Guide pratique et obligations légales pour créer une newsletter conforme au RGPD

››

Faire le bilan de votre présence en ligne

Faire le bilan de votre présence en ligne

Évaluez gratuitement votre maturité numérique et obtenez un bilan personnalisé de votre présence en ligne, visibilité, réputation et développement commercial

Faites votre autodiagnostic

Données personnelles, RGPD et Newsletter

Le Règlement Général sur la Protection des Données (RGPD) est une législation européenne entrée en vigueur le 25 mai 2018, s’appliquant aux 28 pays membres de l’Union Européenne à l’époque de sa mise en œuvre. Son objectif est de renforcer la protection des données personnelles des citoyens et d’uniformiser les règles relatives à leur traitement au sein de l’Union. Toute entreprise, qu’elle soit basée dans l’UE ou en dehors, est soumise à ce règlement dès lors qu’elle traite des données personnelles de résidents européens.

Les données personnelles regroupent toutes les informations permettant d’identifier directement ou indirectement une personne physique. Cela inclut :

• Les données d’identité comme le nom ou le prénom ;
• Des informations de contact telles que le numéro de téléphone ou l’adresse e-mail ;
• Des éléments socio-économiques ou culturels, comme un numéro de client, une localisation géographique ou des préférences spécifiques.

Dans le cadre d’une newsletter, les données personnelles des abonnés, notamment leurs adresses e-mail ou autres informations collectées, sont évidemment concernées par le RGPD. Ainsi, tout professionnel ou toute organisation envoyant des newsletters doit impérativement s’assurer de leur conformité avec la réglementation en vigueur.

Les entreprises doivent notamment prêter une attention particulière au consentement des utilisateurs lors de la collecte de leurs données pour l’envoi de newsletters. Ce consentement doit être :

• Libre : l’utilisateur doit pouvoir choisir de s’inscrire sans contrainte.
• Éclairé : les finalités de la collecte des données doivent être clairement expliquées.
• Spécifique : le consentement ne peut pas être général ou implicite.
• Univoque : une action explicite (comme cocher une case volontairement) doit prouver l’accord de l’utilisateur.

Avant de programmer l’envoi d’une newsletter, plusieurs points doivent ainsi être vérifiés :

• La méthode utilisée pour collecter les adresses e-mail respecte-t-elle les normes du RGPD ?
• Les abonnés ont-ils la possibilité de se désinscrire facilement, grâce à un lien de désabonnement visible et fonctionnel ?
• Les données personnelles sont-elles sécurisées et accessibles uniquement aux parties autorisées ?
• Une politique de conservation des données est-elle mise en place, permettant la suppression des informations des utilisateurs qui en font la demande ?

RGPD et newsletter : les 3 règles majeures

En matière de newsletters en BtoC, le RGPD impose trois obligations essentielles : 

• Les entreprises envoyant des mails sous forme de newsletters doivent d’abord obtenir le consentement des destinataires ;
• Elles doivent être en mesure de prouver ce consentement ;
• Les destinataires doivent pouvoir se désabonner très facilement de ce service.

Les réglementations sur le BtoB étant un peu différentes, notamment sur le volet consentement, nous vous les avons précisées par la suite.

Règle 1 : le recueil du consentement de l’abonné

Le consentement éclairé de l’utilisateur avant tout traitement de données, et donc avant son intégration dans la base de données d’une newsletter, est obligatoire. Vous devez pouvoir prouver la bonne information de l’utilisateur sur son abonnement et l’obtention dudit consentement.

Pour cela, vous devez avoir obtenu « l’opt-in actif » de l’utilisateur. Autrement dit, il faut explicitement solliciter l’inscription à la newsletter du point de vue du RGPD, en cochant une case d’acceptation spécifique sans que celle-ci n’ait été associée à l’obtention d’un service. Par exemple, il faut prévoir deux cases à cocher plutôt que de proposer seulement « inscrivez-vous à la newsletter pour recevoir votre devis gratuit ». Vous devrez typiquement créer deux cases : « souhaitez-vous vous inscrire à notre newsletter ? » et « souhaitez-vous recevoir le devis gratuit ? »

Que ce soit sur un formulaire papier ou web, la case ne doit en aucun cas être pré-cochée ou être formulée avec une négation (ex : je ne souhaite pas m’abonner). Cet accord passif est contraire à la définition du consentement par le RGPD dans ses articles 4 et 7 : « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Règle 2 : la preuve du consentement de l’abonné

Si vous n’êtes pas en mesure de fournir ces informations sur le consentement, il est recommandé de mener une campagne de requalification. Cela consiste à recontacter vos abonnés pour obtenir leur accord en bonne et due forme. Vous pouvez procéder par e-mail en expliquant à vos abonnés l’objet de votre démarche. Pour être en conformité avec le RGPD, le formulaire de votre newsletter peut ainsi être utilisé pour pouvoir recueillir directement au format base de données les opt-ins de vos contacts.
Si un taux de déperdition est toujours à prévoir, cette démarche de mise en conformité sera bien vue par vos contacts réactifs et permettra de limiter vos frais d’envoi, en ignorant les contacts non actifs. De plus, le fait de conserver uniquement les données nécessaires et pertinentes est conforme au principe de minimisation des données (article 5 du RGPD).

