L’e-mail marketing est un canal de communication qui permet de vendre des produits, mais aussi et surtout de fidéliser un client. Grâce à lui, une entreprise est en mesure d’envoyer des messages personnalisés. Cette pratique implique l’obtention de données personnelles qui sont alors traitées de nouveau dans un objectif publicitaire. L’instauration du RGPD exige des entreprises une mise en conformité des méthodes relatives à l’e-mail marketing.
1. Obtenir le consentement des visiteurs de votre site
Les visiteurs d’un site Internet transmettent par leurs activités des données au responsable de traitement en réalisant différentes activités. Informations au sujet des visites, aux intérêts portés à certains contenus, sont autant de données personnelles qui permettent par exemple la réalisation de profilage ou d’envoi de courriers promotionnels selon vos affinités.
Pour l’obtention du consentement de la part de l’utilisateur, un encart est au minima actif dès la première visite afin de valider l’usage de cookies pour le suivi des activités sur le site. En ce qui concerne la collecte d’information plus précise, comme le nom ou encore les coordonnées, le responsable de traitement demande le consentement par un formulaire avec des cases en opt-in actif. Cela signifie que les cases ne doivent pas être cochées d’office. De cette façon, vous obtenez l’adresse email de l’utilisateur, et surtout le droit de l’utiliser afin de lui envoyer une newsletter, un email marketing, ou tout simplement les mises à jour relatives à son compte. La finalité de la collecte de la donnée est explicitement mentionnée. C’est la raison pour laquelle il est entre autres conseillé de séparer les différentes applications faites des données personnelles dans le formulaire de consentement, ainsi l’utilisateur est en mesure de sélectionner uniquement ce qui l’intéresse.
2. S’assurer que vos listes de contact déjà existantes sont conformes au RGPD
La mise en conformité relative au RGPD implique la mise aux normes de vos procédés de collecte de données personnelles, et la façon dont vous les traitez. Cependant, cela signifie également qu’il faut trier vos bases de contact antérieures afin de ne conserver que les informations relatives aux personnes qui vous ont formellement accordé leur consentement. L’envoi d’un courrier d’une nouvelle demande de consentement fait partie des pratiques utilisées par la plupart des responsables de traitements. L’absence de réponse a pour conséquence l’obligation de supprimer les données personnelles de l’individu, car le consentement n’a pas été obtenu. La campagne de réengagement vous permet d’être transparent avec vos utilisateurs, et ainsi également faire valoir leurs droits d’information.
Certaines bases très anciennes peuvent avoir été obtenues dans des conditions qui aujourd’hui ne respectent pas du tout le RGPD. Les campagnes de réengagement sont intéressantes aussi d’un point de vue commercial. Elles permettent d’identifier les personnes réellement intéressées par les communications de l’entreprise, ce qui permet également de plus facilement les fidéliser.
3. Faire en sorte que vos utilisateurs aient facilement la possibilité de vérifier ou supprimer leurs données
Parmi les obligations que vous avez envers l’utilisateur du site Internet, le droit d’information est primordial. En effet, le RGPD se base sur la notion d’accountability, c’est-à-dire que c’est vous, en tant que responsable de traitement, que devez-vous être en conformité avec le Règlement Général de la Protection des Données.
C’est la raison pour laquelle, dès le formulaire de consentement, l’internaute est informé qu’il a la possibilité d’accéder, vérifier, et demander la suppression de ses données personnelles. Le consentement est en effet révocable à tout moment et sur simple demande. Les modalités qui permettent alors de faire valoir ces droits ne doivent comporter aucune entrave. Pour mettre en place cette obligation, vous pouvez opter pour la mise à disposition d’un lien de désinscription dans les emails, ou encore d’une page qui permet à l’utilisateur connecté de gérer ses données personnelles.
4. Être sûr de vos partenaires
Le RGPD tient compte à la fois du responsable de traitement et de son sous-traitant. Lors d’un contrôle, les deux parties sont concernées à la fois par les obligations et les risques de sanctions. Ces dernières prennent la forme d’amendes administratives, mais elles peuvent également aboutir à des procédures pénales.
Pour une entreprise qui réalise des campagnes d’e-mail marketing, l’utilisation d’outil d’envoi de courriers électroniques, et de créations de contenus est quotidienne. Création des messages personnalisés, connexion à une base de données personnelle, déclenchent le transfert de données à une entreprise tiers qui en a besoin pour réaliser sa mission. Le sous-traitant choisi doit alors se conformer aux règlements pour le respect de la vie privée et la sécurisation des données personnelles utilisées. La mise en conformité avec le RGPD est en conséquence un critère de choix de prestataire important. Les risques juridiques sont réels, et la vérification des conditions dans lesquelles seront traitées les données est une étape inévitable.
Les nouvelles modalités de gestion de l’e-mail marketing selon le RGPD sont valables en France, dans les pays de l’Union européenne, mais aussi de façon générale aux habitants de l’UE. La mise en conformité demande un travail technique de traitement des données antérieures, et de structuration des bases afin d’être en mesure de justifier chaque traitement enregistré dans le registre des activités. En cas de contrôle, les sanctions peuvent s’avérer lourdes pour l’entreprise. Mais un utilisateur peut également tout à fait porter plainte lorsque ses droits n’ont pas été respectés, notamment pour le droit à l’effacement des données dans le cadre d’une prospection commerciale non sollicitée. Le délégué à la protection des données (DPO) est le responsable de la mise en place des moyens organisationnels et techniques pour le respect du RGPD. Présent dans chaque entreprise, il est désigné auprès de la CNIL, et assure le respect des droits des utilisateurs en cas de demandes spécifiques relatives à l’e-mail marketing et au-delà. La demande d’opposition pour ne plus recevoir les newsletters, tout en restant abonné pour suivre les actualités sur le site même, fait partie des requêtes courantes que peut recevoir un DPO.
