Une newsletter est un outil de prospection particulièrement efficace. C’est une manière économique de construire et d’entretenir une relation avec vos clients. Attention toutefois, si vous ne respectez pas vos obligations légales, cela risque de vous coûter beaucoup plus cher. Si vous prévoyez d’envoyer régulièrement une newsletter par e-mail — ou si vous le faites déjà , vous êtes tenu par la loi d’avoir en place une politique de confidentialité exhaustive, puisque vous collectez des données personnelles.
Les obligations légales d’ordre général
La plupart des législations requièrent que vous informiez les utilisateurs de vos activités de traitement des données (généralement au moyen d’une déclaration de confidentialité) et, selon les régions, que vous obteniez le consentement de l’utilisateur ou que vous lui permettiez de retirer ce consentement facilement.
En général, ces législations s’appliquent à tous les services qui ciblent les résidents de la région concernée, ce qui signifie qu’elles peuvent s’appliquer à votre société même lorsque celle-ci n’est pas établie dans cette région. Cet aspect est d’autant plus important lorsque vous utilisez une liste d’adresses e-mail que vous avez achetée, car vous ne connaissez pas toujours le pays de résidence du destinataire. C’est pourquoi il est toujours conseillé d’aborder vos activités de traitement des données en tenant compte des règles en vigueur les plus strictes.
Pour en savoir plus sur les lois qui vous sont applicables, cliquez ici ou consultez notre Aperçu juridique général ici
Informer les utilisateurs de vos activités de collecte de données
Aux termes de l’immense majorité des législations, votre politique de confidentialité doit informer vos utilisateurs de vos activités de collecte de données, et ce de manière facilement accessible, compréhensible, et univoque.
Elle doit détailler :
- Les données que vous traitez ;
- La manière dont vous les traitez ;
- La finalité des activités de traitement (p. ex. l’envoi d’une newsletter ou des analyses de marché) ;
- Toute implication de tiers ;
- Les droits dont les utilisateurs disposent à l’égard de leurs données ;
- La manière dont vous traitez les demandes relatives à leurs droits ;
- Les moyens de communication que vous utilisez (p. ex. e-mail ou courrier postal) ;
- La manière dont vous protégez leurs données.
Obligations des tiers
Les applications et services tiers doivent aussi respecter la loi. C’est pourquoi il est souvent obligatoire que tous les partenaires et les clients qui utilisent leurs services soient conformes à la réglementation. La grande majorité des plateformes de gestion de newsletters reconnues obligent les utilisateurs de leurs services à avoir une politique de confidentialité exhaustive qui informe clairement de leur implication et qui soit conforme à la réglementation.
Voici un extrait des Conditions générales d’utilisation des services de Mailchimp :
Vous décrirez, précisément et par écrit, comment vous prévoyez d’utiliser les données collectées, y compris dans le cadre de votre utilisation de Mailchimp. Ainsi, vous obtiendrez le consentement exprès au transfert de données à Mailchimp, et vous vous conformerez également à la politique de confidentialité que vous avez publiée.
Et un autre exemple des Conditions générales d’utilisation des services de Campaign Monitor :
Vous établirez et utiliserez une politique conforme à toutes les législations applicables relatives à la protection de la vie privée, et au moins aussi rigoureuse que notre propre Politique de confidentialité (telle que modifiée au besoin par Campaign Monitor). Vous reconnaissez que toutes les informations personnelles que vous nous fournissez ont été collectées avec le consentement individuel approprié, que vous avez informé la personne des finalités de la collecte de ces informations, et que vous pouvez nous fournir ces informations aux fins de les utiliser dans le cadre des Services. Vous reconnaissez que nous pouvons conserver les informations personnelles que vous nous fournissez sur des serveurs situés aux États-Unis d’Amérique, et vous garantissez avoir obtenu le consentement des personnes concernées pour une telle conservation et une telle transmission de leurs données personnelles.
Où placer votre politique de confidentialité
Les réglementations requièrent généralement que votre politique de confidentialité soit clairement visible et facilement accessible partout sur votre site Web ou sur le site de votre application. Il paraît donc suffisant de la placer dans votre pied de page. Cela dit, par souci de transparence (généralement l’une des principales finalités des législations sur la protection de la vie privée), il est conseillé de la mettre à disposition dans d’autres situations, par exemple en insérant le lien dans votre formulaire d’inscription et dans votre newsletter par e-mail.
