Que dit le rgpd sur les email ?

RGPD et Emails : Les bonnes pratiques pour respecter la règlementation et optimiser vos campagnes

L’envoi d’emails commerciaux est un levier puissant pour votre entreprise afin de maintenir un lien direct avec vos clients et prospects, promouvoir vos produits et services, et valoriser votre image. Le Code des postes et des communications électroniques encadre depuis plusieurs années déjà, les règles applicables à l’envoi de messages commerciaux par voie électronique. Depuis l’entrée en vigueur du Règlement (UE) n° 2016/679 (« Règlement Général sur la Protection des Données » ou « RGPD »), ces règles ont été précisées. Les respecter ne permet pas seulement d’éviter des sanctions : cela permet aussi d’établir une relation de confiance avec vos abonnés, ce qui est bénéfique sur le long terme pour la réputation de votre entreprise et l’efficacité de vos campagnes. Dans cet article, nous présenterons les bonnes pratiques pour se mettre en conformité avec le RGPD et le Code des postes et des communications électroniques (la « Règlementation »), ainsi que des cas pratiques afin de mieux illustrer l’importance de la conformité et les bénéfices qui en découlent. 

Sommaire

  • Comprendre la Règlementation et ses objectifs
  • Bonnes pratiques pour se conformer à la Règlementation
    1. Obtenir un consentement explicite
    2. Être transparent quant à l’usage des données
    3. Permettre l’exercice des droits de retrait/d’opposition et de rectification
    4. Minimiser les données
    5. Sécuriser les données
    6. Segmenter intelligemment vos bases de données
    7. Paramétrer des durées de conservation des données
    8. Inscrire le traitement dans votre Rregistre des activités de traitements
    9. Réaliser des audits réguliers et former vos équipes
  • En Bref : Tips Pratiques

Comprendre la Règlementation et ses objectifs

Le RGPD est entré en vigueur le 25 mai 2018, avec pour objectif principal de redonner aux citoyens le contrôle sur leurs données personnelles et de garantir leur protection face aux entreprises qui les collectent. L’article L. 34-5 du Code des postes et des communications électroniques encadre l’envoi de messages commerciaux par voie électronique et impose que les entreprises n’utilisent les adresses email qu’avec le consentement explicite des utilisateurs. De ces deux corpus de règles, découlent des obligations concernant la collecte, le stockage, et l’usage des informations des abonnés.

Bonnes pratiques pour être conforme à la Règlementation

1. Obtenir un consentement explicite

Il convient d’obtenir le consentement explicite de chaque utilisateur avant de leur envoyer des communications. Ce consentement doit être libre, éclairé, spécifique et univoque. Par exemple, les cases pré-cochées ne sont pas autorisées. La pratique idéale consiste à proposer une case à cocher lors de l’inscription, accompagnée (i) d’une mention précisant l’objectif de la collecte des données (la « finalité » du traitement) et l’identité du responsable de traitement et (ii) d’un lien vers votre politique de confidentialité.

Une exception au recueil du consentement est admise lorsque la personne destinataire des messages commerciaux est déjà cliente de la société émettrice et que les messages portent sur des produits et services similaires à ceux commandés.

Par ailleurs, dans les relations BtoB, le consentement préalable n’est pas obligatoire sous réserve que les messages commerciaux soient en rapport avec la profession de la personne destinataire des messages, et à condition (i) que celle-ci soit informée des traitements et (ii) qu’elle soit en mesure de s’y opposer à tout moment.

Use Case : Exemple de consentement dans l’e-commerce

En cochant la case ci-avant et en cliquant sur « Envoyer », vous acceptez que nous traitions vos données de contact pour vous envoyer des lettres d’informations concernant [les offres et actualités de Notre Entreprise] [A adapter suivant l’objet de la newsletter]. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. Pour tout savoir sur la manière dont Notre Entreprise traite vos données personnelles, vous pouvez consulter notre Politique de confidentialité disponible ici [insérer un lien hypertexte].

