Paroles d’experts

Prospections électroniques et conformité opt-in, posez-vous les bonnes questions
par

Pour commencer, un petit point s’impose : Opt’in et consentement, quelle différence ?

En fait, le terme d’opt-in est celui utilisé depuis longtemps par le marketing pour désigner ce que le RGPD exprime sous le nom de consentement, à savoir l’autorisation donnée par une personne pour recevoir des communications commerciales par l’intermédiaire des différents canaux du digital que ce soit par EMAILS, SMS, MMS, FAX ou PUSH NOTIFICATION (message d’alerte envoyé via une application sur un mobile).

Le principe de consentement, déjà inscrit dans le texte de loi Informatique et Libertés en 1978, a été réintégré, affiné et renforcé par le RGPD : il permet aux personnes de contrôler leurs données, de savoir comment ces données seront utilisées, d’être d’accord ou pas sur ce principe et de pouvoir se rétracter quand elles le souhaitent.  Pour être en conformité, le RGPD requiert ainsi des conditions strictes de recueil des données personnelles (dont celles des mineurs), le droit de retrait et la preuve du consentement.

S’il s’agit d’une règle liée à toute prospection commerciale, elle ne s’applique ni pour les prospections via des adresses électroniques professionnelles ni pour les prospections utilisant d’autres canaux comme le courrier postal ou le télémarketing pour lesquels le consentement préalable n’est pas requis. Dans ces cas précis, la base légale peut être l’intérêt légitime : on parle aussi souvent dans le langage commun de prospection opt-out.

Pour y voir plus clair, voici les questions clés à vous poser en amont de toutes vos prospections afin d’appliquer les bonnes pratiques exigées pour être en conformité avec le RGPD.

 

  1. Qui ciblez-vous ?

C’est une question déterminante car en fonction du profil de vos contacts, les règles relatives au consentement varient :  2 cas de figure pour lesquels la CNIL émet des recommandations précises en s’inspirant des règles de la « protection de la vie privée des utilisateurs de réseaux et services » du code des postes et communications électroniques en application depuis 2013.

  • Premier cas de figure : votre entreprise est dans l’univers BtoB et vous ciblez des professionnels

Dans ce cas, la règle de conformité « opt-in » ne s’applique pas ; vous n’avez donc pas besoin du consentement des personnes à qui vous souhaitez faire parvenir une offre commerciale. La CNIL autorise la pratique de l’opt-out qui considère que les adresses mail professionnelles figurent automatiquement dans les listes de diffusion d’une entreprise commerciale. Dans ce cadre, si la personne ciblée ne souhaite plus recevoir de publicités, elle doit vous en faire expressément la demande, c’est ce que l’on appelle l’opt-out actif ; Dans le cas contraire, vous pouvez conserver ses données à des fins commerciales.

Néanmoins, il faut vous assurer que vous êtes bien dans ce cas de figure. Illustration par l’exemple :

=Vous disposez d’une adresse électronique professionnelle nominative : votre contact bernarddupont@nomdesociété.com est directeur marketing d’une grande enseigne de vêtements de sport.

=Vous pouvez donc le prospecter sans son accord pour lui proposer par exemple un nouvel outil de CRM avec une prise de rendez-vous en ligne pour une démonstration.

=Au moment de la collecte de ses données, vous devez l’informer expressément qu’elles pourront être exploitées ultérieurement sauf avis contraire de sa part, et ce à n’importe quel moment : ce droit de refus doit être clairement exprimé que ce soit par une case à cocher lors de son inscription sur un formulaire de prise de RV en ligne sur votre site, ou éventuellement par courrier électronique avant toute prospection commerciale si l’ adresse de votre contact vous a été communiquée lors d’un salon professionnel.

=Assurez-vous que vos offres commerciales ainsi que vos prospections sont en adéquation avec l’univers professionnel de votre contact.

 

  • Deuxième cas de figure : votre entreprise est dans l’univers BtoC et vous ciblez des particuliers

Dans ce cas, la relation existante entre vous et votre contact est à prendre en considération :

  • Votre contact est un client, la relation commerciale existe déjà:  par conséquent, si vous désirez lui proposer des produits ou services identiques à ceux qu’il a déjà achetés, le consentement n’est pas requis puisque juridiquement, « l’intérêt légitime » (art.6 du RGPD) prévaut. Néanmoins, les informations relatives aux modaliéts de collecte des données personnelles de votre contact doivent être clairement mentionnées. D’autre part, vous devez proposer une fonctionnalité simple pour que la personne concernée puisse jouir de son droit de modification ou de rétractation. Plus c’est simple et plus les clients se sentent en confiance.

