Prenant en compte l’évolution des technologies digitales et des pratiques du marché, le Règlement Général européen sur la Protection des Données (RGPD) impose depuis 2018 certaines règles aux entreprises qui collectent, traitent et regroupent des données personnelles et comportementales. Ces mesures ont pour objectifs de protéger les consommateurs et leur redonner confiance dans les relations qu’ils nouent avec les entreprises, responsables de traitement. Cet enjeu de confiance est d’autant plus important lorsqu’on constate qu’en France, 96% des individus considèrent que les entreprises doivent faire davantage d’efforts pour les rassurer sur l’utilisation qui est faite de leurs données*. Découvrez dans cet article les notions clés pour vous assurer une utilisation du canal email en conformité avec le RGPD.

*Data Privacy Benchmark 2023, Cisco

Appliquer le principe d’opt-in et le renforcer avec une collecte « fine » du consentement

Pour rappel, la mise en place d’un opt-in permet d’obtenir le consentement préalable de l’internaute pour collecter ses informations personnelles et lui adresser des messages. Grâce à cette autorisation opt-in, votre liste de diffusion sera uniquement composée des contacts qui auront spécifiquement accepté de recevoir vos campagnes emails. Au-delà d’être une obligation légale, la mise en place d’opt-in vous permet d’instaurer immédiatement un climat de confiance, et de crédibiliser votre entreprise. L’op-tin vous permet également d’optimiser vos performances marketing en adressant uniquement des contacts ayant donné leur accord. Partant du principe que ces contacts s’attendent à recevoir vos emails, ils ont plus de chance de les ouvrir, et vos messages ont beaucoup moins de chance d’être signalé et d’atterrir en courriers indésirables. Votre délivrabilité sera donc plus optimale.

Pour aller plus loin, sur vos formulaires d’acquisition, nous vous recommandons de renforcer ce principe d’opt-in en collectant plus finement le consentement des individus pour chaque finalité envisagée. Par exemple, en proposant l’option de donner son consentement pour recevoir une newsletter et non pour recevoir toutes les communications emails émises par votre entreprise.

Respecter les grands principes du RGPD liés au traitement des données

• Transparence et licéité : les données personnelles doivent être collectées et traitées de manière licite et transparente. Les individus doivent être informés de la manière dont leurs données sont utilisées.  
• Limitation des finalités : les données doivent être collectées à des fins spécifiques et légitimes, et elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
• Exactitude : les données doivent être exactes et tenues à jour. Des mesures appropriées doivent être prises pour rectifier ou supprimer les données inexactes.
• Limitation de conservation :  les données ne doivent pas être conservées plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées.
• Minimisation de données : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
• Droits des individus : les personnes ont le droit d’accéder à leurs données personnelles, de les rectifier, de les supprimer, de s’opposer à leur traitement, et d’exercer d’autres droits liés à la protection des données.
• Intégrité et confidentialité des données : des mesures de sécurité appropriées doivent être mises en place pour protéger les données contre la perte, la destruction, la modification non autorisée ou la divulgation.
• Responsabilité : Le responsable du traitement des données doit être en mesure de démontrer sa conformité avec les principes de protection des données.

Rédiger et rendre accessible la politique de protection des données personnelles

La politique de protection des données doit comporter les coordonnées du responsable de traitement et, le cas échéant, de son DPO (Data Privacy Officer : référent en matière de protection des données) et détailler pour chaque traitement :

• la finalité
• la base juridique
• les catégories de destinataires (en signalant l’existence éventuelle de transferts hors EEE (Espace Economique Européen) – et les garanties en place)
• la durée de conservation des données
• les droits dont disposent les personnes concernées et le moyen de les exercer.

Cette politique de protection des données personnelles doit être accessible depuis tous les modes de collecte, notamment les formulaires, et depuis la page d’accueil du site.  

Il appartient aux professionnels de mettre activement et intégralement en oeuvre les principes du Règlement dont la violation donne lieu à d’importantes sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Au-delà du coût financier qu’engendre une violation des dispositions du Règlement, l’entreprise contrevenante met directement en jeu sa réputation et sa crédibilité. Tous les acteurs sont concernés, TPE-PME, grandes entreprises industrielles, SSII, entreprises publiques, collectivités territoriales, etc. Si vous souhaitez approfondir ce sujet, vous pouvez télécharger gratuitement notre guide check-list pour une bonne conformité avec le RGPD.