Cet article explore tous les enjeux de la conformité RGPD dans le domaine du marketing et vous donnera toutes les clés pour vous permettre de mettre en place des campagnes d’e-mailing conformes à la réglementation française.
Comment le RGPD impacte le marketing ?
Les pratiques générales du marketing
Les pratiques du marketing ont été touchées de manière substantielle par l’entrée en application du RGPD. En effet, de nos jours, la grande majorité des stratégies marketing impliquent le traitement de grandes quantités de données personnelles de clients et prospects : site web, newsletter, e-mailing, prospection téléphonique, envoi de courriers postaux, etc.
La notion de données personnelles est à comprendre de manière très large puisqu’elle comprend toutes les informations permettant d’identifier directement ou indirectement une personne physique. Si vous êtes un e-commerce, vous allez probablement utiliser les données collectées lors des transactions en ligne (noms, adresses e-mail, préférences d’achat, etc.) pour leur envoyer des e-mails marketing. Vous aurez donc besoin de solutions sur mesures pour votre site e-commerce.
L’application du RGPD et des recommandations de la CNIL
Si vous mettez en œuvre des pratiques marketing en France impliquant le traitement de données personnelles, il est essentiel de prendre en compte le RGPD et les règles de la CNIL.
En matière de prospection commerciale, les bases légales du traitement de données personnelles peuvent être le consentement ou l’intérêt légitime. On parle alors d’opt-in lorsque la personne concernée a donné son consentement pour recevoir des sollicitations de commerciales ou d’opt-out (ou droit d’opposition) lorsque la personne concernée s’oppose au traitement de ses données personnelles pour du marketing direct ou des sollicitations commerciales :
– L’opt-in consiste à obtenir l’accord préalable du destinataire de la publicité, en résumé : s’il n’a pas dit oui, c’est non. Le principe de l’opt-in s’applique pour envoyer de la publicité en B to C (du professionnel au consommateur) par e-mail, SMS, MMS, automate d’appel ou fax ;
– L’opt-out est tout l’inverse : on considère donc que tant que le destinataire de la publicité ne s’est pas opposé à la publicité, c’est qu’il est d’accord pour en recevoir. Le principe de l’opt-out s’applique pour la publicité en B to B (de professionnel à professionnel) adressée par e-mail, courrier postal et appel téléphonique, automate d’appel, par SMS, MMS mais aussi en B to C pour la publicité adressée par voie postale ou par appel téléphonique (à l’exclusion donc des SMS, MMS et automate d’appel).
Dans tous les cas, vous devrez préalablement avoir informé les personnes que vous comptez utiliser leurs données pour de la prospection commerciale, en précisant le canal (e-mail, sms, etc) et s’ils peuvent refuser (opt-in) ou s’y opposer (opt-out).
Des campagnes e-mailing en France conformes au RGPD
L’e-mailing est l’une des méthodes les plus répandues pour atteindre un public cible.
L’envoi de campagne e-mailing comporte un certain nombre de défis en termes de conformité RGPD. En effet, l’adresse e-mail, même professionnelle, est considérée comme une donnée personnelle.
De manière générale, les e-mails de prospection (newsletters, e-mails promotionnels, cold e-mails, mais aussi e-mails de panier abandonné) destinés à promouvoir un service ou un produit sont donc soumis au RGPD, comme le rappelle la CNIL.
En revanche, les e-mails de service (par exemple les confirmations de commandes, les e-mails relatifs au suivi de la commande, les e-mails récoltant l’avis des personnes concernées sur leurs commandes, etc.) ne sont pas considérés comme publicitaires puisque la base légale qui justifie l’envoi de ces e-mails est l’exécution du contrat entre le vendeur et l’acheteur.
Pour vous assurer que vos campagnes e-mailing de prospection soient conformes au RGPD, Admeet vous guide.
Informez vos clients et prospects en toute transparence
– Assurez-vous tout d’abord que vos pratiques de collecte et d’utilisation des données sont conformes au RGPD ;
– Générez ou mettez à jour votre politique de confidentialité pour refléter vos pratiques actuelles, en expliquant clairement comment les données sont collectées, stockées, utilisées et protégées. Si ces données vous ont été fournies par un data broker (courtier en données), indiquez clairement la source avec le nom et les coordonnées de votre partenaire.