Posez vos questions Ă nos experts en direct
Regardez nos dĂ©mos en direct et obtenez les rĂ©ponses Ă vos questions en temps rĂ©el en participant Ă l’un de nos webinars gratuits en français. Ils comportent des cas concrets et conçus pour vous aider Ă comprendre et accomplir la mise en conformitĂ© de vos sites web et applications.
Vos obligations légales lorsque vous ajoutez des utilisateurs à votre liste de distribution
Droit des États-Unis
En vertu de la loi CAN-SPAM de la Commission fédérale du commerce (FTC), vous n’êtes pas tenu d’obtenir le consentement des utilisateurs se trouvant aux États-Unis avant de les ajouter à votre liste de distribution ou de leur envoyer des messages commerciaux. Toutefois, vous devez obligatoirement mettre à leur disposition un moyen clair de s’opposer à tout contact ultérieur.
Droit de l’UE
Dans la mesure où les formulaires d’inscription permettent de collecter des données, le droit de l’UE (notamment le RGPD) impose d’obtenir le consentement éclairé de l’utilisateur préalablement à son inscription à un service. Selon les règles de l’UE, l’obtention du consentement peut être considérée comme un processus en deux étapes : l’information de l’utilisateur et l’obtention de son consentement vérifiable par un acte positif.
Lorsque vous informez l’utilisateur, vous devez :
Être précis.
Vous devez clairement annoncer à quel type d’e-mail l’utilisateur s’apprête à consentir ;Être clair et univoque.
Un utilisateur normal doit pouvoir comprendre facilement ce à quoi il consent ;Dire explicitement que l’inscription est optionnelle.
Le consentement doit être « donné librement » ; vous ne pouvez pas forcer les utilisateurs à s’inscrire à votre liste de distribution, ni leur laisser penser que cette inscription est obligatoire. C’est pourquoi vous devez dire clairement que l’inscription est optionnelle. C’est particulièrement important lorsque vous offrez des livres blancs ou des e-books à télécharger gratuitement. Bien que l’adresse e-mail de l’utilisateur soit nécessaire pour livrer le service, l’inscription à votre newsletter, elle, ne l’est pas. Dans ce cas de figure, vous ne devez pas donner l’impression que l’inscription à la liste de distribution de la newsletter est obligatoire. Vous devez indiquer clairement qu’elle est facultative.
Concrètement, donc, si vous souhaitez, par exemple, ajouter des personnes qui téléchargent votre e-book à votre liste de distribution, ajoutez une case en bas du formulaire de téléchargement de l’e-book, comme dans cet exemple :
Comme on peut le voir, il faut bien faire savoir aux utilisateurs que le consentement est optionnel et non obligatoire.
Obtenir le consentement
L’acte de consentement doit être explicite et vérifiable.
La procédure d’obtention du consentement de l’utilisateur doit être simple et doit consister en un acte clair de consentement explicite. Cela signifie que des mécanismes tels que les cases précochées d’inscription à la newsletter à l’étape du paiement ne sont pas autorisés : la législation de l’UE proscrit explicitement ce type de case et autres mécanismes de consentement par défaut (« opt-out ») similaires.
Cette règle posée, vous pouvez employer tout moyen qui nécessite que l’utilisateur effectue un acte positif direct (il peut s’agir de n’importe quel acte de consentement vérifiable, tel qu’une case à cocher ou un e-mail de confirmation à envoyer).
Vous devez donner aux utilisateurs la possibilité de retirer leur consentement.
Le RGPD octroie expressément aux utilisateurs le droit de retirer leur consentement. Vous devez donc faire en sorte qu’il soit aussi facile pour l’utilisateur de retirer son consentement que de le donner. Pour ce faire, vous pouvez tout simplement inclure un lien de désinscription valide à votre newsletter. Les utilisateurs doivent également pouvoir gérer leurs préférences en matière d’e-mails à partir de leur compte.
Le consentement acquis doit concerner spécifiquement le type de contenu envoyé.
Cela signifie que la newsletter ne doit contenir que les informations que l’utilisateur a consenti à recevoir. Par exemple, si l’utilisateur a simplement consenti à recevoir des e-mails concernant vos nouveaux produits, vous ne pouvez pas leur envoyer des e-mails promotionnels concernant des offres de partenaires ou de tiers.