2. Être transparent quant à l'usage des données

Pour être conforme, vous devez être transparent sur l’utilisation des données collectées. Lorsque vous collectez l’adresse email d’un utilisateur, vous devez préciser pourquoi cette information est recueillie et comment elle sera utilisée. Le plus souvent, cela implique d’indiquer clairement si l’email est collecté pour l’envoi de newsletters, d’offres promotionnelles, ou d’informations sur des produits. Vous devez également communiquer les autres informations prévues aux articles 13 et 14 du RGPD(base légale du traitement, durée de conservation, droits des personnes concernées et modalités d’exercice de ces droits, etc.). Si ces informations sont trop nombreuses pour figurer à côté de votre case à cocher, prévoyez une information à double niveau : un premier niveau d’information au stade de la case à cocher (mention de la finalité de la collecte de l’adresse email et de l’identité du responsable de traitement par exemple) puis un second niveau d’information, grâce à un lien hypertexte renvoyant vers votre politique de confidentialité.

Un lien vers la politique de confidentialité, présent dans chaque email envoyé, est également une bonne pratique

3. Permettre l’exercice des droits de retrait/d’opposition et de rectification

Chaque destinataire d’un email doit pouvoir se désinscrire facilement des communications. Cela passe par exemple, par un lien de désabonnement présent dans chaque email, qui ne nécessite pas plus de deux clics pour être effectif. La désinscription doit en effet être simple et gratuite. En outre, les utilisateurs ont le droit de consulter (droit d’accès), modifier (droit de rectification), suspendre le traitement (droit à la limitation), demander une copie des données portables (droit à la portabilité) ou supprimer (droit à l’effacement) les informations personnelles que vous collectez sur eux.

Cas de non-Respect : l’amende Google

En décembre 2020, Google a été condamnée à une amende de 100 millions d’euros pour ne pas avoir respecté les exigences de transparence et de consentement, telles que prévues par le RGPD. Cette amende met en avant l’importance du consentement et de la transparence dans l’utilisation des données personnelles.

4. Minimiser les données

Il est essentiel de ne collecter que les données strictement nécessaires. Pour une campagne email, l’adresse email est souvent la seule information dont vous avez besoin. Réduire la collecte des données limite les risques d’atteinte à la vie privée des utilisateurs et simplifie votre conformité au RGPD.

5. Sécuriser les données

Assurez-vous que toutes les informations personnelles recueillies sont stockées de manière sécurisée. Cela inclut notamment le chiffrement des données, l’utilisation de mots de passe complexes, et des pratiques rigoureuses d’accès restreint aux bases de données.

Use Case : Entreprise SaaS

« Une entreprise SaaS, lors de la collecte d’adresses email de ses clients pour une newsletter, a choisi de chiffrer toutes les adresses à l’aide d’un algorithme spécifique. De plus, seules les personnes spécialement habilitées de l’équipe marketing ont accès aux informations, et uniquement après authentification multi-facteur. Cette stratégie permet de garantir la sécurité des données, réduisant ainsi les risques en cas de violation. »

6. Segmenter intelligemment vos bases de données

Vous devez faire en sorte que les messages envoyés aux utilisateurs soient pertinents et adaptés. En d’autres termes, une segmentation efficace est une bonne pratique non seulement pour le respect de la vie privée, mais aussi pour l’amélioration de l’engagement. En ciblant mieux vos audiences, vous vous assurez que chaque email a un vrai intérêt pour le destinataire.

Use Case : Agence de voyage

Une agence de voyage peut segmenter sa liste d’abonnés en fonction des préférences des utilisateurs : vacances à la montagne, séjours balnéaires, voyages culturels, etc. Cette segmentation permet en outre d’améliorer le taux de clics.

7. Paramétrer des durées de conservation des données

Le RGPD impose que les données personnelles ne soient pas conservées plus longtemps que nécessaire. En pratique, cela signifie que vous devez fixer une durée de conservation appropriée pour les adresses email et autres informations collectées. Passé ce délai, les données doivent être supprimées ou anonymisées. Suivant le référentiel de la CNIL relatif à la gestion des activités commerciales, les données doivent être supprimées au bout de trois ans maximum à compter du dernier contact des personnes avec votre société.

8. Registre des traitements

Documenter l’usage des données personnelles est une exigence importante du RGPD. Un registre des traitements vous permettra de consigner les informations relatives à chaque traitement réalisé (envoi d’emails, segmentations, etc.). En cas de contrôle, ce registre est une preuve de votre conformité.

9. Audit régulier et formation des équipes

Réalisez des audits RGPD internes pour vous assurer que vos pratiques restent conformes aux exigences du RGPD. En outre, formez vos équipes pour qu’elles comprennent les obligations et les risques liés à la collecte et au traitement des données personnelles. Si vous souhaitez réaliser un audit RGPD et/ou former vos équipes au RGPD, vous pouvez nous contacter.

