La législation est mieux connue sous l’appellation RGPD, signifiant Règlement général sur la protection des données.

Les entreprises et organisations qui traitent des données à caractère personnel de citoyens de l’Union européenne doivent pouvoir prouver qu’elles prennent toutes les mesures techniques et organisationnelles possibles pour protéger ces données.

Cela signifie aussi que les responsables du marketing vont devoir réfléchir d’une autre manière aux données, plutôt en termes de "à quelles informations avons-nous accès, et de quelles autorisations disposons-nous ?".

Quel est l’impact du RGPD ?

Le RGPD s’applique à toute entreprise qui collecte des données à caractère personnel d’habitants de l’Union européenne. Si vous recueillez des données de contact et envoyez des e-mails à des contacts se trouvant au sein de l’Union européenne, vous devez vous conformer au RGPD, peu importe où votre siège principal est établi.

Quels changements apportés par le RGPD sont importants pour les responsables du marketing par e-mail ?

Le RGPD s’applique aux différents aspects de l’e-mail marketing, mais surtout à la manière dont les responsables du marketing demandent, obtiennent et conservent le consentement de l’utilisateur. Voici ce que vous devez savoir :

Règles plus strictes à respecter pour recueillir le consentement

Grâce au nouveau RGPD, les responsables du marketing ne pourront envoyer des e-mails qu’aux contacts qui ont clairement donné leur opt-in pour recevoir des communications. C’était déjà le cas dans l’ancienne législation, mais le RGPD rend les circonstances de ce consentement plus spécifiques. Pour être conforme à la législation, le consentement doit être donné de façon libre, spécifique, éclairée et univoque.

"Donné de façon libre" signifie que vous pouvez par exemple recourir à une case à cocher sur votre site web (case qui ne peut donc pas être déjà cochée au préalable). Un consentement tacite, des cases cochées au préalable ou une autre forme d’inactivité ne suffit donc pas.

De plus, votre processus d’opt-in prévu sur votre site web doit informer vos contacts avec précision de la nature des données que vous conservez à leur sujet, ainsi que des modalités et de la raison de cette conservation. Il en va d’ailleurs de même de votre politique en matière de cookies. Si vous avez par exemple l’intention d’analyser le comportement de vos contacts pour personnaliser le contenu et les annonces, vos contacts doivent également avoir la possibilité d’y consentir ou de s’y opposer.

Cela signifie qu’un certain nombre de pratiques utilisées aujourd’hui par certains responsables du marketing pour étoffer leur base de données ne sont pas automatiquement légales au regard du RGPD.

Un visiteur a laissé son adresse e-mail pour télécharger un whitepaper ou participer à un concours ? Si vous ne l’avez pas prévenu que vous alliez utiliser ses données à caractère personnel pour des messages de marketing – et s’il n’a pas consenti explicitement à cet usage de ses données –, il ne sera pas légal d’ajouter ces adresses à votre liste de publipostage.

Nouvelles exigences pour la conservation du consentement

Le RGPD réglemente non seulement la manière dont vous recueillez le consentement, mais vous oblige aussi à enregistrer et conserver ces consentements.

Le RGPD impose donc très clairement la charge de la preuve aux entreprises. Autrement dit, ce sera à vous, en cas de contestation, de montrer et d’apporter la preuve raisonnable que vous avez agi conformément au RGPD. Mieux vaut donc conserver des captures d’écran des formulaires lorsque vous les remplacez sur votre site web ou dans votre appli, histoire d’étayer votre charge de la preuve.

Si vous voulez vous conformer au RGPD, augmenter l’engagement et minimaliser les désinscriptions, un Preference Center n’est pas un luxe : il vous permet en effet de rationaliser votre communication et d’offrir à vos contacts l’opportunité de s’inscrire et se désinscrire spécifiquement pour les différents types de communications. De cette manière, vous laissez entièrement le contrôle à votre public cible.

Nouveaux standards pour l’actualisation des données existantes

À l’avenir, vous allez devoir adapter la manière dont vous recueillez et conservez vos informations. Mais ce n’est évidemment pas tout. Le RGPD s’applique en effet aussi aux données dont vous disposez déjà.

Si votre base de données contient des abonnés dont vous ne pouvez pas prouver le consentement selon les standards du RGPD, ou si vous ne pouvez pas apporter les preuves nécessaires pour certains contacts, vous n’avez plus le droit de leur envoyer des e-mails. Veillez donc à mettre en temps voulu les données que vous avez déjà recueillies en conformité avec le nouveau standard. Il est probable que d’ici l’entrée en vigueur du nouveau RGPD, nombre d’entreprises mettent sur pied des campagnes de réactivation pour redemander le consentement de leurs contacts.