Si vous souhaitez envoyer plusieurs sortes d’e-mails à vos utilisateurs, vous devez recueillir leur consentement pour chaque type de contenu : autant de consentements que de finalités différentes.
Pour cela, pas besoin d’avoir plusieurs formulaires. Concrètement, vous pouvez simplement ajouter plusieurs cases RGPD pour informer l’utilisateur des différentes finalités et lui permettre de donner son consentement spécifique pour chacune d’entre elles.
Cela concerne tout particulièrement les communications de Marketing direct par email (ces e-mails dont l’unique finalité est de promouvoir directement des produits ou des services). Dans ce cadre, vous devez obtenir un consentement supplémentaire si vous envoyez également des e-mails concernant les produits ou les services de tiers.
Exceptions
Il existe des exceptions à l’obligation de recueillir le type de consentement actif décrit précédemment. Voyons les cas de « soft opt-in » et de formulaire explicite.
Le « soft opt-in » peut vous permettre de contourner l’obligation d’obtenir un consentement au prĂ©alable. Le « soft opt-in » peut s’appliquer lorsqu’un utilisateur a donnĂ© son adresse e-mail lors de l’achat d’un de vos produits ou services. Plus particulièrement, il peut s’appliquer lorsque les conditions suivantes sont rĂ©unies :
- l’adresse e-mail a été recueillie dans le cadre d’une précédente vente sur votre site web ;
- l’utilisateur a Ă©tĂ© informĂ© en bonne et due forme de ces envois d’e-mails suite Ă une collecte durant le processus de vente (p. ex. par une phrase d’information sur la page de commande ou dans votre politique de confidentialitĂ© ;
- l’utilisateur n’a pas refusĂ© une telle utilisation de son e-mail (ex. en se dĂ©sinscrivant de votre newsletter) ;
- vos futurs e-mails promotionnels concernent des produits et services qui sont similaires à ceux achetés initialement ; et
- les produits/services que vous souhaitez promouvoir sont les vĂ´tres (ne venant pas de partis tiers).
đź’ˇ DĂ©couvrez oĂą le « soft opt-in » s’applique en consultant notre aide-mĂ©moire sur le marketing par e-mail.
Un formulaire explicite indique de manière univoque la finalité du mécanisme d’inscription. Par exemple, votre site affiche des fenêtres pop-up invitant les utilisateurs à s’inscrire à votre newsletter par une phrase claire telle que : « Abonnez-vous à notre newsletter pour profiter de bons de réduction et être informé des mises à jour produit ! ». L’utilisateur, en indiquant son adresse e-mail, accomplit un acte positif qui vaut consentement valable.
Registre des consentements
En raison de la haute importance que le RGPD accorde au consentement, il est essentiel de tenir un registre précis des consentements obtenus. Ce registre devrait contenir au minimum les informations suivantes :
- L’identité de l’utilisateur à l’origine du consentement ;
- La date du consentement ;
- Les informations qui lui ont été communiquées au moment du consentement ;
- Le moyen par lequel il a donné son consentement (p. ex. via un formulaire d’inscription à une newsletter ou lors d’un achat) ;
- Le fait qu’il ait ou non retiré son consentement.
Bien qu’il soit obligatoire de tenir son registre à jour, cela peut représenter un défi sur le plan technique. Notre Consent Solution simplifie ce processus. Grâce à elle, vous pouvez facilement consulter, gérer et exporter les consentements enregistrés. Pour en savoir plus, cliquez ici.
Consentement simple et double consentement
Avec le consentement simple (« simple opt-in »), l’utilisateur doit simplement donner ses informations personnelles pour être ajouté à votre liste de distribution. Avec le consentement double (« double opt-in »), il doit en outre valider son adresse e-mail avant de pouvoir être ajouté à la liste. La validation est terminée lorsque l’utilisateur clique sur un lien spécifique inclus dans un message de « confirmation » envoyé à son adresse e-mail.
Par cette méthode, vous vérifiez que l’adresse e-mail à laquelle vous envoyez vos communications appartient bien à la personne qui a donné son consentement. Cela vous permet également d’éviter un taux trop élevé de désinscription, et de maintenir l’intégrité de votre liste et la réputation de votre adresse. Cette méthode d’inscription est considérée comme la meilleure pratique dans de nombreux pays, en particulier en Allemagne et dans l’UE en général.