Obtenez le consentement des clients et prospects si vous ciblez des particuliers
Pour respecter les recommandations de la CNIL concernant le respect des droits des individus relatifs à leurs données, vous devez obligatoirement collecter le consentement de la personne concernée si vous vous adressez à des particuliers :
– Assurez-vous que le consentement est collecté de manière libre, spécifique, éclairée et univoque, notamment par le biais d’une case à cocher et non pré-cochée par défaut (article 7 du RGPD) ;
– Utilisez si possible la procédure du double opt-in pour confirmer le consentement ;
– Expliquez clairement aux utilisateurs pourquoi vous collectez leurs données et comment vous les utiliserez.
Par ailleurs, si vous envoyez différents types de communication avec des finalités distinctes, des consentements distincts pour chaque finalité doivent être collectés.
Enregistrez la preuve du consentement de vos clients et prospects
L’enregistrement de la preuve du consentement est important pour prouver la légitimité de vos envois de prospection commerciale en cas de plainte d’une personne concernée auprès de la CNIL et de contrôle par cette dernière.
Pour ce faire, conservez des preuves de chaque consentement, en incluant idéalement la date, l’heure, la source et le contenu du consentement. Vous pouvez également utiliser des gestionnaires du consentement (CMP) essentiellement pour les consentements cookies (et non pour les e-mails) comme celui proposé par Admeet.
Auditez vos bases de données actuelles
– Avec l’aide d’un DPO, effectuez un audit de votre base de données pour identifier l’origine et la localisation de vos contacts, notamment si vous achetez des e-mails auprès de sociétés spécialisées dans la revente de données. Attention, l’achat de listes d’adresses e-mail sans consentement ou l’envoi d’e-mails non sollicités à des particuliers enfreignent les principes du RGPD et peuvent être sanctionnés par la CNIL. L’achat d’une base de données de contacts professionnels (B to B) est possible à condition de respecter les obligations d’information et la possibilité de retirer son consentement à tout moment dans les communications envoyées (voir paragraphe 1.b.) ;
– Supprimez les contacts pour lesquels vous n’avez pas de preuve de consentement pour limiter les risques ;
– Si vous segmentez votre base pour envoyer des e-mails personnalisés, veillez à n’utiliser les données collectées que pour des campagnes pertinentes pour chaque groupe de clients (article 5 RGPD).
Gérez les désabonnements à vos campagnes e-mailing
Dans tous les cas, que ce soit dans le cadre de prospection B to B ou B to C, les personnes concernées doivent pouvoir refuser de recevoir d’autres sollicitations à tout moment lorsqu’elles sont contactées. Dans le cadre de campagne e-mailing, un lien de désabonnement valide doit être proposé dans tous les e-mails de prospection envoyés. Le lien doit être bien visible et affiché dans une taille de police convenable.
Si vous envoyez différents types de communication, offrez des options à vos contacts pour pouvoir se désabonner de certaines ou de toutes vos communications.
Il faut également s’organiser en interne pour prendre en compte effectivement ces demandes (en dressant une liste des personnes qui se sont opposées, en paramétrant les outils pour que des listes repoussoirs soient établies, etc.).
Vérifiez la conformité RGPD de vos prestataires
Pour vérifier la conformité RGPD de vos prestataires :
– Assurez-vous que vos prestataires et partenaires respectent également le RGPD, notamment les sociétés spécialisées dans la revente de données ou agences marketing ;
– Vérifiez minutieusement leurs politiques de confidentialité et leurs pratiques en matière de traitement des données.
Formez vos équipes marketing sur la protection des données personnelles
Vos équipes marketing manipulent des données personnelles dans leurs activités quotidiennes. Il est primordial de les sensibiliser au RGPD et à ses implications pour les campagnes d’e-mails, en organisant notamment des formations, des e-learnings, etc.
