UNE NEWSLETTER EN CONFORMITÉ AVEC LE RGPD 

Dans le cadre de la protection des données personnelles, les annonceurs, qui diffusent leurs newsletters par leur propre base emails ou par la base emails d’un sous-traitant, sont soumis au Règlement Général sur la Protection des Données (RPGD). Pour constituer les bases, aussi bien l’annonceur que le sous-traitant doit obtenir un consentement explicite de l’internaute. C’est devenu un enjeu majeur pour l’emailing.

L’article L.33-4-1 du code des postes et télécommunications le dit :

« Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. »

« Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. »

CONSENTEMENT

Le RGPD dit que le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

La vidéo ci-dessous l’explique :

« Qu’est-ce que le consentement explicite ? » d’après la Quadrature du Net

Bien que la vidéo date de 2016, elle reste d’actualité et résume clairement la notion de consentement déjà inscrite dans la loi Informatique et Libertés. Le RGPD est venu renforcer et protéger la notion de consentement en prévoyant certains droits et garanties  : 

  • préciser le traitement qui sera fait sur les données recueillies ;
  • laisser le choix d’accepter ou non ce traitement. Le refus ne doit pas pas l’accès au site et la poursuite de la navigation n’équivaut pas à une acceptation ;
  • laisser le choix à l’internaute de changer d’avis à tout moment. Le changement ou le refus doit être aussi simple que le consentement.

D’après le considérant 32 du RGPD, le consentement doit

« être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».

La notion de finalité est essentiel pour que le consentement soit explicite et « éclairé ». En effet, le site qui recueille l’adresse email doit préciser la finalité du traitement de la donnée, dans des termes clairs et faciles à comprendre. Aussi, il doit informer de la durée de conservation de la donnée.

La CNIL cite quatre critères indispensables et indissociables pour valider un consentement : 

  • Libre

    L’internaute doit consentir librement, sans être contraint ou influencé. Il doit faire un choix sans avoir à subir de conséquences négatives en cas de refus.

  • Spécifique

    Chaque consentement correspond à un seul traitement pour une finalité déterminée. Lorsque les finalités sont multiples, l’internaute doit pouvoir consentir indépendamment pour chaque finalité. Il peut donc consentir pour une finalité et pas une autre. 

  • Éclairé

    Un consentement doit être transparent, c’est-à-dire que le responsable de traitement doit fournir avant la décision de consentir certaines informations :

    • son identité ;
    • les finalités du recueil des données ;
    • les catégories des données collectées ;
    • l’existence du droit de retrait après consentement ;
    • et cas particulier pour les données utilisées pour des décisions individuelles automatisées (profilage) ou qui feront l’objet d’un transfert vers un pays hors Union européenne.
  • Univoque

    Les phrases ne doivent pas porter aucune ambiguïté, elles doivent être simple et facile à comprendre (pas de double négation). Ne peuvent être considérées comme évoquées les consentements recueillis par :

    • des cases pré-cochées ou pré-activées
    • le consentement « groupé » (un consentement pour plusieurs traitements distincts)
    • l’inaction (exemple : la poursuite de la navigation ne vaut pas consentement ou l’absence de réponse au pop up de consentement)

EMAIL OPT-IN

En marketing digital, pour recueillir le consentement des internautes, les formulaires doivent être composés de case « opt-in » à cocher afin que l’internaute puisse accepter ou non l’utilisation de ses données.

« Qu’est ce que l’Opt-in ? » d’après la ADLPerformance

Nous pouvons faire la parenthèse avec la notion d’opt-out qui est bannie des pratiques depuis le RGPD. Démarche opposée à l’opt-in, l’opt-out est le recueil des informations des internautes sans consentement de sa part. C’est-à-dire lorsque le destinataire de la publicité ne s’est pas opposé : s’il n’a pas dit « non », c’est « oui ». Cette pratique est désormais strictement interdite par la législation.

La notion d’opt-in comporte aussi une nuance qui a été éclairée par le RGPD. Il existe ce qui est appelé l’opt-in actif et l’opt-in passif. La différence entre ces 2 opt-ins est sur le fait que l’internaute a été « pro-actif » dans sa démarche de consentement ou pas.
En effet, l’opt-in actif se manifeste par l’internaute qui réalise volontairement une action pour exprimer sa volonté d’être démarché, par exemple, il va cocher une case pour recevoir des mails. À l’inverse, dans le cas de l’opt-in passif, l’internaute se retrouve avec la case pré-cochée, il n’a donc pas fait de démarche pour être sollicité. Désormais pour être conforme au RGPD, seul l’opt-in actif est valable.

EN BREF, LES QUESTIONS À SE POSER AVANT D’ENVOYER UNE NEWSLETTER

Si vous souhaitez envoyer une newsletter ou que vous souhaitez constituer votre base, il est primordial que vous vous posiez les questions suivantes :

  • Avez-vous le légalement le droit d’exploiter à des fins marketing la base que vous avez?
  • Avez-vous fait la demande de consentement pour votre newsletter séparément des autres points auquel l’internaute a consenti, comme la politique de confidentialité, les cookies ou les CGU ?
  • Avez-vous demandé aux nouveaux abonnés de s’inscrire (opt-in actifs) ?
  • Votre opt-in est-il rédigé dans un langage simple que la plupart des gens peuvent facilement comprendre ?
  • Êtes-vous conformes aux recommandations de la CNIL quant aux e-mails que vous envoyez ? Si vous envoyez plus qu’une newsletter, l’internaute a-t-il la possibilité de refuser de recevoir les e-mails suivants ?
  • Des tiers auront-ils accès aux données ? Avez-vous précisé cela dans votre formulaire de consentement ?
  • Est-il facile pour les inscrits de retirer leur consentement ?
  • Le retrait du consentement n’aura-t-il aucun impact pour l’utilisateur en ce qui concerne votre service?
  • Avez-vous des mesures de vérification de l’âge, le cas échéant ?
  • L’internaute est-il informé de ses droits et dans la newsletter et dans vos CGU ou CGV ?

Si toues les réponses à ces questions sont « Oui », alors votre newsletter est conforme au RGPD et vous pouvez continuer à constituer votre base et à l’exploiter.

COMMENT EST PERÇUE LA DÉMARCHE ?

Les mails que vous envoyez à des internautes opt-in seront bien accueillis car ils s’adressent à des personnes intéressées et qui s’attendent à recevoir des offres publicitaires ou des newsletters. Ainsi, votre taux d’ouverture et de clic sont meilleurs car vous n’êtes pas perçu comme un spam. Au contraire, vos mails connaîtront un bon taux de conversion car vous ciblez des prospects réceptifs à votre message.

BESOIN D’UNE CONSULTATION RGPD ?