Les tribunaux allemands ont plusieurs fois jugé qu’une procédure de consentement simple ne suffit pas à prouver le consentement préalable. L’affaire OLG Celle (arrêt du 15/05/2014) en est un bon exemple :
En principe, l’expĂ©diteur d’une publicitĂ© (par e-mail) doit indiquer qu’il a Ă©tĂ© consenti Ă une telle communication, et ce consentement provient en particulier du destinataire… L’expĂ©diteur d’e-mails publicitaires peut se conformer Ă cette obligation au moyen de ce qu’on appelle la « procĂ©dure de consentement double »… de manière raisonnable pour chaque adresse e-mail.
Vous cherchez un moyen simple et conforme de gérer le consentement pour les abonnements à la newsletter ?
Essayez notre Newsletter Opt-in Booster 👉 il ajoute un formulaire d’inscription personnalisable à votre site, vous permettant de recueillir et gérer le consentement grâce à un processus de double opt-in pour un public plus engagé et plus réactif.
Activer dès maintenantLes obligations légales relatives au contenu des newsletters
Droit des États-Unis
En fonction du lieu de résidence de vos clients, certaines législations relatives aux spams peuvent être applicables. Aux États-Unis, la Loi CAN-SPAM de la Commission fédérale du commerce (FTC) précise les règles régissant l’envoi de messages à caractère commercial, dont les e-mails.
La Loi CAN-SPAM pose certaines obligations essentielles :
Utiliser des informations exactes en en-tĂŞte.
Votre nom, votre adresse e-mail, et les informations de routage (notamment le nom de domaine) doivent être exacts et identifier correctement l’expéditeur du message.Ne pas rédiger la ligne d’objet de manière trompeuse.
La ligne d’objet doit refléter avec précision le contenu du message.Préciser qu’il s’agit d’un message publicitaire.
La loi ne privilégie aucune méthode en particulier, mais cette information doit être « claire et visible ».Dire aux destinataires où vous vous trouvez.
Vous devez donner votre adresse postale physique Ă jour.Surveiller ce que les autres font en votre nom.
Même si votre marketing par e-mail est sous-traité par une autre société, la loi peut vous tenir tous deux responsables.Informer les utilisateurs de la possibilité de se désabonner et leur indiquer la procédure de manière bien visible.
L’option « se désabonner » doit être aisément visible et doit expliquer clairement comment l’utilisateur peut choisir de ne plus recevoir d’autres e-mails de votre part. Un utilisateur normal doit pouvoir trouver, lire et comprendre facilement cette information. Concrètement, vous pouvez simplement inclure dans votre e-mail un lien de désabonnement avec une phrase informant l’utilisateur de cette possibilité.Par exemple, vous pouvez utiliser une formule de ce type : « Cette communication commerciale vous est envoyée par [Business Name] car vous avez exprimé votre intérêt pour nos produits et nos services. Si vous souhaitez ne plus recevoir ces messages, vous pouvez vous désinscrire en cliquant ici ».
La Loi CAN-SPAM dispose que la possibilité de se désinscrire doit être gratuite et qu’elle ne peut être associée à une procédure de connexion préalable. En d’autres termes, les utilisateurs doivent pouvoir se désinscrire sans frais et sans avoir besoin de se connecter à leur compte. Selon la FTC :
Vous ne pouvez pas conditionner la satisfaction d’une demande de désinscription au paiement de frais, à la communication d’informations d’identification autres que l’adresse e-mail du destinataire, ou à l’accomplissement d’autres formalités que la simple réponse à un e-mail ou la consultation d’une simple page sur un site Web.
Demandes de désinscription
- Le lien de désinscription doit être valide pendant au moins 30 jours à compter de l’envoi de votre e-mail.
- Vous devez satisfaire les demandes de désinscription dans les 10 jours.
Exemptions
Certains types d’e-mail sont exemptés de la plupart des exigences énoncées par la Loi CAN-SPAM. Ils restent toutefois soumis à l’obligation de véracité des informations de routage.
Ces exemptions concernent les e-mails dont la principale finalité est :
Une transaction : Il s’agit des e-mails concernant des transactions déjà convenues, ou des e-mails livrant des produits et des services dans le cadre d’une transaction à laquelle l’utilisateur a déjà consenti (p. ex. une clé de licence ou la livraison d’un e-book).
