Nous sommes le 28 janvier, la Journée européenne de la protection des données, une occasion de mettre en avant les droits des individus à la vie privée et à la protection de leurs données personnelles. Bien que l’email marketing puisse être une stratégie efficace pour atteindre des prospects, générer des leads et fidéliser vos clients, il est important de se conformer au RGPD et de respecter la vie privée de vos destinataires. En utilisant les données de manière sécurisée et en suivant les bonnes pratiques, vous pouvez améliorer l’expérience utilisateur tout en respectant vos obligations au regard de la réglementation. Dans cet article, nous allons explorer comment utiliser les données de manière responsable et sécurisée en email marketing afin d’améliorer l’expérience de vos contacts tout en respectant les exigences du RGPD.

Obtenez le consentement de vos contacts

Vos traitements peuvent s’appuyer sur 6 bases légales, dont l’une est le consentement des personnes. Si la base légale du traitement visé est le consentement, il est nécessaire pour procéder à l’envoi de la communication de l’obtenir en amont de la part des utilisateurs ciblés. Obtenir le consentement des utilisateurs est l’un des éléments clés du RGPD lorsqu’il s’agit de collecter et d’utiliser leurs données pour l’email marketing. Le consentement doit être explicitement donné par l’utilisateur et doit être basé sur une information claire et transparente sur l’utilisation de leurs données. Il est important de noter que le consentement ne peut pas être implicite et doit être facilement révocable par l’utilisateur.

Les conseils en matière de collecte de données

Voici quelques conseils pour obtenir le consentement des utilisateurs de manière conforme au RGPD dans le cadre de l’email marketing:

• Assurez-vous de fournir aux utilisateurs une information claire et transparente sur les données collectées, l’utilisation qui en sera faite (destinataires / durée de conservation / transferts éventuels, etc.), et sur leurs droits en matière de protection des données. En savoir plus sur les informations à fournir, les délais et modalités d’information sur le site de la CNIL.

• Si la base légale est le consentement, assurez-vous de demander explicitement le consentement des utilisateurs avant de collecter et d’utiliser leurs données. Si la base légale est l’ intérêt légitime, les données peuvent être collectées en amont, mais l’information des personnes doit alors être réalisée dans les 30 jours suivants la première communication. Pour plus d’informations sur la prospection commerciale par email, nous vous invitons à consulter cette page de la CNIL. Si vous souhaitez plus d’information sur les règles de prospection des particuliers, rendez-vous sur cette page.

• Veillez à ce que les utilisateurs puissent facilement révoquer leur consentement à tout moment, notamment au travers de liens de désinscription ou d’opposition systématiquement insérés dans vos communications.

• Gardez une trace du consentement des utilisateurs afin de pouvoir le prouver en cas de besoin (par exemple en cas de demande d’exercice du droit de la personne concernée ou de l’autorité (la CNIL) en cas de contrôle).

En suivant ces conseils, vous respectez une bonne partie des exigences de base du RGPD en matière de consentement des utilisateurs et utiliserez leurs données de manière responsable dans le cadre de otre stratégie email marketing.

Comment recueillir et enregistrer la preuve de consentement de vos contacts ?

En email marketing, il est important d’obtenir le consentement explicite des utilisateurs avant de les ajouter à une liste de diffusion ou de les utiliser pour une campagne de marketing par email. Il existe plusieurs méthodes pour enregistrer le consentement des utilisateurs mais avant ça intéressons-nous aux preuves de consentement.

Les preuves de consentements chez Sarbacane

Les listes issues d’inscription, de liste noire dispose d’un horodatage permettant de savoir quand une personne concernée s’est inscrite (dont de consentement) ou désinscrite (retrait de consentement ou opposition)

Ces listes doivent être extraites de l’outil, afin d’être conservées dans le dossier de responsabilité (accountability), pouvant être produit en cas d’audit ou de contrôle, mais aussi pour répondre à une demande d’exercice de droits de personne concernée

Les méthodes d’enregistrement du consentement

Formulaire d’inscription à vos emails marketing

Il est possible de créer un formulaire d’inscription sur votre site web ou vos réseaux sociaux, dans lequel les utilisateurs peuvent fournir leur nom, adresse email et autres informations, ainsi que donner leur consentement pour recevoir des emails de marketing, notamment au travers de cases à cocher non pré-cochées par défaut.

