Lorsque le RGPD est entré en vigueur en mai 2018, il a provoqué une onde de choc dans le monde de l’email marketing. Du jour au lendemain, l’approche décontractée des listes d’email qui avait fonctionné pendant des décennies est devenue potentiellement illégale. Les entreprises se sont empressées d’obtenir des consentements, de purger les adresses non conformes et de reconstruire leurs programmes d’emailing de fond en comble.
Cinq ans plus tard, le RGPD demeure la réglementation la plus importante en matière de confidentialité affectant les marketeurs par email. Si vous envoyez des emails à quiconque dans l’Union européenne — quel que soit l’emplacement de votre entreprise — vous devez comprendre et respecter les exigences du RGPD.
L’exigence de consentement
L’exigence la plus déterminante du RGPD pour les marketeurs par email est le consentement. Contrairement à CAN-SPAM, qui autorise les emails commerciaux non sollicités tant que certaines règles sont respectées, le RGPD impose une base légale pour le traitement des données personnelles — et pour les emails marketing, cette base est presque toujours le consentement.
Le consentement au sens du RGPD doit être libre, spécifique, éclairé et sans ambiguïté. La personne doit accomplir une action affirmative claire pour s’abonner. Les cases précochées ne comptent pas. Le consentement groupé (accepter le marketing comme condition d’utilisation d’un service) ne compte pas. Le silence ou l’inactivité ne comptent pas.
Vous devez expliquer clairement à quoi ils consentent : qui leur écrira, quel type de contenu, à quelle fréquence. Un langage vague comme 'nous pouvons vous contacter avec des offres' n’est pas suffisamment précis. 'Nous vous enverrons des mises à jour produits hebdomadaires et des offres promotionnelles occasionnelles' est mieux.
Le consentement doit être documenté. Vous devez pouvoir prouver que chaque personne de votre liste a effectivement consenti, quand elle a consenti, et à quoi elle a consenti. Si vous ne pouvez pas prouver le consentement, vous ne l’avez pas.
Le consentement peut être retiré à tout moment, et le retrait doit être aussi simple que l’obtention du consentement. Si quelqu’un peut s’abonner en un clic, il doit pouvoir se désabonner en un clic.
Intérêt légitime : l’autre base légale
Il existe une alternative au consentement appelée 'intérêt légitime', mais elle est plus restreinte que ce que beaucoup de marketeurs espèrent.
L’intérêt légitime peut s’appliquer lorsque vous avez une relation client existante et que le marketing est lié à des produits ou services qu’ils ont déjà achetés. Si quelqu’un a acheté des chaussures de course chez vous, vous pourriez avoir un intérêt légitime à lui envoyer des emails à propos d’équipement de running.
Mais l’intérêt légitime implique un test de mise en balance. Votre intérêt pour le marketing ne doit pas l’emporter sur les droits et les attentes de l’individu. S’ils ne s’attendent pas raisonnablement à recevoir votre email, l’intérêt légitime ne s’applique probablement pas.
Même avec l’intérêt légitime, vous devez offrir une option de refus facile au point de collecte des données et dans chaque email. Et vous devez documenter votre analyse d’intérêt légitime — pourquoi vous estimez qu’il s’applique et comment vous avez mis en balance les intérêts.
En pratique, la plupart des marketeurs par email s’appuient sur le consentement plutôt que sur l’intérêt légitime. Le consentement est plus clair, plus facile à documenter et moins susceptible d’être contesté. L’intérêt légitime est un filet de sécurité pour des situations spécifiques, pas une autorisation générale d’envoyer des emails.
Droits des personnes concernées
Le RGPD confère aux individus des droits étendus sur leurs données personnelles, et ces droits influent sur la façon dont vous gérez les listes d’email.
Le droit d’accès signifie que les personnes peuvent demander une copie de toutes les données que vous détenez à leur sujet, y compris leur historique d’email, leurs préférences et toute donnée de profilage. Vous devez répondre dans un délai d’un mois.
Le droit de rectification signifie que les personnes peuvent corriger des données inexactes. Si l’adresse email ou les préférences de quelqu’un sont incorrectes, elles peuvent exiger que vous les corrigiez.
Le droit à l’effacement ('droit à l’oubli') signifie que les personnes peuvent demander la suppression de leurs données. Si quelqu’un demande à être effacé, vous devez supprimer son adresse email et les données associées, pas seulement le désabonner.
Le droit à la portabilité des données signifie que les personnes peuvent demander leurs données dans un format lisible par machine pour les transférer vers un autre service. C’est moins courant pour l’email mais cela s’applique tout de même.
Le droit d’opposition signifie que les personnes peuvent s’opposer à un traitement fondé sur l’intérêt légitime. Si elles s’y opposent, vous devez arrêter, à moins de pouvoir démontrer des motifs légitimes impérieux.
Vous avez besoin de processus pour traiter ces demandes. Quelqu’un dans votre équipe doit être responsable de répondre dans les délais requis. Ignorer les demandes des personnes concernées constitue une violation de conformité.