Une relation existante : Ces e-mails informent les utilisateurs déjà liés à vos services des changements apportés aux conditions générales de vente ou de prestation de service, aux fonctionnalités ou aux informations de compte ; cela concerne également les questions de garantie, de rappel, et de sécurité des produits ou des services.
D’autres sujets (non-commerciaux).
Droit de l’UE
Au sein de l’UE, c’est la directive ePrivacy qui définit les lignes directrices générales que doivent mettre en œuvre les États membres. Certains éléments, toutefois (comme la possibilité de retirer son consentement), relèvent du RGPD.
Au titre des règles antispam de l’UE, vous devez généralement :
Intégrer un lien de désinscription dans l’e-mail.
L’option de retrait du consentement doit être claire, visible et facilement accessible. Cet élément relève du RGPD, et plus particulièrement du droit à l’effacement ; dans ce cadre, vous devez honorer les demandes de rétractation dans un délai de 30 jours maximum. Notez toutefois que si la législation vous accorde 30 jours pour satisfaire ces demandes, la plupart des abonnés n’auront pas cette patience. Il est dès lors plus prudent de satisfaire les demandes de désinscription rapidement, faute de quoi vous risquez d’être classé dans les spams et de compromettre ainsi la légitimité globale de votre adresse associée.Indiquer clairement l’identité de l’expéditeur.
Il est interdit de dissimuler l’identité de l’expéditeur ; l’information doit être claire et directe.Indiquer l’adresse physique de l’entreprise.
Vous devez donner une adresse de réponse à jour.Indiquer clairement et précisément la nature du message.
Vous devez préciser, de manière univoque, le type de message que vous envoyez (p. ex. message promotionnel ou non).Éviter d’utiliser des formulations fausses ou trompeuses dans votre texte.
Il est interdit de faire de la publicité, quelle que soit sa forme (notamment les messages commerciaux), d’une manière susceptible de tromper les personnes à qui elle est adressée.
Certaines législations (comme l’Allemagne et l’Australie) peuvent en outre exiger que vous indiquiez comment contacter l’expéditeur. En général, la meilleure pratique consiste à suivre les législations les plus strictes ou à consulter les réglementations antispam applicables à l’endroit où vos utilisateurs se situent.
Voici un exemple de communication commerciale contenant les éléments de base. Ici, les éléments comme le nom et l’adresse sont indiqués en tête d’e-mail, mais vous pouvez les placer où vous le désirez tant que l’information est visible et facile à trouver.
Boutique de John [adresse] [ville] [code postal] [pays]
[adresse e-mail de l’expĂ©diteur (ex. info@johnsstoreltd.com) ]
[Sujet : derniers arrivages de printemps ! [Nom de votre site web]
[Type d’e-mail (ex. promotionnel)]« Cher/e client/e, nous sommes ravis de vous prĂ©senter nos derniers arrivages pour le printemps. Vous avez trouvĂ© la perle rare ? Vous pouvez faire vos achats en cliquant directement sur le produit qui vous intĂ©resse dans cet e-mail pour accĂ©der Ă notre site Web et procĂ©der au paiement sĂ©curisĂ©. »
[Opt-out] Si vous ne souhaitez plus recevoir nos messages, cliquez ici pour vous désinscrire.
Les conditions précisées dans ce paragraphe sont également valables pour les autres techniques marketing utilisant les messages électroniques, notamment les messages de marketing direct par email et les campagnes de marketing viral (comme demander aux utilisateurs de faire suivre un message marketing à leurs amis).
Conséquences en cas de violation
Conséquences légales
La violation de ces règles peut exposer à de lourdes amendes dans l’UE et aux États-Unis, avec des montants compris entre plusieurs dizaines de milliers et plusieurs millions. Les autres sanctions qui peuvent être prises à l’encontre des organisations contrevenantes ne sont pas moins importantes. Elles peuvent consister en un rappel à l’ordre officiel (pour les organisations qui n’en sont qu’à leur première violation), des audits périodiques sur la protection des données ou le paiement de dommages-intérêts.