 

  • Votre contact est un prospect, aucun historique commercial (vente) existe entre lui et votre société: dans ce cas, la règle du consentement s’impose et vous devez la respecter pour être en conformité avec le RGPD.

 

  • Vous disposez d’un contact suite à une demande d’informations de sa part comme un devis en ligne sur votre site : sans son consentement, vous devrez vous en tenir à une réponse correspondant à sa demande et ne pourrez en aucun cas le solliciter pour des offres commerciales.
  • Vous avez intégré des jeux concours à votre stratégie digitale pour recueillir des adresses électroniques : vous ne pourrez pas vous servir ce ces adresses à des fins commerciales sans le consentement clairement exprimé de la personne ; vous devrez donc l’intégrer au formulaire d’inscription au jeu si vous désirez lui faire parvenir des offres de produits ou services.

 

  1. Quel est le contenu de votre communication ?

Communication relationnelle, informative, commerciale… faites la différence pour vous assurer d’avoir le bon réflexe quant à la conformité en termes de consentement. 

Un email de remerciement ou une information sur l’ouverture prochaine d’une nouvelle boutique de votre marque ? C’est une communication relationnelle et si vous n’en profitez pas pour vendre quelque chose, le consentement ne s’impose pas.

Une newsletter 100% éditoriale ? Nous sommes dans l’univers de la communication informative qui délivre du contenu. Là encore le consentement n’est pas exigé.

Néanmoins, même dans ces situations qui ne requièrent pas le consentement, la personne concernée doit être clairement informée que ses coordonnées électroniques pourront être utilisées ultérieurement et qu’elle peut s’y opposer simplement et gratuitement.

Si l’obligation du consentement n’est pas systématique (en fonction de la cible de vos prospections et de leur nature), votre communication doit reposer sur l’un des cadres juridiques définis par l’article 6 du RGPD sur la licéité comme l’intérêt légitime, l’exécution d’un contrat ou une obligation légale.

  1. Qu’est-ce d’un consentement conforme ?

Rappelons l’article 4.11 du RGPD qui décrit la notion de consentement : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »

Voici les 4 termes fondamentaux à retenir sur la notion de consentement afin d’en respecter les règles :

1 – Consentement libre : la personne prospectée doit pouvoir choisir sans contrainte d’autoriser ou pas l’utilisation de ses données personnelles et son consentement doit être complètement indépendant d’un avantage éventuel ; par exemple, vous ne pouvez pas demander à un contact de s’inscrire à une lettre d’information mensuelle pour bénéficier d’une réduction sur l’un de vos produits ou services.

2 Consentement spécifique : chaque consentement correspond à un canal de communication spécifique, à un objectif précis et unique, et à un destinataire identifié :

  • Un consentement par canal de communication électronique: vous ne pouvez pas demander une seule autorisation de votre contact pour lui envoyer des offres commerciales sur l’ensemble des canaux de prospection électroniques et devez obtenir un consentement pour chacun d’eux (EMAIL, SMS, MMS, PUSH NOTIFICATION)
  • Un consentement par finalité: vous devez séparer les objectifs de vos sollicitations et requérir un consentement pour chacun, en fonction de la nature des données que vous récoltez (données personnelles, données sensibles) et de ce que vous allez en faire.
  • Un consentement par destinataire des données recueillies : vous devez faire la différence entre le consentement pour la Marque, le consentement pour le Groupe de la Marque et le consentement pour les Partenaires. En outre, les entreprises partageant leurs données avec d’autres sociétés sont dans l’obligation de les nommer expressément et ce, au niveau du formulaire de collecte.

3 Consentement éclairé : Développé dans l’article 12, 13 et 14 du RGPD, cette notion de consentement éclairé impose d’informer précisément le contact sur les modalités de traitement de ses données. Votre contact doit donc savoir qui traite ses données, pourquoi et pendant combien de temps. Le RGPD précise que ces informations « doivent être aisément accessibles, faciles à comprendre et formulées en des termes claires et simples ».

4 – Consentement Univoquele consentement de doit être validé par une action positive et concrète ; c’est à lui notamment de cocher les cases pour signifier son accord pour l’utilisation de ses données personnelles.

 

  1. Comment informer sur le droit de retrait du consentement ?

1.       « La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. »  (ART 7.3 du RGPD relatif aux conditions applicables au consentement) :

 Explications :

1 – La personne doit pouvoir retirer son consentement à tout moment : Si une personne veut se rétracter et retirer son consentement, elle doit pouvoir le faire facilement et rapidement que ce soit auprès de la société collectrice des données à l’origine, qui devra en informer immédiatement tous ses partenaires ou auprès du ou des partenaires bénéficiaires des données recueillies.

