RGPD UE et Royaume-Uni : 5 choses que vous devez savoir sur le consentement par e-mail

La loi de l'Union européenne sur la protection de la vie privée, le Règlement général sur la protection des données (RGPD), est entrée en vigueur le 25 mai 2018. À l'époque, beaucoup se demandaient ce que le RGPD signifiait pour les spécialistes du marketing par courrier électronique. Et heureusement, le RGPD n'a pas tué les e-mails comme l'avaient prédit les prophètes de malheur. Mais une chose qui pourrait encore vous causer des maux de tête ? Comment collecter et stocker le consentement par e-mail.

Le RGPD élève la barre vers un niveau de consentement plus élevé pour les abonnés basés dans l'Union européenne (UE), ce qui signifie que la façon dont vous avez recueilli le consentement des abonnés de l'UE dans le passé pourrait ne plus être conforme.

Et même maintenant que le Royaume-Uni (Royaume-Uni) a officiellement quitté l'UE, le RGPD après le Brexit n'a pas trop changé. Le Royaume-Uni a créé son propre GDPR britannique, qui est essentiellement le même que le GDPR de l'UE, sauf qu'il s'applique uniquement aux résidents britanniques. Les détails sont couverts dans le Guide to the UK GDPR du Bureau du Commissaire à l'information (ICO) du Royaume-Uni. Par souci de simplicité, je ferai référence aux deux simplement comme RGPD, à moins d'en faire référence à un spécifiquement.

La vraie question est donc : qu'est-ce que tout cela signifie pour le consentement par e-mail de vos abonnés de l'UE et du Royaume-Uni ?

Comment garder le consentement par e-mail conforme au RGPD

Le RGPD exige que les marques recueillent un consentement affirmatif qui est « librement donné, spécifique, éclairé et sans ambiguïté » pour être conforme. L'ICO a également fourni un guide complet sur le consentement en vertu du RGPD. Si vous n'êtes pas encore prêt à vous plonger dans le guide complet de 39 pages, voici une ventilation des cinq choses les plus importantes que vous devez savoir sur le consentement par e-mail en vertu du RGPD, avec de nombreux exemples de la façon dont nous les mettons en œuvre ici à Litmus .

1. Obtenez le consentement d'un opt-in positif, pas de cases pré-cochées

Pour que le consentement soit valide en vertu du RGPD, un client doit confirmer activement son consentement, par exemple en cochant une case d'opt-in non cochée. Les cases pré-cochées qui supposent le consentement si les gens ne les décochent pas ne sont pas valides en vertu du RGPD.

Considérant 32 :
« Le silence, les cases pré-cochées ou l'inactivité ne doivent pas constituer un consentement. »

Exemple

Dans la capture d'écran ci-dessus, nous montrons un exemple de la façon dont nous utilisons les cases d'inscription non cochées chez Litmus pour obtenir le consentement. Si la case était pré-cochée, cela ne serait pas conforme au RGPD.

2. Gardez les demandes de consentement séparées des autres termes et conditions

Le consentement par e-mail doit être donné librement, et ce n'est le cas que si une personne a vraiment le choix de s'abonner ou non aux messages marketing. Si l'abonnement à une newsletter est nécessaire pour télécharger un livre blanc, par exemple, alors ce consentement n'est pas donné librement.

En vertu du RGPD, le consentement par e-mail doit être séparé . Ne regroupez jamais le consentement avec vos conditions générales, vos avis de confidentialité ou l'un de vos services (à moins que le consentement par courrier électronique ne soit nécessaire pour compléter ce service).

Article 7(4) :
« Pour évaluer si le consentement est librement donné, il sera tenu le plus ce contrat.

Exemple

Dans la même capture d'écran ci-dessus : lorsqu'une personne télécharge un ebook ou un autre contenu de Litmus, une case n'est pas cochée pour figurer sur notre liste de diffusion. Mais l'inscription aux e-mails est facultative - vous pouvez toujours télécharger l'ebook sans vous abonner à nos e-mails.

Cependant, dans cet exemple ci-dessous, nous avons un formulaire d'abonnement par courrier électronique dans le pied de page du site Web de Litmus. La case n'est toujours pas cochée, mais l'astérisque rouge indique que le consentement est requis .

Pourquoi? Parce que le consentement par courrier électronique est nécessaire pour terminer le service. En d'autres termes, ce service spécifique consiste à vous envoyer nos e-mails, et nous ne pouvons le faire que si vous vous y inscrivez.

3. Aidez les personnes à retirer leur consentement et expliquez-leur comment procéder.

Article 7(3) :​
« La personne concernée a le droit de retirer son consentement à tout moment […] Il est aussi facile de retirer que de donner son consentement. »

Toutes les principales lois sur les courriels, y compris la LCAP au Canada et le CAN-SPAM aux États-Unis, exigent que les marques donnent à leurs abonnés la possibilité de refuser de recevoir des courriels. Chaque e-mail promotionnel que vous envoyez doit inclure une option de désabonnement.

Si vous êtes déjà en conformité avec les lois canadiennes, américaines ou européennes actuelles en matière de courrier électronique, vous n'aurez peut-être pas à changer grand-chose en ce qui concerne cette exigence de conformité GDPR. Néanmoins, c'est le moment idéal pour revoir votre processus de désinscription actuel afin de vous assurer que vous suivez les bonnes pratiques de désabonnement :

• Ne facturez pas de frais.
• Ne nécessite aucune autre information au-delà d'une adresse e-mail.
• N'exigez pas que les abonnés se connectent.
• Ne demandez pas aux abonnés de visiter plus d'une page pour soumettre leur demande.