Pensez à utiliser le « double opt-in », une méthode qui consiste à envoyer un email de confirmation à l’utilisateur après qu’il ait fourni son adresse email, pour vérifier que l’adresse email fournie est valide et que le contact souhaite vraiment recevoir vos emails marketing. Le clic sur l’email de demande de confirmation constitue alors la preuve du consentement. Sur le plan de la sécurité, le double opt-in garantit aussi qu’un tiers malveillant ne puisse pas inscrire des personnes à leur insu.

Case à cocher

Il est possible d’inclure une case à cocher sur les formulaires de contact ou de commande pour que les utilisateurs puissent donner leur consentement pour les finalités annoncées dans l’information préalable, telles que : recevoir des emails marketing, etc…

Exemples de formulaires d’inscription

Vous recherchez des exemples de formulaire de collecte de données incluant les mentions d’information à faire apparaître ? Nous vous invitons à consulter le site de la CNIL.

N’hésitez pas à utiliser notre Smart Template de landing page pour pousser votre message de confirmation d’inscription à votre newsletter.

Minimisez les données collectées

Le RGPD a pour objectif de protéger les droits des personnes, leur redonner la maîtrise sur leur données personnelles, de responsabiliser les acteurs les utilisant, en imposant une grande transparence, un utilisation de produits intégrant la protection des données dans leurs outils et processus, et ce dès qu’une nouvelle utilisation (traitement de données) est envisagé.

Cependant, cela ne signifie pas que les entreprises doivent arrêter d’utiliser les données pour leur marketing. Au contraire, le RGPD encourage les entreprises à être plus responsables de la manière dont elles utilisent les données, par exemple en minimisant les données collectées au strict nécessaire, afin de réaliser l’objectif annoncé aux personnes.

Qu’est ce que la minimisation des données ?

La minimisation des données consiste à collecter uniquement les données nécessaires pour les finalités annoncées aux personnes et à éviter la collecte de données superflues qui, en cas d’accès non autorisé, divulgueraient des informations privées qui ne concerne personne d’autre que la personne ciblée (ex adresse postale pour un envoi de newsletter). qui pourraient compromettre la vie privée des utilisateurs. Cela permet de respecter les principes de protection des données et de réduire les risques de violation de la vie privée (incident de sécurité mettant à mal la confidentialité, intégrité ou la disponibilité ou encore traitement d’une autre manière qu’annoncée). Il est important de ne collecter que les données utiles et de supprimer celles qui ne le sont pas.

Pensez aussi à mettre en place la pseudonymisation. Cela consiste à conserver une base avec les données collectées (par exemple, une liste avec nom, prénom, adresse postale… associées à un ID unique). Ainsi on peut ne pas utiliser / faire transiter toutes les données réelles mais juste l’identifiant associé. Et lorsqu’une donnée est nécessaire et uniquement dans ce cas, on demande à la récupérer. Par exemple, si on a besoin de l’adresse email associée à un ID, on demande à récupérer uniquement l’email associé à l’ID unique (et non pas l’intégralité des données de la liste initiale)

Limitez la collecte de données aux seules données nécessaires pour les finalités annoncées (au travers de l’information fournies aux personnes concernées)

Avant de collecter des données auprès des utilisateurs, il est important de déterminer les finalités pour lesquelles ces données sont nécessaires, et de ne collecter que les données qui sont strictement nécessaires pour ces finalités.

Par exemple, si vous souhaitez envoyer des emails de marketing à une liste de diffusion, il est nécessaire de collecter l’adresse email de l’utilisateur, mais il n’est pas nécessaire de collecter d’autres informations comme leur numéro de téléphone ou leur adresse postale.

Limiter la collecte de données aux seules données nécessaires pour les finalités définies est une pratique importante car elle permet de réduire les risques de violation de données personnelles.

Supprimez les données dès que la finalité est atteinte

Ne gardez pas de données au cas où

Vous ne devez collecter que les données dont vous avez besoin, que vous aurez identifiées avant la collecte, et ces données doivent être supprimées dès que l’objectif est atteint ou la durée de conservation est atteinte. Par exemple, les données d’un prospect doivent être conservées maximum jusqu’à 3 ans après le dernier contact actif. De la même manière, ne collectez pas l’adresse postale complète de vos clients alors que vous n’utilisez que la ville dans les ciblages de vos campagnes emails.