Le RGPD, en particulier, octroie aux utilisateurs le droit explicite de déposer plainte auprès d’une autorité de contrôle s’ils estiment qu’un traitement de leurs données à caractère personnel a été effectué en violation de la réglementation. Par exemple, lorsqu’un cas de violation du RGPD lui est signalé, l’autorité de contrôle peut choisir de réaliser un audit de vos opérations de traitement des données. Si une activité de traitement est reconnue illégale, le contrevenant s’expose non seulement à une amende, mais également à se voir interdire d’utiliser plus avant les données relatives à l’affaire et les données acquises selon les mêmes mécanismes. Cela signifie que, si la violation porte sur la collecte d’adresses e-mail, vous risquez de vous voir interdire d’utiliser l’intégralité de la liste d’adresses e-mail concernée.
Concernant les dommages-intérêts, les législations de l’UE et des États-Unis donnent aux utilisateurs individuels le droit de recevoir compensation pour les préjudices résultant de la violation de la réglementation par une organisation. En d’autres termes, contrevenir à la réglementation peut vous exposer à des litiges.
Autres conséquences
Perte de services
Certains services tiers intègrent la conformité à la réglementation à leurs conditions d’utilisation. La violation de la réglementation peut alors être considérée comme une violation de leurs conditions générales, et, partant, entraîner la résiliation du service, voire un bannissement permanent.
Atteinte à la réputation
Lorsqu’une entreprise ne se conforme pas à des obligations légales, ses utilisateurs risquent d’en avoir une image négative, une image d’incompétence ou de malveillance. Cela peut affecter durablement et significativement la confiance du public et la réputation de votre organisation.
Les étapes de la mise en conformité de votre processus de newsletter
Votre plan d’attaque
En matière de conformité, il est toujours conseillé d’aborder vos activités de traitement des données en tenant compte des règles applicables les plus strictes. Concernant le processus de newsletter, vous devez, pour être en conformité, mettre en place ce qui suit, au grand minimum :
DĂ©finir :
- vos services ;
- les données que vous recueillez ;
- les finalités de cette collecte ;
- les types de communications que vous êtes susceptible d’envoyer ;
- la manière de les envoyer.
Informer les utilisateurs :
- de l’existence de prestataires tiers impliqués dans votre processus de gestion des newsletters, et inclure un lien vers leurs documents relatifs à la confidentialité ;
- de leurs droits concernant leurs données (notamment le droit à retirer leur consentement).
Si vous utilisez le service Marketing direct par email (DEM) pour le marché allemand, vous devez ajouter à votre politique de confidentialité une déclaration précisant les entreprises et les types de produits et de services qui feront l’objet de publicité dans la newsletter.
Obtenir un consentement préalable (selon la législation régionale) :
- fondé sur un acte positif clair ;
- éclairé ;
- spécifique.
Permettre de retirer le consentement par un moyen :
- disponible dans la newsletter elle-mĂŞme ;
- bien visible et intelligible ;
- simple.
Tenir à jour des registres des consentements collectés :
- Si vous êtes soumis au RGPD (ce qui est probablement le cas), vous devrez constituer et tenir à jour un registre des consentements collectés. Sans lui, les consentements recueillis sont considérés comme non valables. Votre registre des consentements doit inclure la date et le mode de collecte du consentement auprès de chaque utilisateur ; l’information donnée à l’utilisateur à ce moment ; et les conditions légales applicables à l’époque de l’acquisition du consentement.
Envoi d’e-mails de consentement RGPD : démarche nécessaire ou mauvaise idée ?
À l’entrée en application du RGPD, de nombreuses entreprises ont noyé les boîtes de réception des utilisateurs sous les messages leur demandant de renouveler leur consentement aux communications marketing et au traitement des données. Envoyer des e-mails de consentement RGPD est un choix délicat et devrait être géré très prudemment. Voici pourquoi.
Rappelons le contexte : le consentement est l’une des six bases juridiques du traitement des données des utilisateurs. Les autres sont : une obligation légale, une obligation contractuelle, la sauvegarde d’intérêts vitaux, l’intérêt public et les intérêts légitimes.
Si vous traitez déjà des données personnelles (c’est-à -dire si vous les collectez, y accédez, les conservez ou interagissez avec elles) de manière légitime, sur le fondement de l’une de ces autres bases juridiques, vous n’avez pas besoin d’envoyer des e-mails de demande de consentement — pourvu que vous ayez indiqué ce fondement dans votre politique de confidentialité, et que les utilisateurs aient facilement eu accès à cette déclaration avant que vous traitiez leurs données.
