E-mail. Intelligent. Concentré.
Un e-mail rapide et multiplateforme conçu pour filtrer le bruit.
Définition
💡 RGPD : Le Règlement Général sur la Protection des Données, la grande loi européenne sur la confidentialité qui encadre la collecte, le stockage et l’utilisation des données personnelles (y compris les adresses e-mail). Entré en vigueur le 25 mai 2018, il s’applique à toute organisation qui traite les données de résidents de l’UE, peu importe où l’entreprise est située.
Quand le RGPD entre-t-il en jeu pour l'e-mail ?
Si vous envoyez des e-mails à qui que ce soit en Europe, vous relevez de la juridiction du RGPD.
Le règlement vous oblige à sécuriser les données des personnes et à leur permettre de contrôler facilement ce que vous en faites.
Les organisations qui enfreignent le RGPD s'exposent à des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Ce n'est pas une simple tape sur les doigts.
Pour l'e-mail en particulier, le RGPD a tout changé dans le fonctionnement des messages marketing et transactionnels. Vous ne pouvez pas simplement acheter une liste et commencer à envoyer des messages en masse. Le RGPD impose aux entreprises d'obtenir un consentement clair et explicite avant de contacter quiconque par e-mail. Cela signifie de vraies cases d'inscription que les gens cochent activement, et non des cases précochées ou un consentement implicite.
Mais il ne s'agit pas seulement du marketing. Le RGPD re9git l'ensemble de vos ope9rations d'e-mail. La durée de conservation des messages, la façon dont vous les sécurisez et ce qui se passe lorsque quelqu'un vous demande de supprimer ses données. C'est plus important que la plupart des gens ne le pensent.
Ce qu'exige le RGPD
Il existe quatre grands domaines de conformité :
Base juridique du traitement. Vous avez besoin d'une base légale pour collecter et utiliser l'adresse e-mail de quelqu'un. Le traitement n'est autorisé que si la personne concernée a donné son consentement, ou s'il existe une autre base juridique. Pour les e-mails marketing, il s'agit presque toujours du consentement. Pour les e-mails transactionnels (confirmations de commande, réinitialisations de mot de passe), vous pouvez plutôt vous appuyer sur l'intérêt légitime ou la nécessité contractuelle.
Droits des personnes. Les personnes peuvent demander l'accès à leurs données, vous demander de les corriger ou exiger que vous les supprimiez entièrement. Le célèbre « droit à l’oubli » vous oblige à supprimer les données personnelles lorsqu’elles ne sont plus nécessaires. Vos systèmes d'e-mail doivent réellement prendre en charge ces demandes, pas seulement les accuser réception.
Sécurité des données. Le RGPD exige une protection des données dès la conception et par défaut, ce qui signifie que les organisations doivent toujours prendre en compte les implications en matière de protection des données de tout produit ou service nouveau ou existant. Le chiffrement des e-mails est explicitement mentionné comme une mesure technique que vous devriez mettre en œuvre. Il y a cinq ans, l'e-mail chiffré n'était pas pratique. Aujourd'hui, c'est incontournable.
Preuve de conformité. Vous avez besoin de registres. Quand la personne a donné son consentement, comment elle l’a fait et ce qu’elle a accepté. Le RGPD exige que les entreprises conservent des preuves du consentement, notamment qui a donné son autorisation, quand et comment cela a été fait, et quelles informations lui ont été présentées à ce moment-là. Sans documentation, vous ne pouvez pas prouver la conformité lors d'un audit.
Bien gérer le consentement par e-mail
Le consentement est valable s'il est libre, éclairé, univoque et spécifique. C'est ce dernier point qui pose souvent problème. Vous ne pouvez pas regrouper le consentement aux e-mails marketing avec le consentement aux conditions d'utilisation. Ce sont deux choses distinctes qui exigent des cases à cocher distinctes.
Voici à quoi ressemble un consentement valide : quelqu’un visite votre site, voit une case décochée indiquant « Oui, envoyez-moi des mises à jour produits chaque semaine », la coche volontairement, puis envoie le formulaire. Cela fonctionne.
Ce qui ne fonctionne pas : les cases précochées. Le consentement implicite donné par le simple fait d'effectuer un achat. Supposer que le silence signifie oui. Si vous ne disposez pas du consentement explicite et sans ambiguïté du visiteur pour recevoir des messages marketing, vous ne pourrez pas lui envoyer de messages — sous peine de lourdes amendes.
Le double opt-in est encore mieux. Une fois que quelqu'un remplit le formulaire d'inscription et clique sur envoyer, un e-mail contenant un lien de confirmation lui est envoyé, et les communications marketing ne commencent qu'après confirmation de son consentement. Cela évite les abonnements accidentels et vous donne une preuve de consentement très solide.
Il existe une exception : le consentement implicite pour les clients existants. Si vous obtenez l'adresse e-mail de votre client lors de la vente de votre produit ou service, vous pouvez l'utiliser pour le marketing direct de produits similaires, à condition de proposer une option d'inscription. Mais vous avez quand même besoin de ce lien de désinscription dans chaque message.
Conservation et suppression des données
L'article 5(e) indique que les données personnelles peuvent être conservées « pas plus longtemps que nécessaire aux fins pour lesquelles elles sont traitées ». La plupart d'entre nous ne suppriment jamais leurs e-mails. C'est maintenant un problème de conformité.
Vous avez besoin d'une politique de conservation. Combien de temps conservez-vous les e-mails des clients ? Les tickets d'assistance ? Les listes marketing ? Quelle que soit votre décision, documentez-la et appliquez-la réellement. Certains services de messagerie proposent une option d'e-mail expirant qui permet de programmer la suppression des messages après une durée définie.
Quand quelqu'un demande la suppression, vous devez agir. Après le désabonnement d'une personne, vous devriez supprimer son nom et ses informations personnelles de votre liste e-mail. Conservez uniquement ce qu’il faut pour garder la trace de leur désinscription, rien de plus.
Conseils de conformité au RGPD
Plus important encore, lisez les règles du RGPD et tenez-vous au courant sur le site web du RGPD. Ces règles peuvent évoluer avec le temps ; vous devriez donc les vérifier périodiquement pour vous assurer que vous êtes en conformité.
En cas de doute, faites appel à un spécialiste pour vous aider à mettre en place des systèmes conformes à la réglementation.
Utilisez le double opt-in pour toutes les listes marketing. C'est la preuve de consentement la plus propre et cela filtre les fausses adresses.
Facilitez la désinscription. Selon les normes du RGPD, retirer son consentement doit être aussi facile que de le donner. Des liens de désinscription en un clic dans chaque e-mail. Aucun obstacle, aucune culpabilisation.
Chiffrez les e-mails lorsque c'est possible. Le RGPD mentionne explicitement le chiffrement comme mesure de protection. Les services d'e-mail chiffrés de bout en bout existent désormais et ne sont pas si difficiles à mettre en place.
Séparez le transactionnel du marketing. Bases juridiques différentes, règles de conservation différentes. Gardez-les dans des systèmes différents si possible.
Documentez tout. Registres de consentement, politiques de conservation, mesures de sécurité. Si vous ne pouvez pas prouver que vous avez essayé d'être en conformité, les sanctions sont plus lourdes.
Vérifiez régulièrement vos listes e-mail. Supprimez les abonnés inactifs, vérifiez que la documentation de consentement existe toujours et confirmez que les demandes de désinscription ont bien été traitées.
Contenu associé
Termes associés