droit d’opposition…
  • Responsabiliser et sensibiliser les acteurs traitant des données à caractère personnel
  • Crédibiliser la régulation du traitement des données

 

Les grands principes du RGPD

 

Privacy by design

Le privacy by design and by default (ou encore “protection des données dès la conception et sécurité par défaut”) est la nécessité d’intégrer de manière systématique les mesures nécessaires à la protection des données personnelles lors de la création d’un produit ou d’un service comme par exemple :

  • L’utilisation des données personnelles uniquement pour les finalités pour lesquelles elle ont été collectées ;
  • Les données personnelles minimisées aux seules nécessaires et conservées pour une durée définie ;
  • Assurer la sécurité des données en limitant l’accès aux seules personnes habilitées
  • Prévoir la prise en compte et le respect des droits des personnes (information, opposition, accès, rectification, suppression, limitation…)

En tant qu’acteur de la création d’un produit ou d’un service, quelle qu’en soit l’étape, vous êtes donc concerné par ce principe.

 

Principe d’accountability

Les responsables de traitement des données personnelles et les sous-traitants doivent tout à la fois mettre en œuvre les processus permettant la protection des données personnelles, et dans le même temps être en capacité perpétuelle de fournir la preuve de leur conformité au règlement européen (en d’autres termes, pouvoir tracer en permanence l’efficacité de ces processus par de la documentation et des mesures internes).

 

Focus sur le consentement, élément clé en email marketing

Le RGPD rappelle que le consentement est l’une des justifications légales sur lesquelles peut s’appuyer le traitement des données et renforce les conditions applicables lorsqu’un traitement de données repose sur le consentement. En pratique, lorsque le consentement est exigé ou lorsque vous choisissez de justifier le traitement des données par le biais du consentement, vous devez obtenir un consentement valide. Voici ce que cela signifie concrètement :

  • Vous devez obtenir une déclaration ou acte positif clair et univoque de la personne
  • Le consentement doit être éclairé, libre et spécifique
  • La personne concernée doit pouvoir retirer son consentement à tout moment et facilement
  • Vous devez conserver la preuve du consentement obtenu

 

Bilan et nouveautés 2019

 

Une prise de conscience générale

Le RGPD a fait beaucoup parler de lui en 2018 et a permis de sensibiliser autant les particuliers que les entreprises à la notion de protection des données personnelles. Cette sensibilisation se traduit notamment par une augmentation notable du nombre de plaintes. Plus de 11 000 plaintes ont été adressées à la CNIL en 2018, soit une hausse de 32,5 %. L’impact de l’entrée en vigueur du RGPD rayonne au-delà même des frontières de l’Europe puisqu’il concerne non seulement les particuliers, entreprises et organismes au sein de l’UE mais aussi toutes organisations hors Europe qui traitent des données personnelles de citoyens européens. La dénomination d’environ 17 000 délégués à la protection des données (DPO) agissant pour environ 51 000 organismes français démontre une fois encore l’ampleur de la prise de conscience en France.

 

Les actions d’accompagnement proposées par la CNIL

Le principe d’accountability ou responsabilisation est un des grands changements arrivés avec le RGPD. Chacun doit réussir à atteindre et gérer sa conformité et doit être en mesure d’en fournir la preuve. La CNIL est devenue un acteur de référence dans le conseil et la mise en conformité au RGPD. L’organisme a dû faire preuve de beaucoup de pédagogie et a développé de nombreuses actions d’accompagnement.

 

La fin d’une période de transition

Après une certaine forme de patience et de tolérance, la CNIL entend maintenant passer à la vitesse supérieure et renforcer les contrôles et les sanctions pour inciter les entreprises à se mettre rapidement en conformité avec les textes. Consciente des problématiques propres à certaines branches, la CNIL continue à se montrer pédagogue en accompagnant et conseillant les entreprises et organisations qui en ont besoin.

 

RGPD et ePrivacy : quelles sont les différences ?

Si le RGPD a fait beaucoup parlé de lui depuis mai 2018, un autre règlement vient heurter les oreilles des entreprises : ePrivacy. Bien souvent confondu avec le RGPD, la différence entre ces deux règlements réside principalement dans leur périmètre d’action. Le RGPD encadre le traitement des données à caractère personnel collectées en ligne ou hors ligne, alors que le règlement ePrivacy encadre les échanges d’information qui transitent au sein des fournisseurs de services électroniques et qui permettent notamment le ciblage publicitaire en fonction du comportement des internautes.