Si les utilisateurs n’ont pas eu cette information à l’époque, mais que l’une des autres bases juridiques est, aujourd’hui, légitimement applicable à votre situation, votre meilleure option consiste à vous assurer que votre déclaration de confidentialité actuelle est conforme aux exigences légales, afin que vous puissiez poursuivre le traitement des données utilisateur conformément à la législation.
Peut-on utiliser l’ancien consentement sous le nouveau régime ?
Pour savoir si un consentement précédent peut être utilisé — c’est-à -dire sans avoir besoin d’en demander un nouveau ou de se fonder sur une autre base juridique — vous devez vérifier que ce consentement a été collecté de manière conforme au RGPD et que vous pouvez le prouver.
Voici quelques questions Ă vous poser :
- L’utilisateur a-t-il été dûment informé à l’époque ? (existait-il une politique de confidentialité aisément accessible et contenant toutes les informations importantes, notamment les finalités du traitement, ses méthodes, tous les tiers potentiellement impliqués, et les droits des utilisateurs concernant leurs données ?)
- Le consentement a-t-il été donné par un acte positif vérifiable ? (par un mécanisme univoque de consentement, comme une case à cocher ? Remarque : Si votre procédure d’inscription consistait en des cases précochées, ou en tout autre mécanisme par lequel l’utilisateur doit expressément s’opposer (opt-out) plutôt qu’expressément accepter (opt-in), alors le consentement n’était pas conforme. Vous devez donc choisir une autre base juridique, le cas échéant, ou collecter un nouveau consentement valable).
- Le consentement a-t-il été donné librement ? (Était-il clair que l’inscription était facultative et non obligatoire ?)
- Le consentement était-il spécifique ? (avez-vous clairement précisé ce à quoi les utilisateurs consentaient exactement ? Y avait-il un consentement spécifique pour chacune des finalités ?) Un exemple ici)
- Avez-vous donné aux utilisateurs un moyen de retirer leur consentement ?
- Avez-vous les traces nécessaires de ces consentements ? (avez-vous gardé la trace des consentements et des déclarations de confidentialité accessibles aux utilisateurs à l’époque du recueil ; pouvez-vous prouver, le cas échéant, que le consentement a été recueilli en toute conformité ?)
Que faire si l’ancien consentement n’a pas été recueilli de manière conforme au RGPD ?
Ce n’est pas parce que vous fondiez auparavant le traitement sur le consentement que vous devez continuer de la même manière. Cela pourrait même être contre-productif, surtout si vous n’êtes pas certain de la manière dont les coordonnées ou les données ont été collectées à l’origine (p. ex. des listings e-mail acquis de manière illégitime), ou si vous ne pouvez pas démontrer que vous les avez collectées conformément à la loi.
En effet, si vous contactez les utilisateurs pour leur demander leur consentement, tout en n’ayant pas de base juridique légitime pour détenir leurs données/coordonnées, vous commettrez non seulement une violation au titre du RGPD, mais également une violation au titre de la Directive sur la protection des données en vigueur auparavant.
Autre bonne raison de chercher si votre traitement des donnĂ©es peut reposer sur une autre base juridique : Ă proprement parler, si vous n’avez pas le consentement nĂ©cessaire pour pouvoir contacter des utilisateurs, alors il est fort probable que vous n’avez pas le consentement nĂ©cessaire pour pouvoir leur envoyer un e-mail leur demandant… leur consentement.
Si vous ne pouvez légitimement utiliser aucune autre base juridique, vous devrez probablement collecter les consentements de nouveau. Pour ce faire, vous pouvez tout à fait afficher un message sur votre site Web ou sur les réseaux sociaux pour informer les utilisateurs qu’ils vont devoir donner leur consentement actif pour rester en contact avec vous.
Remarque
Vous ne pouvez pas vraiment « choisir » une base juridique ; elle doit légitimement s’appliquer à votre situation. Déterminer la bonne base juridique est primordial et peut être compliqué. Faites-vous aider de votre avocat pour savoir si l’une d’entre elles peut vous être applicable.
Comment iubenda vous accompagne
La Politique de Confidentialité
Notre Générateur de Politique de Confidentialité et de Cookies vous aide à respecter vos obligations d’information en vous permettant d’informer parfaitement vos utilisateurs et de définir les détails requis de manière conforme à la législation.