Exemple : Audit de Conformité

Une entreprise d’e-commerce a mis en place un audit semestriel pour vérifier que chaque email envoyé contenait bien un lien de désabonnement et que chaque consentement était documenté. Suite à un de ces audits, l’entreprise a identifié que certaines anciennes adresses emails n’étaient pas utilisées de manière conforme et a pu corriger la situation avant un éventuel contrôle de la CNIL.

En Bref : Tips Pratiques Conseils pour assurer la conformité

 

Conseils pour assurer la conformité :

  1. Information des utilisateurs : informer systématiquement et préalablement les utilisateurs relativement à la collecte et aux traitements de leurs données
  2. Lien de désabonnement : Inclure un lien de désabonnement dans chaque email, et assurez-vous qu’il soit facile d’accès et gratuit.
  3. Chiffrement des données : Protéger les informations collectées par un chiffrement efficace.
  4. Formation des équipes : Organiser des sessions de formation régulières pour vous assurer que chaque membre de l’équipe comprend bien les obligations du RGPD.
  5. Segmentation des emails : Segmenter vos bases de données d’emailing pour envoyer des emails pertinents et ainsi améliorer l’engagement des utilisateurs.
  6. Respect du principe d’intérêt légitime en BtoB : Quand un message est envoyé sur une boîte professionnelle, la relation professionnelle doit être au cœur de la communication.
  7. Respect du consentement explicite en BtoB et BtoC 

Spécificités des Emails en B2B

Dans le cadre du B2B (Business to Business), les règles diffèrent quelque peu. En B2B, il est souvent admis que les emails professionnels peuvent être envoyés sans consentement préalable tant que le contenu est pertinent et en rapport avec l’activité professionnelle de la personne contactée. Toutefois, il est toujours obligatoire d’informer clairement les destinataires sur la collecte et le traitement de leurs données et de leur offrir un moyen de se désinscrire à tout moment.

La transparence reste cruciale, même en B2B, pour éviter tout risque d’atteinte à la vie privée. La pertinence des messages est très importante pour ne pas être perçus comme des spams. Il est possible de faire reposer le traitement relatif à l’envoi d’emails de prospection en BtoB sur la base légale de votre intérêt légitime.

Spécificités des Emails en B2C

Le B2C (Business to Consumer) est plus encadré que le B2B. Pour les emails B2C, le consentement explicite est requis avant tout envoi d’email marketing. Cela signifie que les consommateurs doivent accepter expressément d’être démarchés.

En B2C, le respect de la vie privée est prioritaire, et les utilisateurs doivent être informés de manière transparente de l’utilisation de leurs données. En outre, chaque email doit contenir des informations claires sur la manière de se désinscrire, pour offrir un droit de retrait facile et rapide.

Pour conclure :

Respecter le RGPD dans le cadre de l’envoi d’emails commerciaux n’est pas seulement une obligation légale, c’est aussi une opportunité de renforcer la confiance de vos clients et d’optimiser vos campagnes marketing. Obtenir le consentement des utilisateurs, assurer la transparence sur l’usage des données, offrir des options de retrait de consentement ou d’opposition claires, et sécuriser les informations collectées sont autant d’étapes cruciales pour être en conformité avec le RGPD.

Les entreprises qui mettent en œuvre ces bonnes pratiques ne se contentent pas d’éviter des sanctions : elles maximisent aussi l’engagement de leurs abonnés en offrant une communication plus ciblée et respectueuse de leur vie privée. En appliquant ces principes, vous pourrez non seulement améliorer vos performances, mais aussi faire preuve de transparence et de respect des droits des utilisateurs dans le domaine des communications électroniques.

Sources des informations :

Règlement (UE) 2016-679 : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Article L. 34-5 du Code des postes et des communications électroniques : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155961/2024-10-14/

Fiche de la Cnil sur la prospection commerciale par courrier électronique : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

Sanction de Google par la CNIL confirmée par le Conseil d’Etat : https://www.conseil-etat.fr/actualites/cookies-publicitaires-google-definitivement-condamne-a-payer-100-millions-d-euros

Référentiel de la CNIL relatif à la gestion des activités commerciales : https://www.cnil.fr/sites/cnil/files/atoms/files/referentiel_traitements-donnees-caractere-personnel_gestion-activites-commerciales.pdf

Auteur : Maître Leben, avocat au barreau de Paris