La CNIL a d’ailleurs publié ses lignes directrices liées au fonctionnement des cookies, en anticipant l’évolution de la directive e-privacy. Les entreprises ont 6 mois pour se mettre en conformité sur ce sujet, pour intégrer les nouvelles règles. Les questionnements des acteurs du secteur du marketing en ligne portent sur deux sujets centraux : la prospection commerciale, opt-in partenaire, et les cookies et autres traceurs). Plus d’informations à ce sujet sont disponibles sur le site de la CNIL.

 

Quelques conseils pour se conformer au RGPD en email marketing en 2019

 

Informez vos contacts sur la finalité du traitement de leurs données

Veillez à informer vos contacts du but précis pour lequel leurs données seront collectées et utilisées. Cet objectif doit être clair, compréhensible et compatible avec les missions de votre organisme. Vous devez bien entendu respecter cette finalité par la suite. C’est également la finalité qui permet de déterminer la pertinence des données collectées. Seules les données qui servent à atteindre votre objectif sont autorisées. Et enfin, la finalité permet de fixer la durée de conservation des données. Veillez également à rendre publique votre politique en matière de traitement de données, par exemple, dans vos conditions générales, vos mentions légales, votre politique de confidentialité, etc.

 

Opt-in, double opt-in, opt-out : qu’en est-il avec le RGPD ?

Contrairement à certaines idées reçues, le double opt-in n’est pas une obligation dans tous les pays pour être conforme au RGPD. En France, les règles en matière de consentement diffèrent selon le type de prospection, Btoc ou BtoB. L’opt-in simple y est donc possible dans certains cas bien définis. Dans les autres pays, les règles peuvent varier selon les autres textes en vigueur.

Quoi qu’il en soit, si la base légale du traitement est le consentement, utilisez le double opt-in… La procédure de double opt-in a pour but d’une part de protéger l’utilisateur contre le spam et d’autre part d’offrir une sécurité juridique aux expéditeurs en leur fournissant une preuve réelle et datée du consentement actif de l’utilisateur à recevoir ses communications. Concrètement, il s’agit d’une processus d’inscription en deux étapes. Dans un premier temps, l’intéressé s’inscrit à une newsletter en remplissant un formulaire. Une fois le formulaire validé, il reçoit un email de confirmation d’inscription. Son inscription ne sera validée qu’une fois qu’il aura cliqué sur le lien de confirmation.

Assurez-vous d’informer clairement le lecteur de la finalité du traitement de ses données et sur les droits dont il dispose. N’envoyez d’emails qu’à des contacts dont vous avez le consentement explicite et dont vous avez la preuve. N’utilisez pas de cases pré-cochées pour recueillir le consentement de vos futurs abonnés. Et enfin, surtout, gardez la preuve du consentement de vos contacts.

 

Assurez-vous que votre prestataire emailing respecte les règles du RGPD

Vous envoyez vos campagnes via une solution professionnelle d’emailing. Il est de votre rôle de veiller à ce que votre prestataire respecte les normes imposées par le RGPD. Pour vous assurer de la conformité de votre sous-traitant, demandez-leur un accord de sous-traitance ou de traitement des données. L’analyse de son contenu, l’obtention de la liste des sous-traitants ultérieurs et des mesures techniques et organisationnelles en place garantissant la bonne protection des données personnelles vous permettront de vous assurer de la conformité de vos sous-traitants. Vous pouvez retrouver toutes ces informations pour Sarbacane via ce lien.

 

Facilitez la désinscription

Le droit d’opposition tient une place importante dans les points clés du RGPD. Veillez à inclure un lien de désinscription dans toutes vos communications et à le rendre suffisamment visible pour vos lecteurs. Un lien de désabonnement que vous tenteriez de cacher dans votre message risque de pousser vos contacts à signaler votre campagne emailing comme SPAM ou qu’une plainte ne soit déposée à l’encontre de votre organisme auprès de la CNIL. Pouvoir retirer son consentement de manière simple et gratuite est un droit absolument nécessaire. Au-delà du lien de désinscription, il existe d’autres moyens pour retirer son consentement comme par exemple demander au responsable de traitement, l’expéditeur, de prendre en compte la demande par courrier. Dans tous les cas, un moyen simple de s’opposer doit être disponible.

 

Mettez à jour votre liste de contacts régulièrement

Nettoyer régulièrement votre base de données vous aide à respecter l’engagement de durée de conservation des données. En effet, si une durée de conservation est précisée dans la politique de traitement ou les mentions d’informations associées aux formulaires de collecte, il faut absolument que celle-ci soit respectée.

 

Enfin un dernier conseil, restez informé !

Les directives sur le traitement des données à caractère personnelle et la protection de la vie privée, sont amenées à évoluer. Il est fortement recommandé de s’informer régulièrement et activement sur les nouvelles règlementations en vigueur auprès des organismes compétents. La CNIL a d’ores et déjà a publié sa stratégie de contrôle pour 2019 mais aussi son plan d’action pour 2019-2020.

