Temps : 2’00’’ J-60. Le règlement général sur la protection des données entre en application dans deux mois, à compter du 25 mai 2018. Inutile de répéter les fondamentaux du nouveau cad...
La Rédaction
Temps : 2’00’’
Inutile de répéter les fondamentaux du nouveau cadre, déjà amplement expliqués dans la presse. Pour faire court, toutes les données personnelles recueillies par une entreprise et ses sous-traitants doivent faire l’objet d’un consentement explicite de la personne, consentement qui doit ensuite être notifié dans un registre. Ce registre doit servir de preuve en cas de plainte, la charge de la preuve incombant dorénavant aux entreprises.
Le CLUSIF propose une infographie complète et didactique pour comprendre la portée de la réglementation. Le présent article s’intéresse spécifiquement aux newsletter.
L’opt-in (ou option d’adhésion) est l’action par laquelle l’internaute autorise l’entreprise à lui envoyer une newsletter. Dans les faits, cette action se matérialise par une case à cocher sur un formulaire de contact. Il existe quatre types d’action, classés ci-dessous par ordre de conformité au RGPD.
– Opt-out : inscription d’office de l’internaute après avoir eu recours à un service de l’entreprise. L’utilisateur a normalement la possibilité de se désinscrire, mais le protocole de désinscription demeure souvent complexe.
– Opt-in passif : inscription incitée de l’internaute prenant soit la forme d’une case pré-cochée, soit celle d’une case énonçant le refus de s’inscrire. Dans le premier cas, si la case n’est pas décochée, l’utilisateur consent à l’envoi de la newsletter. Dans le second, si l’utilisateur ne coche pas la case « refus », l’utilisateur consent aussi à l’envoi.
Ces deux types d’action seront illicites à compter du 25 mai, le texte énonçant un consentement « librement donné » sous la forme d’une « action positive ». Si l’absence d’action de la part de l’internaute entraîne une inscription, le protocole utilisé entre en contradiction avec les dispositions citées.
– Opt-in actif : inscription réalisée librement par l’internaute, par le fait de cocher une case par exemple.
– Opt-in double : inscription réalisée librement par l’internaute et doublée d’une confirmation par mail, prenant la forme d’un lien.
A l’inverse, ces deux protocoles sont en phase avec le RGPD, étant donné le caractère actif du consentement. Attention cependant de bien préciser par une mention claire la possibilité de se désinscrire à tout moment et de mettre en place un protocole simple de désinscription.
Les entreprises auront à leur charge de fournir la preuve du consentement de l’utilisateur. Ce consentement devant être tracé et archivé, le cas des consentements accordés avant le 25 mai risque de poser problème à plus d’une entreprise. Certaines listes s’étant construites sur des années, la traçabilité de chaque consentement est difficilement réalisable.
En cas d’utilisation passée d’actions opt-out/opt-in passif, ou de transfert d’une liste vers une autre (faisant disparaître les traces du consentement), il est (très) vivement conseillé de renvoyer un formulaire d’inscription au norme aux abonnés.
Cette demande de réinscription risque de provoquer une baisse du nombre d’abonnés à la newsletter, par désintérêt ou tout simplement par négligence. Pour atténuer cette baisse, la démarche de réinscription doit être mise en œuvre le plus tôt possible et faire l’objet de relances régulières pour éviter les négligences. Néanmoins, la baisse du nombre d’abonnés semble inéluctable. Ce qui n’est pas une mauvaise chose en soi. La newsletter affichera potentiellement un meilleur taux d’ouverture et de clic car les abonnés réinscrits présente un réel intérêt pour les contenus envoyés. Un mal pour un bien.
Selon la taille des listes, le ménage des listes risque d’être fastidieux. Mais les montants des sanctions (allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial) invitent à se mettre dès aujourd’hui au travail.
Temps : 2’00’’ J-60. Le règlement général sur la protection des données entre en application dans deux mois, à compter du 25 mai 2018. Inutile de répéter les fondamentaux du nouveau cad...
Temps : 2’00’’ J-60. Le règlement général sur la protection des données entre en application dans deux mois, à compter du 25 mai 2018. Inutile de répéter les fondamentaux du nouveau cad...