2 – La personne concernée doit être informée de ses droits de retrait avant de donner son consentement : les informations doivent donc être clairement communiquées sur le formulaire de collecte des données.

A savoir :  les partenaires bénéficiaires des données collectées à l’origine doivent informer le contact de ses droits lors de leur première communication électronique avec lui.

3 Retirer son consentement doit être aussi simple que de le donner : qu’il s’agisse d’un contact en B2B ou en B2C, et quel que soit le contenu de la communication destinée à ce contact, il est impératif de proposer un moyen simple de refuser de recevoir d’autres communications. Pour les envois « one shot », les liens de désabonnement doivent donc être visibles et opérationnels, directement accessibles en pied de page du courrier électronique. Pour les autres types de communication, vous pouvez proposer au contact de se rendre sur le formulaire de préférences pour qu’il puisse choisir et personnaliser ses souhaits quant à son consentement.

 

 5 – Comment disposer de la preuve de consentement ?

Si le RGPD prévoit dans son art. 7-1 que « le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel le concernant », il ne propose pas de démarche spécifique à suivre pour disposer de cette preuve.

Cependant, la CNIL préconise un registre des consentements dans lequel pour chaque contact seront rassemblées les informations liées à 3 questions principales :

  • QUI ?:  nom, identifiant, nom d’utilisateur, URL…
  • A QUOI ?: le formulaire de collecte (incluant les informations relatives à la politique de confidentialité et de protection des données) complété par le contact ayant accordé son consentement.
  • QUAND ?: la date et l’heure à laquelle le contact a déclaré son consentement.

Tant que vous continuez à traiter les données d’un contact, même inactif, vous devez conserver ces preuves de consentement. Au-delà de 36 mois, les données d’un contact inactif devront être écrasées ou nettoyées des éléments personnels (nom, prénom, adresse électronique…)

A savoir : Si vous pensez que certains de vos contacts ne répondent pas aux règles en termes de consentement, vous devez obtenir un nouveau consentement de leur part par le biais d’une campagne de requalification et enregistrer ce nouveau consentement. Vous vous assurerez ainsi de la fiabilité de votre fichier et serez en conformité.

Sachez qu’il existe sur le marché des professionnels disposant d’outils pour requalifier vos fichiers et gérer les preuves de consentement si vous n’avez pas en interne les ressources nécessaires à cette opération incontournable pour être en conformité avec le RGPD.

6 – Cookies et consentement qu’en est-il ? 

Depuis juin 2019, de nouvelles instructions ont été émises par la CNIL statuant sur le fait que le consentement doit être effectif et acté pour les cookies (traceurs) ; ainsi, une personne navigant sur un site doit préalablement indiquer ses choix de consentement pour les traceurs.

Ce que dit notamment la CNIL :

« Avant de déposer ou de lire un cookie, les éditeurs de sites ou d’applications doivent :

  • Informer les internautes de la finalité des cookies.
  • Obtenir leur consentement (la durée de validité de ce consentement est de 13 mois maximum).
  • Fournir aux internautes un moyen de les refuser.

A noter : les règles relatives aux cookies ne relèvent pas du Règlement européen pour la protection des données (RGPD) mais du projet de règlement européen ePrivacy (…). Certains traceurs sont cependant dispensés du recueil de ce consentement comme ceux strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur ». 

 

En résumé :

  • Vous prospectez vos contacts par voie électronique dans un but commercial : Vous devez évaluer sur laquelle des bases légales prévues par l’article 4 du RGPD repose le traitement des données collectées : consentement, intérêt légitime ou exécution d’un contrat.
  • Tout traitement qui ne respecte pas les obligations requises par le RGPD dans le cadre du consentement est illicite.
  • Le consentement doit être libre, spécifique, éclairée et univoque et la preuve du consentement est obligatoire.
  • Si, pour certains de vos contacts anciens (avant la mise en application du RGPD) les principes du consentement n’ont pas été appliqués, vous devez les requalifier en renouvelant une demande de consentement en respectant les règles du RGPD.

 

Pour avoir le résumé des points essentiels exposés dans ce papier sous format infographique, laissez-nous vos coordonnées via notre formulaire en ligne (https://www.campdebases.com/contact/) en précisant dans l’objet du message :  « Infographie Consentement / Cercle marketing Client » et nous vous adressons par retour l’infographie « Contrôler sa conformité opt-in pour la prospection ».

  

MURIEL GLATIN
DPO Webedia

Data Protection Officer du Groupe Webedia, et experte RGPD pour les Start-up, Muriel Glatin agrège compétences sur les sujets de la Data et expériences dans l’environnement start-up qui lui donnent une vision globale et affinée sur les problématiques liées au RGPD.  Elle intervient également en support externe.