En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.
Pour en savoir plus et paramétrer les cookies… Fermer

publicité
RGPD, le dossier pour tout comprendre

Comment concevoir une campagne d’e-mailing conforme au RGPD


Pratique : Obtenir le consentement explicite de l’abonné, faciliter sa désinscription, favoriser l’exercice de ses droits… Le règlement européen exige de l’expéditeur d’un e-mailing de nouveaux gages de loyauté et de transparence.

Par essence, un emailing contient des informations éminemment personnelles. Il comprend a minima le nom, le prénom et l’adresse mail du destinataire. A ce titre, le règlement européen sur la protection des données personnelles (RGPD) introduit de nouvelles exigences pour le responsable de ce type traitement mais aussi pour les sous-traitants auxquels il fait appel en matière de profilage, d’édition et de routage.

 

Le RGPD place le consentement de l’individu au cœur de son approche. Il doit être clair, explicite et sans équivoque. L’entreprise qui recourt à des bases de données achetées « clés en mains » doit s’assurer de la loyauté de la collecte et de la fraîcheur des données. En ce qui concerne les bases de contacts existantes, le RGPD sera l’occasion de procéder à un nettoyage. Les abonnés présents sont-ils bien actifs et engagés ? Pour la Cnil, les coordonnées d’un contact qui ne répond à aucune sollicitation depuis trois ans doivent être supprimées.

 

Procéder à un double opt-in

 

Par ailleurs, l’entreprise a-t-elle bien documenté la preuve du consentement. A défaut, le RGPD peut être l’occasion de lancer une compagne de réengagement en magasin, par le biais de concours ou de campagnes de retargeting. Responsable juridique et DPO chez Mailjet, Darine Fayed conseille de procéder à un double opt-in. La première fois lorsque l’individu remplit le formulaire puis la deuxième via un email de confirmation. « Ce double opt-in n’est pas exigé par le RGPD mais cela relève d’une bonne pratique en termes de relevé de preuves. » Il s’agit, en effet, pour l’entreprise d’associer à chaque contact les preuves horodatées de son consentement.

Bien sûr, le formulaire d’envoi ne comportera aucune case pré-cochée. L’e-mail de confirmation contiendra, lui, un message rappelant de façon claire la finalité de la collecte et un lien vers la politique de confidentialité. « Ce mail est l’occasion de délivrer un niveau d’information supplémentaire à l’utilisateur, poursuit Darine Fayed. La finalité visée ne peut être seulement d’envoyer une newsletter ».

 

Faciliter la désinscription

 

Si un individu consent librement à s’abonner, il doit tout aussi facilement pouvoir se désinscrire d’une liste de contacts. En bas de l’e-mailing, on trouvera le fameux lien de désabonnement. Il est aussi conseillé d’insérer sur le compte client un bouton qui permet à l’utilisateur de se désabonner d’une newsletter en un clic. La mise en place d’une page de gestion des préférences a pour avantage d’autoriser le désabonnement à une newsletter et pas à toutes de façon groupée. Le contact peut aussi paramétrer la fréquence d’envoi et préciser le type de contenu qu’il souhaite recevoir.

Le responsable de traitement doit également faciliter l’exercice des droits auxquels l’usager peut prétendre. Au-delà du droit d’accès et de rectification de ses données, le RGPD introduit des droits nouveaux comme le droit à l’oubli et le droit à la portabilité. L’expéditeur de l’emailing doit mettre à jour ses mentions d’information afin d’indiquer clairement la marche à suivre pour faire valoir ces droits et la personne à contacter avec ses coordonnées.

Par ailleurs, l’entreprise doit s’assurer de l’efficience des processus internes mis en place pour garantir la bonne exécution de ces droits. « Une demande d’effacement ne signifie pas mettre le contact dans une blacklist mais bien de supprimer totalement ses données », rappelle Darine Fayed. Attention aux délais. L’entreprise soumise à une demande d’accès ou de rectification des données doit donner une première réponse sous 30 jours.

Quant au droit à la portabilité qui correspond à l’export de données pour les propres besoins de l’utilisateur ou pour les transférer à un autre prestataire, il peut être industrialisé. En cliquant sur un bouton en ligne, l’utilisateur va directement télécharger ses données dans un format lisible. « Aucun fournisseur ne souhaite voir un client partir à la concurrence mais il faut faire preuve de transparence et de loyauté. Le RGPD doit être vécu comme l’opportunité de renforcer la confiance entre une marque et ses consommateurs. »

 

S’assurer de la conformité de ses sous-traitants

 

Enfin, le responsable de traitement doit s’assurer que ses fournisseurs sont également conformes au RGPD, le règlement introduisant une co-responsabilité des sous-traitants. Tous les acteurs qui interviennent dans le cycle de vie de la donnée peuvent ainsi voir leur responsabilité engagée jusqu’aux sous-traitants du sous-traitant.

Le donneur d’ordre de passera en revue les contrats de ses sous-traitants et insérera des clauses précisant leurs nouvelles obligations et responsabilités. De leur côté, les fournisseurs peuvent donner des preuves de leur engagement sur la voie de la conformité. Cela passe par la mise à jour de leur politique de confidentialité et des conditions générales d’utilisation (CGU) ou la nomination d’un DPO. Un document, baptisé « data protection agreement » détaillera les procédures techniques et organisationnelles mis en œuvre par le prestataire pour assurer la sécurisation des données personnelles (anonymisation, chiffrement…). L’obtention de certifications comme la norme ISO 27001 est également un gage de crédibilité.

ZDNet vous accompagne

Les 3 meilleures pratiques des boss de l'email marketing


Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité