Devenir un Jedi du RGPD

Les Empereurs sombres GAFAM* et BATX** ont conquis le nouveau pétrole des données personnelles… Toutefois, les Rebels de l’Europe ont lancé une contre-attaque massive : le code RGPD est leur dernier espoir. Sera-t-il bien déployé dans toutes les corporations et représentants de la galaxie Newsletter ?

Le Règlement Général sur la Protection des Données est souvent perçu comme un sujet juridique imposant des contraintes techniques complexes. Il s’agira ici d’illustrer par des exemples simples et pratiques les différentes obligations liées à votre gestion d’envoi newsletter.

Données traitées

Lorsqu’une personne s’inscrit à votre newsletter, vous devez collecter à minima :

• son e-mail ;
• sa date d’abonnement ;
• ses statistiques liées au service.

Mais alors qu’en est-il par exemple des champs nom et prénom ?

Si vous choisissez de personnaliser votre e-mail par l’identité du destinataire, vous pouvez tout à fait justifier cette collecte. Mais selon votre ton, le nom doit-il rester un champ obligatoire ? Si vous avez l’habitude de tutoyer vos abonnés, le nom pourrait devenir un champ facultatif ou tout bonnement disparaître de votre formulaire !

N’oubliez pas que, dans le cadre du RGPD, on minimise la donnée entrante si elle n’a pas une utilité pertinente. En pratique, indiquez par un astérisque le caractère obligatoire d’un champ et surtout posez vous les bonnes questions !

Il n’y a pas d’abondance, il y a la pertinence.

Le code RGPD, verset 1

Licéité du traitement

Pour traiter des données, il s’agira de demander le consentement actif des personnes, qui doivent pouvoir s’exprimer par un moyen simple et spécifique, appelé opt-in (participation volontaire).

En pratique, si vous collectez des e-mails depuis votre site web, intégrez une case à cocher sous votre formulaire pour valider leur souhait de recevoir vos communications. Les cases pré-cochées (opt-out) ne sont pas autorisées en B to C.

Il est également conseillé d’intégrer une phrase de type “Pour en savoir plus sur la gestion de vos données et vos droits, c’est ici”. Cet hyperlien mènera vers votre politique de confidentialité et ainsi validera le premier droit développé plus bas : le droit à l’information.

Si vous proposez également des offres de services / produits, prévoyez une seconde case, pour délimiter le traitement réalisé sur les données collectées. Idem, si vous souhaitez partager les données à vos partenaires.

Vous l’aurez compris, chaque traitement demande un consentement explicite et distinct. L’intérêt ici sera de mieux cibler les préférences d’abonnement de votre abonné afin de lui proposer un contenu personnalisé. De plus, notez que quelqu’un qui se désabonnera de vos offres commerciales, sera toujours bien présent dans votre base dédiée à la newsletter.

Attention, ce n’est pas tout d’obtenir un consentement, vous devez aussi être en mesure de fournir des preuves, en enregistrant notamment la date de collecte et la provenance.

Il n’y a pas de transversalité. Il y a le consentement.

Le code RGPD, verset 2

Sécurité et transfert des données

Gérez-vous l’envoi de vos newsletters en interne ou passez-vous par un prestataire tiers ? Votre sous-traitant se trouve-t-il sur le territoire européen ?

En pratique, si votre dernière réponse est non, commencez par vérifier si le pays dans lequel il se situe est reconnu par la Commission Européenne, en cliquant ici.

Puis, si la réponse n’est pas satisfaisante, prenez un peu de temps pour éplucher ses garanties, qui doivent respecter les Clauses Contractuelles Types (CCT) ou Standard Contractual Clauses (SCC) en anglais, ainsi que les Règles d’Entreprise Contraignantes (Binding Corporate Rules, BCR).

NB : Depuis le 16 juillet 2020, la protection Privacy Shield a été invalidée par le biais d’un communiqué de presse. Le programme plaçait les agences de renseignements américaines bien au-dessus des droits des personnes concernées dont les données se retrouvaient partagées.

En choisissant les solutions emailing de nos alliés français Mailjet, Sendinblue, Sarbacane… vous vous assurez donc d’un respect immédiat au RGPD.

