Ce site utilise des cookies pour analyser le trafic et améliorer votre expérience. Nous vous invitons à consulter notre politique de protection de la vie privée pour en savoir plus Je suis d'accord

RGPD et marketing e-mail : remettons les points sur les i

RGPD et marketing e-mail : remettons les points sur les i

Une mise au point de Benoît De Nayer

"Comme moi, vous êtes probablement noyés ces temps-ci sous les courriers d’entreprises dont vous n’avez peut-être jamais entendu parler vous invitant à « reconfirmer » votre consententement à recevoir des e-mails publicitaires.

La plupart de ces e-mails ont été écrits à la va-vite dans un style assez maladroit. Aucun de ceux que j’ai eu à lire ne semble avoir été analysé par un juriste. Certains sont même illégaux. Tous, je dis bien tous les e-mails de "confirmation" qu'il m'a été donné de lire juste ici loupent complètement le coche.

En effet, en mélangeant RGPD et consentement e-mail, ils passent à côté de l’essentiel : non le RGPD ne demande pas de « réoptiniser » vos bases de données (c'est même le contraire, le considérant 171 prévoit que lorsque les bases de données ont été constituées en conformité avec la directive 95/46/CE, le responsable du traitement peut continuer à les utiliser).

Devant l’ampleur du désastre, je me suis dit (un peu tard peut-être) qu’il fallait faire preuve de pédagogie. Je reprends donc le problème à sa base.

1. Le RGPD et l’E-mail, ce sont deux choses différentes

D’abord, le RGPD ne parle pas d’e-mail. Il ne se soucie pas de canaux, puisqu’il ne parle que de traitements de données personnelles.

Les dispositions relatives à l’e-mail se retrouvent dans une Directive Européenne de 2002 (Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques dite "directive vie privée et communications électroniques") qui a été transposée dans le droit des Etats Membres, de manière assez diverse. Cette matière sera profondément remaniée dans les prochains mois par un futur règlement e-Privacy, mais à chaque jour suffit sa peine, comme on dit.

En substance, la directive dit ceci :

- Les communications par e-mail faites à des personnes physiques (vous et moi) requièrent un consentement préalable (OPT-IN). Sauf si l’e-mail a été collecté dans le cadre d’une transaction commerciale et qu’on s’en sert pour envoyer des publicités concernant un produit similaire. Dans ce cas, c'est un régime d'OPT-OUT qui s'applique.

- Les communications par e-mail faites à des personnes morales (les sociétés) ne requièrent pas de consentement préalable mais ouvrent un droit d’opposition (OPT-OUT).

 

2. Pour envoyer des E-mails, il faut des données

C’est là que le RGPD, sorti par la porte revient par la fenêtre. Pas de campagne e-mail sans traiter des données personnelles (en passant précisons au besoin qu'une adresse info@sociéte.com n’est pas une donnée personnelle et que son traitement n'est pas soumis au RGPD).

Et, pour traiter des données personnelles, il faut un consentement, me direz-vous.

Oui et non : là où la plupart des expéditeurs cités ci-dessus se trompent, c’est en pensant qu’un consentement est toujours nécessaire pour autoriser le traitement. Rien n’est plus faux.

Le Consentement, n’est qu’une des circonstances dans lesquelles le traitement de données est considéré comme licite (c'est un peu la "mère de toutes les justifications de traitement"). Lorsqu'une entreprise se base sur le consentement de la personne pour traiter ses données, il lui revient de faire la preuve de l'exacte portée de ce consentement (notamment du moment où le consentement a été donné, du canal par lequel le consentement a été donné etc).

Parmi les autres circonstances, on trouve la loi qui peut vous obliger à traiter certaines données, l’exécution d’un contrat, et l’intérêt légitime.

L’intérêt légitime est la bouteille à encre du RGPD. On lui fait parfois dire n’importe quoi.

Le considérant 47 du RGPD (qui peut servir à son interprétation) indique cependant clairement que la prospection commerciale peut constituer un intérêt légitime.

