Newsletters et RGPD : Comment assurer la conformité de votre emailing

Vous souhaitez envoyer des newsletters à vos prospects et clients ? Vous envoyez déjà des newsletters et désirez savoir si vos pratiques sont conformes au Règlement général sur la protection des données (RGPD) ? Nous allons tout vous expliquer.

L’envoi de campagnes marketing est aujourd’hui assez incontournable pour communiquer sur votre produit ou service qu’il s’agisse de l’arrivée de nouvelle features, de l’évolution de vos services, de l’actualité de votre entreprise ou du secteur ou enfin pour des offres promotionnelles. La stratégie de marketing digitale d’une entreprise est un must have puisqu’elle consiste à faire de l’inbound marketing, c’est-à-dire une approche qui consiste à faire venir un prospect vers votre produit. Cette approche répond à différentes finalités selon la stratégie de l’entreprise : agrandir sa base de données prospects, maximiser le trafic sur un site web, construire et maintenir une communauté autour de la marque, augmenter le chiffre d’affaires de l’entreprise etc.

Or, beaucoup d’entreprises ignorent que cette pratique est soumise à un certain nombre de règles relatives à la protection des données de vos destinataires. Se désintéresser de la conformité votre newsletters au RGPD expose votre entreprise à de lourdes sanctions de la CNIL voir de la justice. En effet, l’envoi d’emailing repose sur la collecte et l’utilisation de données personnelles. On entend par données personnelles toute information qui permettent d’identifier, même très indirectement, une personne physique (article 4 RGPD).

En l’espèce, il s’agit de des données suivantes :

  • Coordonnées d’une personne (même son email professionnel est une donnée personnelle),
  • Son identité (nom, prénom),
  • Et ses centres d’intérêts puisque que vous savez déjà qu’elle s’intéresse aux sujets abordés par votre newsletters.

→ Si vous multipliez ces données par le nombre de personnes dans votre listes de diffusion, vous pouvez vous retrouver à collecter un nombre très important de données personnelles impliquant que vous adoptiez rapidement les bons réflexes RGPD.

Vous souhaitez mettre en place une newsletters “RGPD Friendly” sans risque ? Suivez ce guide.

1- Cartographier les données personnelles de vos contacts

Afin que votre newsletter soit conforme au RGPD, vous allez d’abord devoir réaliser un mapping de votre liste de diffusion et des outils stockant les données personnelles de vos contacts.

💡 Rappelez-vous que vous ne devez collecter et conserver que les informations utiles à la finalité du traitement, à savoir l’envoi de newsletter. On ne stocke pas des informations “au cas où” ! (article 5 RGPD)

Pour réaliser cette cartographie, vous devez identifier l’ensemble des informations conservées et déterminer la manière dont le consentement de votre liste d’abonnés a été obtenu. Vous allez notamment devoir faire le point sur :

  • Les outils utilisés pour stocker les données personnelles et envoyer les newsletters : outils éditoriaux (Trello, Notion), les outils de CRM (Hubspot, salesforce) et bien entendu les outils d’envoi d’e-mails comme MailChimp ou Brevo. Notez de façon exhaustive tous les outils digitaux mais aussi non digitaux (carnets d’adresses client, formulaires papier, fichiers excel etc) que vous utilisez.
  • Le type de données stockées dans ces outils : les données qui identifient directement une personne (le nom, le prénom) ainsi que les données plus “subtiles” et indirectes comme un numéro de téléphone, un numéro client, une date de naissance, etc.

L’audit de vos bases de données et de tous vos outils est indispensable. N’oubliez pas que l’envoi de newsletter doit figurer dans le registre des traitements.

2- Recueillir le consentement pour l’envoi d’une newsletter

Le RGPD énumère plusieurs hypothèses dans lesquelles vous avez juridiquement le droit de collecter et utiliser des informations sur les personnes. Elles portent le nom de “base légales”(article 6 RGPD), comprenez une autorisation juridique à collecter une information. Il en existe 6 :

  • Pour l’exécution d’un contrat,
  • En vertu du consentement exprimée de la personne,
  • En vertu de l’intérêt légitime de l’entreprise,
  • En raison d’une obligation légale,
  • Pour l’exécution d’un intérêt service,
  • Ou pour la sauvegarde d’un intérêt vital.