Pour finir, en matière de sécurité interne :

• Limitez les accès et les rôles des intervenants à votre solution emailing ou à votre serveur si vous gérez vous même l’hébergement ;
• Adoptez des mots de passe individuels suffisamment forts (avec au minimum 8 caractères comprenant minuscule, majuscule et chiffre) et renouvelez les régulièrement ;
• Lors de la collecte, si vous n’êtes pas un adepte du double opt-in, privilégiez à minima la mise en place d’un captcha au niveau de votre formulaire d’inscription. Cela évitera l’intrusion de bots dans votre base de données.

Il n’y a pas de croyance. Il y a la sécurité.

Le code RGPD, verset 3

Droits de la personne concernée

Droit d’information

Chaque personne intéressée par votre newsletter doit pouvoir prendre connaissance de votre politique de confidentialité.

En pratique, avant collecte, deux solutions sont fortement utilisées :

• Intégrez une mention d’information et les modes d’expression de l’opposition en bas de tous vos formulaires ;
• Intégrez un lien redirigeant vers votre politique de confidentialité.

En pratique, après collecte, vous pouvez également indiquer les différents droits de vos abonnés en bas de vos e-mails.

Conformément au Règlement Général sur la Protection des Données personnelles (RGPD), vous pouvez accéder et obtenir une copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d’un droit à la limitation du traitement de vos données.

Pour toute demande d’exercice de vos droits sur ce traitement, nous vous remercions de nous contacter à l’adresse suivante : xxx@xxx.xxx. Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

Droit d’accès

Il s’agit ici d’obtenir et vérifier les données détenues par une entreprise.

En pratique, il est possible d’exporter toutes les données d’un abonné depuis sa fiche personnelle et lui transmettre un fichier .csv. Il s’agira de la même procédure pour une personne souhaitant faire appliquer son droit à la portabilité.

Droit à la rectification

Toutes les personnes doivent pouvoir rectifier, compléter, mettre à jour leurs données personnelles.

En pratique, les solutions emailing permettent d’intégrer dans vos campagnes un lien vers une modification de profil du destinataire. Vos abonnés peuvent ainsi mettre à jour leur préférences d’abonnement mais également leurs informations personnelles sans avoir à vous en faire la demande.

Droit à l’oubli

Il s’agit ici de supprimer définitivement un contact de votre base de données. Cette action est irréversible et vous disposez d’un délai de 30 jours pour vous y conformer.

La CNIL recommande une période maximale de conservation de 3 ans pour les données des personnes n’ayant répondu à aucune sollicitation (dans notre cas, aucune ouverture d’e-mail).

Cependant, chaque société a le libre choix de modifier cette durée en prenant en compte la nature de son activité, le cycle de vie de son produit et la durée de transformation de ses clients.

Vous pourrez alors reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des e-mails. En l’absence de réponse positive et explicite, les données devront être supprimées ou archivées.

En pratique, vous pouvez programmer des campagnes automatiques de réactivation avant de supprimer définitivement un contact. Pour information, lorsque vous supprimez un abonné, ses données sont rendues anonymes dans vos rapports. Pour réintégrer votre liste, la personne doit se réinscrire par le biais de votre formulaire de collecte.

Droit d’opposition

Les newsletters doivent obligatoirement permettre aux destinataires de s’opposer à la réception de nouveaux e-mails sans obligation de se justifier.

En pratique, la solution connue de tous est donc de placer un lien “Se désinscrire” bien visible et identifiable en bas de vos e-mails et de conserver les informations du désabonné pendant 3 ans.

Droit d’introduire une réclamation auprès de la CNIL

Vous devez prévenir vos abonnés que ces derniers ont le droit d’adresser une plainte à la CNIL s’ils ne sont pas satisfaits de vos échanges (voir droit d’information).

En pratique, rediriger les vers ce formulaire.

Il n’y a pas d’ignorance. Il y a le respect.

Le code RGPD, verset 4

Que retenir de cet article ?

En tant que spécialiste de l’emailing, vous devez sentir la Transparence. Elle guide votre audience à vous fournir une information toujours plus qualitative, dans un climat valorisant la pertinence, le consentement, la sécurité et le respect.

Pour parfaire votre formation, retenez ces quelques versets du code RGPD :

Il n’y a pas d’abondance, il y a la pertinence.

Il n’y a pas de transversalité. Il y a le consentement. Il n’y a pas de croyance. Il y a la sécurité.

Il n’y a pas d’ignorance. Il y a le respect. Il n’y a pas d’obscurité, il y a la Transparence.

Bon courage, et que la Transparence soit avec vous !

*GAFAM : Google Amazon Facebook Apple Microsoft **BATX : Baidu, Alibaba, Tencent, Xiaomi