Exemple

Dans le pied de page de chaque e-mail promotionnel de Litmus, nous incluons une option permettant de refuser de recevoir des e-mails. Cela facilite la désinscription si un abonné se désintéresse un jour.

Il convient également de souligner qu'une expérience de désabonnement peu conviviale est également un facteur majeur de plaintes pour spam. La moitié des consommateurs américains déclarent avoir signalé les e-mails d'une marque comme spam parce qu'ils ne pouvaient pas facilement se retirer, selon notre rapport Adapting to Consumers' New Definition of Spam. Ainsi, la mise en place d'obstacles à la non-participation met non seulement en péril votre conformité légale, mais peut également nuire à votre délivrabilité.

4. Conservez des preuves de qui a consenti, quand et comment

Le RGPD définit les règles sur la façon de recueillir le consentement et oblige également les entreprises à conserver une trace de ces consentements.

Article 7(1) :​
« Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement à l'opération de traitement. »

Dans certains pays, la charge de prouver le consentement a toujours été la responsabilité de l'entreprise qui a recueilli l'opt-in. Pour de nombreux autres commerçants, cependant, cette exigence est un nouveau défi à relever.

Conserver la preuve du consentement signifie que vous devez être en mesure de fournir la preuve de :

• Qui a consenti
• Quand ils ont consenti
• Ce qu'on leur a dit au moment du consentement
• Comment ils ont consenti (par exemple à la caisse ou via le formulaire Facebook)
• S'ils ont retiré leur consentement

Exemple

Si quelqu'un s'inscrit pour recevoir des mises à jour de Litmus, il reçoit un e-mail lui demandant de confirmer son abonnement (en savoir plus sur les avantages et les inconvénients du double opt-in ici). S'ils cliquent ensuite sur le lien dans l'e-mail de demande de confirmation d'inscription, notre fournisseur de services de messagerie enregistre cette action. Avec cela, nous pouvons examiner chaque abonné individuel, voir quand il s'est inscrit et sous quelle forme il le faisait.

5. Examinez vos pratiques de consentement et vos opt-ins existants

Cela fait quelques années que le RGPD est entré en vigueur, mais si votre liste de diffusion sort juste de l'hibernation, vous devrez vérifier vos pratiques de consentement et les données de consentement existantes.

Considérant 171 :​
« Lorsque le traitement est fondé sur le consentement conformément à la directive 95/46/CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions de la présente Règlement.

Même si vous êtes en conformité depuis un certain temps déjà, il est toujours bon de revoir régulièrement votre processus et le consentement des abonnés.

Le RGPD s'applique à tous les abonnés existants de l'UE et du Royaume-Uni sur votre liste de diffusion, peu importe quand ils ont été ajoutés, même si c'était avant l'arrivée du RGPD. Si vos abonnés existants vous ont donné leur consentement d'une manière déjà conforme au RGPD, et si vous avez conservé une trace de ces inscriptions, vous n'avez pas besoin de recueillir à nouveau le consentement de ces abonnés.

Cependant, si vos enregistrements existants ne répondent pas aux exigences du RGPD, vous devez prendre les mesures suivantes :

1. Auditez votre liste de diffusion existante. Déterminez qui sur votre liste de diffusion a déjà fourni un consentement conforme au RGPD et assurez-vous d'avoir un enregistrement clair de ces consentements.
2. Mettre en œuvre un programme de ré-autorisation. Pour l'un de vos contacts pour lequel vous n'avez pas de consentement conforme au RGPD, ou si vous n'êtes pas sûr de la conformité de leur consentement, vous devrez lancer une campagne de réautorisation pour actualiser ce consentement. Ou supprimez ces abonnés de votre liste de diffusion.

Et bien que le consentement n'expire pas, il est susceptible de se dégrader avec le temps. Cela dépend également du contexte : si quelqu'un donne son consentement pour recevoir un e-mail de retour en stock, par exemple, on s'attend à ce que le consentement expire une fois qu'il reçoit cette notification. Plus d'e-mails à cette personne.

Exemple

Chez Litmus, nous utilisons périodiquement un programme de réautorisation pour aider à garder nos listes de diffusion propres. Il comprend un langage très explicite demandant à l'abonné de confirmer qu'il souhaite toujours recevoir nos e-mails en cliquant sur un lien de confirmation dans l'e-mail.

Les campagnes de réautorisation sont un moyen puissant de mettre à jour les enregistrements de contacts existants pour garantir un consentement conforme au RGPD, mais elles nécessitent une planification et une exécution détaillées. N'oubliez pas : si vous avez besoin d'un consentement mis à jour pour la conformité au RGPD, mais que votre abonné ne parvient pas à s'engager dans votre campagne de réautorisation, vous devez le supprimer de votre liste de diffusion.

Le consentement de vos abonnés doit toujours être précieux

Vos abonnés aux e-mails sont votre public le plus précieux, traitez-les de cette façon. Bien que ces mesures de consentement GDPR doivent être prises pour vos abonnés de l'UE et du Royaume-Uni, chaque abonné mérite d'être traité avec respect. Établissez et continuez à établir la confiance avec vos abonnés. Et si jamais ils veulent partir ? Laissez-les aller.

Clause de non-responsabilité

Cet article fournit un aperçu de haut niveau sur le consentement par e-mail en vertu du RGPD, mais n'est pas destiné et ne doit pas être considéré comme un avis juridique. Veuillez contacter votre avocat pour obtenir des conseils sur les réglementations en matière de marketing par courrier électronique ou sur tout problème juridique spécifique.

Publié à l'origine le 22 janvier 2018, par Bettina Specht. Dernière mise à jour le 8 mars 2021, pour plus de clarté et avec de nouvelles informations.