Chacune de ces raisons ne peuvent être invoquées que pour des cas précis. En ce qui concerne les newsletters, la collecte des données personnelles de vos destinataires ne peuvent être fondée que sur le consentement explicite de la personne concernée, c'est à dire une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le consentement lors de la constitution de la base de données

La première étape pour envoyer vos newsletters est de collecter des adresses emails et autres informations nécessaires.

Il s’agit le plus souvent des coordonnées : nom et prénom de la personne ainsi que l’adresse mail pour envoyer les mails. D’autres informations peuvent également être utiles comme ses préférences, ses centres d’intérêts, son âge, son lieu de résidence, pour pouvoir faire des segmentations de campagne emailing. La segmentation consiste à diviser vos prospects et clients en groupes selon un ou plusieurs critères (par exemple par âge) afin de leur envoyer du contenu personnalisé. Certaines données identifient directement la personne (identité) ou indirectement (âge, lieu de résidence etc.).

Toutes ces informations sont des données à caractère personnel. Leur collecte est soumise à l’accord explicite des personnes concernées.

💡 Nous l’avons évoqué en parlant de la cartographie des données, la collecte de l’information doit être limitée et proportionnelle à la finalité. Vous ne devez collecter que les informations indispensables. Par exemple, inutile de demander une adresse postale à une personne à qui vous désirez envoyer des newsletters.

Le consentement pour l’envoi des newsletters

Concrètement, une personne qui consent à la collecte d’information de certaines de ces données via un formulaire par exemple n’est pas suffisant pour que vous la placiez dans votre liste de diffusion ⚠️  !

En effet, en matière de campagne emailing, on parle d’opt-in : processus par lequel l’inscription d’une personne à la liste de diffusion d’une newsletter requiert une action positive de sa part.

Le plus sûr pour pouvoir envoyer une newsletter à votre destinataire est de lui permettre de cocher une case vous autorisant à envoyer ce type d’emails. En marketing digital, il est recommandé de doter vos formulaires de cases “opt-in” que les personnes cochent pour accepter l’utilisation de leurs données personnelles.

Pour vous assurer de la conformité de l’envoi de newsletter, mettez en place un système de double opt-in :

  • Une case à cocher ;
  • Demander au destinataire de confirmer son consentement via l’adresse de messagerie communiquée.

⚠️  Voici quelques exemples d’erreurs à ne pas faire :

  • Le consentement doit être libre : toute manipulation du consentement étant exclue, il n’est pas admis de proposer une réduction ou une offre promotionnelle à un prospect en échange de son inscription à une newsletter.
  • Le consentement doit être univoque : à ce titre, le RGPD impose l’opt-in. Il est ainsi interdit d’envoyer une newsletter à une personne qui n’aurait pas répondu à votre sollicitation, l’absence de refus ne signifiant pas consentement. Vous ne pouvez pas non plus avoir recours à une case précochée.

3- Prouver le consentement

Avoir l’accord de l’internaute c’est bien. Être en mesure de le prouver c’est mieux !

Vous devez enregistrer la preuve du consentement de vos prospects. En effet, l’opt-in implique que l’entreprise soit en mesure de prouver le consentement de tous les destinataires de la mailing-list.

Quelques bonnes pratiques pour garantir la conformité de vos newsletters au RGPD :

  • Mettre régulièrement à jour la base de données contact : la mise à jour du consentement de l’ensemble de vos contacts est essentielle. Votre liste de diffusion doit toujours être à jour. Celle-ci doit notamment prendre en compte les désabonnements et l’exercice de certains droits.
  • Retirer de votre liste de diffusion les personnes pour lesquelles vous n’avez pas la preuve de leur consentement : mieux vaut éviter d’envoyer des newsletters aux internautes pour lesquels vous n’êtes pas en mesure de prouver l’accord. En cas de contrôle ou de plainte, la sanction pourrait être lourde.
  • Tenir un registre des consentements : ce fichier stockant les preuves d’acceptation doit comprendre pour chaque contact, la date et le mode de collecte du consentement et l’information donnée à l’utilisateur.