Règle 3 : le rappel des mentions obligatoires et l’option de désinscription

En supplément de l’opt-in, lorsque vous proposez à vos clients de s’abonner à votre newsletter, vous devez toujours leur indiquer l’objectif, les conditions et la possibilité de se désinscrire. Cela fait partie des mentions légales d’une newsletter RGPD compatible.

N’hésitez pas à rappeler votre politique de gestion des données lors de votre première lettre, ou lors de la confirmation d’inscription (dit double opt-in). Il s’agit de détailler pour chaque traitement de données personnelles : 

• Sa finalité ;
• Sa base juridique ;
• Sa durée ;
• Les catégories de données traitées ;
• Les conditions de collecte ou indirecte des données ;
• Si les données collectées sont obligatoires ou facultatives ;
• Ses destinataires ;
• Le cas échéant, les transferts hors Union européenne (UE) avec les modalités de protection adéquate de vos données.

Vous devez aussi préciser comment exercer son droit d’accès, de modification ou de suppression, prévu par l’article 15 du RGPD. Une option de désabonnement doit ensuite être proposée à chaque newsletter, y compris dans le cadre du commerce BtoB, via a minima un lien hypertexte discret en bas de votre message. Vous pouvez également proposer la désinscription par simple retour d’e-mail.

Attention : vous ne pourrez pas intégrer de promotions ou offres commerciales dans votre newsletter, si vous ne l’avez pas indiqué ou proposé en option à cocher dans votre module d’abonnement à votre newsletter. Une exigence qui découle du principe de spécificité du consentement (article 7). Si le consentement a été donné uniquement pour des contenus informatifs, y inclure des promotions sans avertissement préalable est interdit.

Exemple de politique de gestion des données
Pour mieux comprendre comment une politique de gestion des données peut respecter le RGPD, consultez celle de Réussir en.fr. Elle détaille les finalités du traitement, les droits des utilisateurs et les mesures de protection mises en place.

Les différences entre BtoB et BtoC

Les règles relatives à l’envoi de newsletters dans le cadre du RGPD sont globalement similaires en BtoB (commerce interentreprise) et en BtoC (commerce entre entreprises et particuliers). Toutefois, des distinctions existent en ce qui concerne le consentement.

Contrairement au BtoC, où le consentement préalable explicite est obligatoire, le commerce BtoB bénéficie d’une dérogation dans certaines situations : il n’est pas nécessaire d’obtenir de consentement si la newsletter concerne des produits ou services en lien direct avec la fonction professionnelle du destinataire. Par exemple, un logiciel de comptabilité peut être promu auprès d’un comptable sans consentement préalable. Cependant, les destinataires doivent toujours disposer d’une option claire et simple de désabonnement.

Par ailleurs, sur les données personnelles : l’adresse e-mail d’un particulier ou d’un professionnel est considérée comme une donnée personnelle. Concernant l’adresse e-mail « professionnelle », elle sera considérée comme une donnée personnelle si elle comporte le nom, le prénom, l’identité du destinataire. A l’inverse, une adresse générique de type « contact@société.com » n’est pas une donnée personnelle, vu qu’elle ne permet pas d’identifier directement une quelconque personne physique.

Les sanctions en cas de non-respect du RGPD

Le RGPD concerne un large champ d’actions et les sanctions en cas de non-conformité peuvent être lourdes, tant en termes financiers qu’en termes de restrictions d’activité.

Procédure ordinaire

Dans les cas de non-respect grave du RGPD, les sanctions maximales peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé. Ces amendes concernent des infractions majeures :

• L’absence de consentement pour le traitement des données personnelles ;
• Le non-respect des droits des utilisateurs (accès, rectification, suppression) ;
• Une violation des principes fondamentaux (minimisation ou sécurité des données).

Il faut donc faire le point régulièrement pour savoir où vous en êtes avec la protection des données personnelles de vos clients et si vos prestataires sont aussi respectueux de la loi.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL, soit l’instance collégiale qui examine les cas soumis à sanction quand une enquête a lieu, peut :

• prononcer un rappel à l’ordre si l’infraction est mineure ;
• enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
• limiter temporairement ou définitivement un traitement des données personnelles ;
• suspendre les flux de données personnelles vers des pays tiers n’offrant pas de garanties suffisantes ;
• ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
• prononcer une amende administrative.

Procédure simplifiée

La procédure simplifiée s’applique aux dossiers moins complexes ou à faible enjeu, qui ne nécessitent pas une enquête approfondie. Ici, la loi Informatique et Libertés prévoit des sanctions moins nombreuses et moins sévères que celles encourues dans la procédure ordinaire. Ces sanctions ne peuvent, par ailleurs, jamais être rendues publiques.

Dans ce cadre, le président de la formation restreinte peut ainsi :

• prononcer un rappel à l’ordre ;
• enjoindre de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
• prononcer une amende administrative d’un montant maximal de 20 000 €.

Pour en savoir plus sur les sanctions de la CNIL : https://www.cnil.fr/fr/definition/sanction