Si l’on combine ce considérant avec ce qui a été dit sous 1°, on peut tirer des conclusions intéressantes :

En BTOB :

Il n’est pas besoin de consentement préalable pour traiter des données et adresser des e-mails de prospection à des entreprises. Les entreprises, personnes morales, étant nécessairement représentées par des personnes physiques, il est donc possible d’adresser des e-mails de prospection au titulaire d’une adresse nom.prénom@société.com.

C’est d’ailleurs l’enseignement de la CNIL en France (https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique) qui précise que la prospection par e-mail reste possible sans consentement sous l’empire du RGPD.

Attention, la situation est un peu différence dans certains pays : en Belgique par exemple l’Arrêté Royal du 4 avril 2003 visant à réglementer l'envoi de publicités par courrier électronique requiert, lui, un accord préalable pour envoyer un email à une adresse nom.prénom@société.com.

Et n'oubliez pas, cet usage doit être raisonnable. Par exemple, il ne peut porter que sur des produits et services qui intéressent la société. Il ne pourrait par exemple être question de tenter de vendre une console de jeux au titulaire d’une adresse nom.prénom@société.com sans consentement préalable.

En outre, la personne concernée doit, en tout temps, pouvoir exercer son droit d’opposition à des traitements à finalité de marketing.

Nul besoin donc de "ré-optiniser" une base de données de prospection BTOB. En revanche, il peut être utile de rappeler aux personnes présentes dans cette base l'étendue de leurs droits (notamment d'opposition aux traitements à des fins de marketing) et les inviter à se "désinscrire" si les messages ne leur paraissent pas pertinents. Il s'agit là de simple bon sens marketing.

En BTOC :

Ici, la question est un peu plus complexe. Même si l’on devait considérer que la prospection commerciale à l’attention de consommateurs pouvait entrer dans le cadre du considérant 47, il faudrait encore constater que la directive de 2002 interdit d’utiliser l’e-mail sans consentement préalable.

Le seul cas où il est possible de recourir à l’e-mail pour communiquer un message marketing à un consommateur sans consentement spécifique préalable est le cas où la personne a acheté un bien ou un service, que son e-mail a été collecté à cette occasion et que l'on s'en sert pour promouvoir des biens et services similaires (par exemple des morceaux de musique MP3 a quelqu'un qui a acheté un autre morceau de musique).

Dans ce cas, on retombe dans le cadre de l’intérêt légitime. Le traitement de données est bien entendu légitime puisqu’il est autorisé par la loi (qui transpose la directive).

A nouveau, dans ce cas, il faudra permettre au consommateur de s’opposer au traitement, et partant, aux communications ultérieures.

- Soit vous disposez d'un consentement spécifique du consommateur pour l'envoi de communications marketing par e-mail, et rien dans le RGPD ne vous interdit de continuer à vous fonder sur ce consentement.

- Soit vous êtes dans une relation commerciale avec le consommateur et vous vous fondez sur celle-ci pour adresser au consommateur des e-mails qui portent sur des produits ou services similaires à ceux qu'il a acquis. A nouveau, rien dans le RGPD ne vous interdit de continuer à lui adresser des communications sur ce fondement.

En revanche, rien ne vous autorise, si vous ne vous trouvez pas dans une de ces situations, à adresser un e-mail au consommateur pour lui demander de s'inscrire (ou de se ré-inscrire) à votre programme d'e-mail marketing. Or, c'est ce que la plupart des courriers qui nous parviennent ces derniers temps, nous invitent à faire. Ils nous paraissent donc illégaux.

Cela étant écrit, il peut être intéressant, pour les marketeurs qui peuvent se fonder soit sur le consentement e-mail, soit sur le régime opt-out dans le cadre de relation commerciale pré-existante, d'adresser au consommateurs, un e-mail leur rappelant leurs droits et les invitant, le cas échéant, à modifier leurs préférences.

J’espère avoir été clair. Si ce n’était pas le cas, n’hésitez pas à me communiquer vos doutes, questions et avis sur linkedin ou par email @ benoit.de.nayer@actito.com

Bonne mise en conformité…."

 

Benoît De Nayer

Directeur et cofondateur d'ACTITO

Juriste de formation

 

 


Plus d'articles?