Faites des mises à jour régulières de vos pratiques marketing
La conformité RGPD est un processus continu. Pour assurer une conformité dans la durée :
– Passez en revue régulièrement vos procédures et pratiques de conformité, identifiez les domaines d’amélioration et prenez des mesures correctives si nécessaire ;
– Surveillez les jurisprudences liées au RGPD et adaptez vos pratiques en conséquence pour rester en conformité.
Les pratiques à éviter pour des campagnes e-mailing conformes à la réglementation
L’achat de liste de contacts : attention à la manière dont les contacts ont été collectés
L’achat de liste de contacts est une pratique courante dans le domaine du marketing, mais il est primordial de prendre quelques précautions pour garantir la conformité RGPD de cette pratique, à savoir :
– Vérifier que les données personnelles présentes dans la liste ont été collectées de manière licite, conformément au principe de transparence du RGPD ;
– Lors de la première communication avec les contacts issus de cette liste, vous avez l’obligation de les informer sur les modalités du traitement de données, mais également sur l’origine des données, avec notamment les coordonnées de la société auprès de laquelle vous avez acquis ces données.
Les dark patterns : des tactiques contraires au RGPD
Les “dark patterns” sont un moyen d’entrer en conflit avec le RGPD. Ce sont des conceptions intentionnelles visant à manipuler ou tromper les utilisateurs pour qu’ils entreprennent des actions qu’ils n’auraient pas faites autrement : utilisation de tactiques pour rendre la désinscription difficile à trouver ou pour pousser les utilisateurs à partager plus de données qu’ils ne le souhaitent, par exemple.
Ces pratiques trompeuses sont évidemment contraires au RGPD. Pour éviter les sanctions, assurez-vous que le processus d’abonnement et de désabonnement à vos newsletters soit clair, simple et transparent.
RGPD et marketing : les risques en cas de non-conformité
Les risques liés à la non-conformité RGPD de vos campagnes marketing peuvent être conséquents, quelle que soit la taille de l’entreprise. Les sanctions financières peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel et les conséquences réputationnelles peuvent être dévastatrices. En novembre 2022, la CNIL a sanctionné EDF à hauteur de 600 000 € pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes. Plusieurs manquements ont été relevés, notamment :
- le manquement à l’obligation d’information des personnes ;
- le manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique ;
- le manquement aux obligations relatives aux modalités d’exercice des droits ;
- le manquement à l’obligation de respecter le droit d’accès aux données (article 15 du RGPD) et le droit d’opposition des personnes concernées ;
Essentiellement, les sanctions imposées par la CNIL à EDF soulignent l’importance, pour les entreprises, de pouvoir fournir des preuves concrètes du consentement des utilisateurs lorsque ce consentement est utilisé comme fondement juridique pour le traitement des données personnelles.
La conformité RGPD : une réelle opportunité pour vos campagnes marketing
À l’ère du tout numérique, les consommateurs sont de plus en plus conscients des enjeux liés à la protection de leurs données personnelles et sont donc de plus en plus sensibles aux pratiques marketing des entreprises.
Le respect du RGPD et la mise en place de pratiques marketing respectueuses de la vie privée de vos clients et prospects deviennent un réel avantage marketing, et donc concurrentiel. En effet, si les utilisateurs donnent leur consentement pour recevoir vos e-mails marketing, cela signifie qu’ils sont réellement intéressés par vos produits ou services. Résultat ? Un taux de clic et de conversion beaucoup plus élevé.
La protection des données personnelles de vos clients permet donc de nouer une véritable relation de confiance avec eux, de les fidéliser et de conserver une image positive de votre entreprise.
Cela implique une politique de confidentialité et de cookies conforme, ainsi qu’une bannière de cookies et un gestionnaire de consentement efficace. Le lien vers votre politique de confidentialité doit se retrouver sous tous les points de collecte de données personnelles sur votre site web, que ce soit pour s’inscrire à une newsletter, fournir une adresse e-mail pour une prise de contact, participer à un jeu-concours, etc. C’est pourquoi tous vos documents RGPD doivent être en Legal Design afin d’être clairs et compris par tous.