4- Informer vos abonnés

Les entreprises ont un devoir d’information envers les internautes ayant souscrit à leur newsletter. L’email doit notamment comprendre les points suivants pour être conforme au RGPD :

  • Les coordonnées de la personne chargée de la gestion et des modifications des données personnelles,
  • L’identité de l’expéditeur,
  • L’adresse physique de l’entreprise (à jour),
  • La nature du message,
  • Le cas échéant : l’existence de prestataires tiers impliqués dans le processus de gestion des newsletters (exemple : Mailchimp) avec un lien pointant vers leur page de confidentialité.

5- Faciliter le désabonnement

Il s’agit d’une obligation imposée par le RGPD facilement vérifiable. Beaucoup d’entreprise se font retoquer par la CNIL sur ce seul élément ☝🏻

La newsletter doit permettre aux abonnés de se désabonner facilement. Le RGPD indique en effet que le consentement doit être aussi facile à retirer qu’à donner (article 7 du RGPD).

Pour cela, le plus pertinent reste d’inclure en fin de newsletter un bouton ou un lien de désabonnement. Ce lien ou ce bouton doit être bien visible et le processus conduisant au désabonnement, simple.

De plus, un désabonnement ne doit pas conduire à désavantager l’internaute, ce qui retirerait le caractère libre du consentement.

Enfin, le désabonnement doit être effectif. Si ce n’est pas automatique, pensez à bien supprimer les coordonnées de la personne concernée de votre liste de diffusion. Des outils permettent de mettre à jour automatiquement vos bases de données.

⚠️  Voici quelques exemples d’erreurs à ne pas faire :

  • N’intégrer aucun lien ni bouton de désinscription directement dans le newsletter,
  • Intégrer un lien difficile à repérer : évitez de placer un lien dans le footer de la newsletter et/ou qui se confond avec les couleurs du mail (par exemple : blanc sur blanc),
  • Permettre aux prospects de se désabonner mais ne pas rendre effectif leur désabonnement : un utilisateur qui s’est désabonné mais reçoit toujours vos newsletter est susceptible, à raison, de se plaindre. Cela peut nuire à votre image d’entreprise et vous exposer à un contrôle de la CNIL.

6- Permettre aux abonnés d’exercer leurs droits au sens large !

Un abonné à votre newsletter a des droits qu’il doit pouvoir exercer facilement. Le désabonnement à une newsletter corresponds techniquement à une demande d’opposition, d’effacement ou de limitation. Mais vos destinataires doivent pouvoir exercer leurs droits au sens large :

  • Le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
  • Le droit de rectification permet la modification et la correction des données personnelles ;
  • Le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
  • Le droit à l’effacement permet d’obtenir l’effacement de ses données ;
  • Le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
  • Le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
  • Le droit à l’intervention humaine face à un profilage.

Pour que l'utilisateur puisse les exercer, vous devez mettre en place de modalités pratiques simples comme un formulaire en ligne ou des coordonnées dédiées. Ces demandes ne doivent jamais rester sans réponse.

⚠️ Ne prenez pas de risque dans l’envoi de newsletters. Un manquement au RGPD comme les envois non sollicités, l’absence de possibilité de se désabonner ou encore l’absence de réponse à un exercice droit vous exposent à une sanction de la part de la CNIL. Le RGPD prévoit des sanctions pouvant être très lourdes : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

💡 Pensez à une solution qui met à votre disposition un portail dédié sur lequel vos utilisateurs peuvent formuler leurs demandes d’exercice de droit. Leto met à votre disposition un module complet de gestion automatisée de ces demandes :

  • Un portail dédiée.
  • Une plateforme sur laquelle les demandes arrivent automatiquement avec l’identité de la personne, sa demande, l’endroit ou se trouvent ces données et la possibilité de demander à un collaborateur de faire la manipulation.
  • Enfin la plateforme gère pour vous l’email de confirmation de mise en oeuvre de la demande et génère automatiquement le registre d’exercice des droits 💁🏻‍♀️

Rendez-vous sur notre simulateur : combien coûte un exercice de droit ?

Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts.

A propos de l'auteur

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?