Allez-vous devoir modifier tout votre programme d’e-mails ?

Les règles plus rigoureuses en matière de protection de la vie privée et d’opt-in effraient nombre de responsables du marketing, qui craignent de ne plus pouvoir étoffer leur base de données aussi rapidement qu’avant. Par ailleurs, la vérification et – le cas échéant – l’adaptation des processus d’opt-in existants demanderont du temps et des efforts.

Certaines marques internationales envisagent de prévoir des processus distincts pour les visiteurs et contacts européens, mais la tenue à jour en parallèle des deux processus monopolise beaucoup de temps et de ressources. La meilleure option pour ces entreprises consiste donc à appliquer le RGPD à tous leurs contacts.

Une conséquence directe à court terme pourrait naturellement être de ralentir l’accroissement de votre base de données, mais d’un autre côté, vous aurez la certitude de n’envoyer des communications qu’aux contacts qui veulent vraiment les recevoir. La qualité générale de vos listes a donc tout à y gagner. De plus, une liste de contacts actifs est synonyme d’une meilleure délivrabilité et de davantage d’engagement.

Autre avantage de l’intégration du RGPD dans votre politique : la nouvelle législation européenne sur la protection de la vie privée compte parmi les plus rigoureuses au monde. Ce qui signifie qu’une fois que vous vous y conformez, vous respectez probablement aussi les autres législations internationales.

Nouvelles exigences pour la protection des données

Le partage en ligne d’informations et de connaissances est devenu incontournable de nos jours. Une politique en matière de protection de la vie privée et de cybersécurité n’est donc pas un luxe, mais n’en requiert pas moins une grande expertise et une bonne compréhension d’une matière complexe.

Un malentendu courant consiste à penser qu’il suffit de crypter les données pour se conformer au RGPD. Cependant, le cryptage des données doit plutôt être vu comme le standard minimal, et des mesures additionnelles sont pour ainsi dire indispensables. Les entreprises doivent offrir d’autres possibilités pour protéger les données à caractère personnel, comme l’utilisation de la vérification en deux étapes et la suppression permanente des données qui ne sont plus utilisées.

Autre malentendu fréquent : ce n’est pas parce que vos données sont conservées dans le cloud que la responsabilité de la protection des données incombe entièrement à votre fournisseur de services de cloud et/ou de sécurité !

Le RGPD s’applique non seulement aux entreprises qui stockent des données, mais aussi à celles qui les traitent. Cela signifie que le RGPD s’applique également à l’entreprise elle-même, même si celle-ci fait appel à des fournisseurs externes pour le stockage des données dans le cadre du traitement.

Et si vous ne respectez pas les règles ?

En marge de règles plus strictes en matière de consentements et d’utilisation des données à caractère personnel, le RGPD prévoit également de nouvelles amendes, plus élevées que jamais, pour les entreprises qui ne respectent pas les règles. Ne pas se conformer à la législation peut engendrer des amendes atteignant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial total de l’exercice écoulé, selon le montant le plus élevé.

Sans parler bien entendu des éventuels replis des ventes dus à la perte de la confiance des clients, du préjudice causé à votre réputation et à votre marque, ni des procès potentiels.

Bien que l’on ignore bien entendu encore quelles amendes auront cours dans la pratique, il est clair que les autorités ne sont pas en mesure de poursuivre toutes les marques qui ne se conformeront pas au RGPD. Elles se fieront dans une large mesure aux consommateurs qui dénoncent des abus, en accordant probablement la priorité aux violations les plus sérieuses.

Le même scénario a été observé après l’introduction de la législation CASL au Canada, avec des cas extrêmes comme celui de Compu-Finder, un fournisseur de formations canadien qui s’est vu infliger une amende de 1,1 million de dollars canadiens en 2015. Selon les autorités, Compu-Finder avait envoyé des e-mails sans consentement, ainsi que des messages dont la fonctionnalité de désinscription était défectueuse. Pour vous donner une idée, les plaintes au sujet de Compu-Finder représentaient 26 % du total des plaintes introduites dans le cadre de la législation CASL dans son secteur.

Flexmail vous guide tout au long du processus qui vous permettra de vous conformer au RGPD : Abonnez-vous à notre communication consacrée au RGPD !

www.flexmail.eu