À partir de l’année prochaine, les expéditeurs d’emails risquent des sanctions pouvant s’élever à plusieurs millions d’euros en cas de violation du nouveau Règlement européen sur la Protection des Données (RGPD).
S’il n’y a encore aucune raison de paniquer, dans les prochains mois toutes les entreprises devront le connaître et en appliquer les nouvelles règles.
En France, les expéditeurs d’e-mails commerciaux devront prêter attention aux nombreuses conditions nécessaires pour obtenir l’autorisation du destinataire à être prospecté…
Le Règlement Général pour la Protection des Données (RGPD) est déjà entré en vigueur le 25 mai 2016, et après une période transitoire de deux ans, il deviendra définitivement obligatoire à partir du 25 mai 2018.
Comme il s’agit d’un règlement européen, il sera applicable immédiatement dans tous les états membres de l’Union, sans devoir être transposé préalablement dans le droit national.
Les dispositions nationales en vigueur jusque-là seront régulées conformément au RGPD, comme le souligne la CSA (Certified Senders Alliance), auteur de ce petit récapitulatif sur le sujet.
Les droits du destinataires
Le Règlement Général pour la Protection des Données renforce en premier lieu les droits du destinataire.
Il inclut désormais:
- le droit d’accès complet aux données,
- l’obligation d’information,
- le droit à la rectification des données, à leur effacement et à la limitation de leur utilisation
- le droit à la portabilité des données et le droit de recours.
Cela concerne aussi le marketing par courriel et l’utilisation commerciale des données personnelles. Et la violation de ces droits peut coûter très cher aux entreprises…
Des sanctions lourdes
Le montant élevé des sanctions (jusqu´à 20 millions d’euros ou 4 % du chiffre d’affaire annuel mondial consolidé (le montant le plus élevé étant retenu) indique clairement qu’il est nécessaire de bien connaître la nouvelle situation juridique avant l’entrée en vigueur du RGPD et d’adapter sa stratégie d’email marketing en conséquence.
Thomas Fontvielle, Secrétaire Général de Signal Spam, souligne l’importance de l’application du nouveau Règlement :
« Le règlement général européen pour la protection des données personnelles aura deux mérites fondamentaux à nos yeux : éclairer et préciser des dispositions légales déjà existantes mais peu concrètes quant à leur mise en application ; et établir un niveau de sanction véritablement prohibitif pour quiconque se placerait en infraction avec le règlement.
La pratique du double opt-in comme seule véritable garantie à la preuve de la collecte d’un consentement volontaire et informé pourrait marquer une étape décisive vers un marché de l’e-mail plus respectueux si la règlement e-privacy venait à complèter en ce sens le RGPD.»
Le consentement avant tout
Les expéditeurs de mails commerciaux devront surtout faire attention aux normes mises en place pour s’assurer du consentement de leurs destinataires.
Si cette obligation est déjà en vigueur en France (Art. L35-5 du Code des postes et des communications électroniques), aucune norme précise sur le consentement n’y est vraiment formulée.
La directive de la Commission Nationale de l’Informatique et des Libertés, la CNIL, fait la distinction entre le marketing B2B et celui B2C. Pour le marketing B2C, il y a obligation de consentement, à quelques exceptions près, tandis qu’en B2B, le marketing électronique est autorisé à condition que le client ait été informé que ses données personnelles sont utilisées pour le marketing électronique et qu’il est toujours capable de s’opposer à l’utilisation de ses données personnelles.
Selon le RGPD, le consentement du destinataire devra être volontaire, actif, explicite et avoir lieu séparément pour chaque cas concret, non seulement pour le B2C mais aussi pour le B2B.
Une case pré-cochée par défaut dans un formulaire en ligne ne sera pas considérée comme valable pour le consentement (fin de l’opt-out). En plus, avant de donner son autorisation, le destinataire doit être informé de façon détaillée dans une langue claire et simple de l’utilisation de ses données.
L’expéditeur de mails groupés devra prouver qu’il a la déclaration de consentement du destinataire (obligation de responsabilité). Par conséquent cette déclaration devra être faite par écrit ou bien par une procédure de double opt-in (procédure qui permet au destinataire, après avoir donné une première fois son accord, de recevoir un mail de confirmation où, à travers un clic sur un lien, il déclare à nouveau son autorisation).
Vers la fin des abonnements multiples ou par défaut
Les nombreuses conditions pour le consentement rendent donc la procédure d’abonnement difficile voire presque impossible dans le cas d’inscriptions multiples via le même formulaire (comme c’est souvent le cas lors d’opérations de collecte d’adresses mails).
Pour les expéditeurs d’e-mails professionnels, l’interdiction de corrélation sera aussi très importante puisqu’une autorisation du destinataire ne sera pas considérée comme volontaire si l’accomplissement d’un contrat dépend de ce consentement préalable.
Si votre client doit, par exemple, cocher la case spécifiant son consentement à la réception de mails commerciaux avant l’envoi d’une commande, cette autorisation ne sera pas valable.
La déclaration de consentement devra également être révocable sans effort excessif.
En France, ce droit de révocation existe déjà mais aucune condition précise n’y est formulée. Avec le RGPD, cela va changer et la révocation devra avoir lieu de façon aussi simple que la collecte du consentement.
A noter également que les entreprises non-européennes devront elles aussi respecter le RGPD si elles offrent des services au sein l’Union Européenne. En bref, les expéditeurs d’emails devront dorénavant respecter les conditions du RGPD sinon cela pourrait leur coûter cher…