9 commentaires

Cristian Drucioc

Il y a 2 mois

Bonjour,

1. Est-ce qu'on a besoin d'un opt-in valide pour envoyer des factures en masse aux clients ?

2. Un pop-up qui demande une adresse e-mail pour recevoir un code promo est un opt-in valide ?

Merci

Répondre

Marie Balland

Il y a 2 mois

Bonjour Cristian,

Merci pour votre message et vos questions.

1. J'aurais besoin de précisions sur le contexte de vos envois. Qu'entendez-vous par envoyer des factures en masse ? S'agit-il d'un email transactionnel déclenché lorsqu'un achat est effectué ? Une facture étant a priori unique pour chaque client, j'ai quelques difficultés à saisir le concept d'envoi de masse dans ce cas précis.
Dans tous les cas, vous avez un devoir d'information auprès de vos clients/contacts. Si vous utilisez leur adresse mail pour communiquer avec eux, vous devez les informez en amont de la finalité du traitement de leurs données et leur proposer un moyen simple de s'y opposer.


2. Vous devez obtenir le consentement libre, éclairé et spécifique de vos contacts sans les apater avec une récompense (comme un code promo, un chèque cadeau, etc). En associant le consentement à un code promo, le consentement est considéré comme forcé et n'est donc pas valide.
Quel que soit l'obejctif d'une pop-up par laquelle vous récupéreriez une adresse mail, vous devez dans tous les cas informer sur la finalité du traitement des données et offrir un moyen simple de s'y opposer.

Je vous invite à consulter notre page dédiée RGPD qui contient plus d'informations sur le consentement et également à consulter le site de la CNIL très riche en informations.

Attention : les lois diffèrent selon les pays de vos destinataires. Je vous invite à vous renseigner sur les lois en vigueur selon le pays de résience de vos contacts.

J'espère avoir pu vous aider et reste à votre disposition.

Une belle journée à vous !

Marie

Répondre

Cristian Drucioc

Il y a 1 mois

Bonjour Marie,

Merci beaucoup pour votre réponse.

1. On utilise un outil qui envoie automatiquement des emails de facturation. C'est sont des clients qui ont des services récurrents chez nous. Par exemple hébergement de leur site web. Le mail, c'est juste pour l'informer que la transaction a eu lieu.

2. Concernant la deuxième question. On ne souhaite pas envoyer des emails par la suite, 1 an après par exemple. Juste pour envoyer le code promo. Voir même effacer automatiquement leur mail de notre BD après l'envoie. Est-ce que c'est "complaint" RGPD ?

Répondre

Marie Balland

Il y a 1 mois

Bonjour Cristian,

Dans les deux cas, vous devez informer préalablement vos contacts de l'utilisation qui sera faite de leurs données (et donc de leur adresse email).

1. Pour l'envoi de facture, je vous invite à consulter le site de la CNIL. Voici une page qui vous apportera, je pense, quelques réponses sur le sujet qui vous intéresse (voir notamment le premier paragraphe de la partie intitulée "Vous fidélisez vos clients"). Comme vous le verrez, l'information sur la finalité de la collecte des données est primordiale.

2. Pour votre question concernant l'envoi d'un code promo, si vous envoyez un seul email avec ce code promo, vous devez dans tous les cas obtenir le consentement du destinataire et l'informer de ce qui sera fait de ces données. Il y a beaucoup d'autres facteurs à prendre en compte pour vous conformer au RGPD quand vous collectez des données. Je ne peux que vous recommander de faire appel à la CNIL qui saura vous aiguiller sur votre cas précis.

J'espère avoir pu vous aider.

Je vous souhaite une excellente journée !
Marie

Répondre

Parrainage

Il y a 1 mois

Merci beaucoup pour cette article !
C'est exactement ce que je chercher pour mon site :-)

Répondre

Marie Balland

Il y a 1 mois

Bonjour !
Un grand merci pour votre message :-)
Nous sommes ravis de voir que notre article vous ait été utile !
Je vous souhaite une agréable journée
Marie

Répondre

Parrainage

Il y a 1 mois

Avec grand plaisir ;-)
Plus qu'a mettre en pratique maintenant !

Répondre

L'agence Web, agence de référencement

Il y a 2 semaines

Bonjour,
Merci pour votre article, ça correspond exactement à ce que nous recherchions !

Merci :)

Répondre

Marie Balland

Il y a 2 semaines

Bonjour et merci pour votre message !
Nous sommes ravis de voir que cet article vous ait été utile.
Une belle journée à vous
Marie

Répondre

Laisser un commentaire

Votre adresse email ne sera pas publiée et les champs exigés sont marqués (*) et svp n’oubliez pas de rester poli(e) ;-) !