Mesures techniques et organisationnelles
Le RGPD exige des 'mesures techniques et organisationnelles appropriées' pour protéger les données personnelles. Pour l’email, cela signifie :
Stockage sécurisé des listes d’email et des données des abonnés. Chiffrement, contrôles d’accès et évaluations de sécurité régulières. Votre liste d’email est une donnée personnelle ; traitez-la en conséquence.
Minimisation des données — ne collectez et ne conservez que les données dont vous avez réellement besoin. Si vous n’avez pas besoin de la date de naissance de quelqu’un pour votre programme d’email, ne la collectez pas. Si vous n’avez pas besoin de cinq ans d’historique d’email, ne le conservez pas.
Gestion des fournisseurs pour tout tiers qui traite des données pour votre compte. Votre prestataire d’email, votre CRM, vos outils d’analyse — tous doivent être conformes au RGPD, et vous avez besoin d’accords de traitement des données avec chacun.
Procédures de notification des violations de données. Si des données d’abonnés sont compromises, vous devrez peut-être notifier les autorités dans les 72 heures et les personnes concernées sans délai injustifié. Ayez un plan avant d’en avoir besoin.
Protection des données dès la conception — intégrer les considérations de confidentialité à votre programme d’email dès le départ, plutôt que de les ajouter après coup. Cela inclut des paramètres de confidentialité par défaut, des parcours de consentement clairs et une gestion des préférences facile.
Application et sanctions
Les sanctions du RGPD sont sévères : jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ce ne sont pas des cas théoriques — les autorités ont infligé des amendes substantielles pour des violations liées aux emails.
Au-delà des amendes, les mesures d’application peuvent inclure des ordonnances de cessation de traitement, ce qui pourrait mettre votre programme d’email complètement à l’arrêt. Les dommages de réputation dus à une action publique peuvent être pires que l’amende elle-même.
L’application varie selon les pays. Certains États membres de l’UE sont plus agressifs que d’autres. Mais, avec le mécanisme du guichet unique, une plainte dans n’importe quel pays de l’UE peut conduire à une application dans toute l’Union.
Les plaintes individuelles alimentent de nombreuses enquêtes. Une seule personne signalant vos pratiques d’email non conformes peut déclencher un examen réglementaire. Avec des millions de résidents de l’UE conscients de leurs droits au titre du RGPD, le risque de plaintes est bien réel.
Le Royaume-Uni a sa propre version du RGPD après le Brexit, avec des exigences et des sanctions similaires. Si vous envoyez à des adresses au Royaume-Uni, vous devez respecter le RGPD du Royaume-Uni ainsi que le RGPD de l’UE.
Étapes pratiques de conformité
Rendre votre programme conforme au RGPD n’est pas un projet ponctuel — c’est une pratique continue. Voici par où commencer :
Auditez votre liste actuelle. Pour chaque abonné, pouvez-vous prouver le consentement ? Sinon, vous devez soit obtenir à nouveau leur consentement, soit les retirer. C’est pénible mais nécessaire.
Corrigez vos formulaires d’inscription. Langage de consentement clair, cases d’opt-in non cochées, liens vers votre politique de confidentialité. Enregistrez le consentement avec horodatage et le texte exact auquel ils ont consenti.
Mettez en place des centres de préférences. Laissez les abonnés contrôler ce qu’ils reçoivent et à quelle fréquence. Des préférences granulaires réduisent les désabonnements et témoignent du respect de leurs choix.
Examinez vos fournisseurs. Assurez-vous que votre prestataire d’email, votre CRM et vos autres outils sont conformes au RGPD. Concluez des accords de traitement des données avec chacun.
Formez votre équipe. Toute personne qui manipule des données d’email doit comprendre les bases du RGPD. La conformité échoue lorsque quelqu’un qui ne connaît pas les règles commet une erreur.
Documentez tout. Vos registres de consentement, vos analyses d’intérêt légitime, vos accords de traitement des données, vos mesures de sécurité. Si vous ne pouvez pas prouver la conformité, vous n’êtes pas conforme.
Frequently asked questions
Le RGPD s’applique-t-il si mon entreprise n’est pas dans l’UE ?
Oui. Le RGPD s’applique au traitement des données des résidents de l’UE, quel que soit l’endroit où se trouve le responsable ou le sous-traitant. Si vous envoyez des emails à des personnes dans l’UE, le RGPD s’applique à vous.
Puis-je envoyer des emails aux clients existants sans nouveau consentement ?
Possiblement, au titre de l’intérêt légitime, si le marketing concerne des produits similaires qu’ils ont achetés. Mais vous devez documenter votre analyse d’intérêt légitime et offrir une désinscription facile. En cas de doute, obtenez le consentement.
Et les emails B2B ?
Le RGPD s’applique aux données personnelles, ce qui inclut les adresses email professionnelles qui identifient des individus ([email protected]). Les adresses génériques ([email protected]) ne sont peut-être pas des données personnelles, mais les contacts professionnels individuels sont concernés.
Combien de temps puis-je conserver les données des abonnés email ?
Uniquement pendant la durée nécessaire à la finalité. Si quelqu’un n’a pas interagi depuis des années, vous n’avez probablement pas de raison légitime de conserver ses données. Définissez des périodes de conservation et appliquez-les.