La procédure est simple et intuitive : ajoutez vos services en un clic, complétez vos informations de propriétaire du site/app et vos coordonnées, intégrez.
1. Ajoutez vos services
- Cliquez sur Ajouter un service et entrez les premières lettres du service que vous souhaitez ajouter. Ici, Newsletter ;
- Sélectionnez la clause Liste de distribution ou Newsletter et personnalisez-la en ajoutant simplement les types de données personnelles que vous collectez (nos clauses prérédigées, conçues par des avocats, incluent automatiquement les informations concernant les droits des utilisateurs et les définitions des services en fonction de ce que vous ajoutez dans cette fenêtre) ;
- Si vous utilisez un service tiers dans le cadre de la gestion de votre newsletter, comme Mailchimp, Constant Contact, etc., ajoutez-le (vous pouvez également inclure un « formulaire d’inscription par email » ou tout autre formulaire de collecte le cas échéant) ;
- Si vous faites la promotion, quelle qu’elle soit, de produits ou de services de tiers dans votre newsletter par email, consultez la clause Marketing direct par email et ajoutez-la si elle s’applique ;
- Si vous souhaitez ajouter une clause personnalisée, cliquez simplement sur Créer un service personnalisé et remplissez le formulaire qui s’affiche.
2. Complétez vos informations de propriétaire du site/app et vos coordonnées
- Précisez vos nom et adresse complète ;
- Précisez votre adresse e-mail.
Félicitations ! Votre politique est prête. Vérifiez que tous les détails sont corrects, puis :
3. Intégrez
- Personnalisez l’apparence de votre bouton ou choisissez simplement un lien texte ;
- Choisissez la méthode d’intégration : widget en pied de page, lien direct ou texte dans le corps du message.
- Intégrez-la où vous le désirez en un tour de main ! Comme nous l’avons déjà mentionné, vous devez choisir un endroit facilement accessible et visible pour les utilisateurs. Par souci de transparence, vous pouvez également décider d’intégrer la politique dans votre newsletter.
Pour plus d’informations sur les politiques de confidentialité, cliquez ici.
Registre des consentements collectés
Notre Consent Solution facilite la collecte et la tenue de registres des consentements conformes. Elle vous permet de suivre tous les aspects du consentement (y compris la déclaration de confidentialité et toute autre information juridique et le formulaire de consentement présentés à l’utilisateur au moment du recueil de consentement) ainsi que les préférences connexes exprimées par l’utilisateur.
Pour l’utiliser, il vous suffit d’activer la Consent Solution et de récupérer la clé API. Installez-la ensuite via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les tenir à jour.
Pour obtenir une liste complète des fonctionnalités de notre outil Consent Solution, cliquez ici ou lisez le guide général ici. Vous pouvez également consulter un tutoriel pratique autour d’un scénario classique dans notre guide Comment utiliser l’outil Consent Solution avec Contact Form 7.
N’oubliez pas que ces étapes de mise en conformité concernent spécifiquement les exigences en matière d’e-mails et de newsletters. Si vous avez besoin d’informations plus générales sur les exigences concernant les sites Web, consultez notre Guide d’introduction ici.
→ Pour obtenir des rĂ©ponses Ă vos questions en direct et poursuivre votre dĂ©couverte de l’outil Privacy Controls and Cookie Solution et du GĂ©nĂ©rateur de Politique de ConfidentialitĂ© et de Cookies, participez Ă l’un de nos webinars gratuits en français.
Voir aussi
- Vous utilisez des services de gestion de newsletters tiers ? Consultez nos guides pour Mailchimp, Campaign Monitor et VerticalResponse
- Vous avez un scénario précis en tête ? Consultez notre page Directive ePrivacy et Marketing direct par email (DEM) ou notre guide des exigences légales concernant les sites Web et les applications utilisées par des enfants
- Pour en savoir plus sur la législation internationale, consultez notre Guide du RGPD, notre guide de la directive ePrivacy (la Loi cookies) ou notre Guide du droit des États-Unis
- Vous utilisez des services de Google ? Consultez nos guides sur Google Analytics, Adsense et Ads
- Consultez également nos guides spécifiques destinés aux créateurs d’applications ou aux sites e-commerce.