Facilitez l’envoi de demandes de suppression

Il est possible de mettre en place des mesures pour permettre aux utilisateurs de demander la suppression de leurs données, par exemple, en intégrant sur votre site internet un formulaire dédié ou en indiquant l’adresse email de la personne en charge du sujet ou celle de votre dpo si vous en avez désigné un, permettant ainsi aux personnes la prise en compte de leurs demandes d’exercices de droits (dont la suppression).

L’anonymisation des données

Anonymiser de manière irréversible les données à caractère personnel, rendant impossible la réidentification des personnes physiques, conformément aux préconisations de l’autorité de contrôle peut être une façon pour le responsable de traitement de respecter le principe de purge / suppression des données collectées afin de respecter les engagements. Pour rappel, les mentions d’information indiquent la durée de conservation et les données collectées. Le responsable des traitements doit donc les respecter.

Bonus : minimisation des données et écologie

En pratiquant une minimisation et purge des données, les entreprises peuvent également contribuer à la lutte contre la surconsommation de ressources et à l’écologie. En effet, stocker et traiter de grandes quantités de données nécessite beaucoup d’énergie, ce qui a un impact environnemental considérable. Par conséquent, en limitant les données collectées et en utilisant uniquement celles qui sont nécessaires à la réalisation de leurs objectifs marketing, en les supprimant dès qu’elles ne sont plus utiles, les entreprises peuvent réduire leur empreinte écologique tout en respectant le RGPD.

En utilisant un email marketing responsable, les entreprises peuvent également s’assurer qu’elles ne sollicitent pas les individus qui ne souhaitent pas recevoir de communications de leur part. Cela permet de limiter le nombre d’emails envoyés et d’éviter les désinscriptions et les plaintes, ce qui a également un impact bénéfique sur l’environnement tout comme sur leur réputation d’expéditeur ainsi que sur la délivrabilité de leurs messages.

En somme, le RGPD et l’écologie peuvent sembler deux sujets distincts, mais en respectant ses engagements vis à vis des personnes, conformément aux obligations du RGPD, ainsi qu’un email marketing responsable, les entreprises entre dans un cercle vertueux et réduisent leur impact environnemental.

Conservez les données uniquement pour la durée nécessaire (au regard des finalités et de l’objectif)

Les données que vous collectez ne peuvent être stockées indéfiniment. Il est important de conserver les données uniquement pour la durée nécessaire pour réaliser l’objectif fixé, tout en respectant ses obligations et en réduisant le risque de violation de données personnelles.

Les personnes concernées doivent être informées en amont de la durée de conservation des données nécessaires à la réalisation de l’objectif pour lequel la collecte a été réalisée.
Lorsqu’elle ne peut être indiquée, les détails de la méthode de calcul (ou de détermination) doivent être indiqués.

La durée de conservation dépend principalement de la finalité du traitement. Pour en savoir plus sur le sujet, nous vous invitons à consulter cette page de la CNIL dédiée à la durée de conservation des données.

Identifiez et respectez les préférences de communication de votre audience

Il est important de respecter les préférences de communication des utilisateurs car cela permet de leur offrir une expérience de communication personnalisée et pertinente, tout en respectant leur vie privée et leur droit à ne pas être envahis de communications indésirables. En respectant les préférences de communication des utilisateurs, vous pouvez également améliorer la réception et l’engagement avec vos communications, et réduire les taux de désabonnement et de signalement de spam.

ll existe plusieurs méthodes pour gérer et respecter les préférences de communication des utilisateurs :

• Formulaire d’inscription : demandez aux utilisateurs de préciser leurs préférences de communication lors de leur inscription à votre newsletter ou lors de l’achat d’un produit ou service.

• Centre de préférences : donnez à vos contacts la possibilité de gérer leurs préférences de communication à tout moment en mettant à disposition un lien vers leur profil ou vers un centre de gestion des préférences.

• Liens de désinscription : La désinscription est aussi une manière d’exprimer ses préférences de communication. Il est obligatoire d’inclure un lien de désabonnement ou un moyen ou d’opposition dans chacun de vos emails marketing, afin que les utilisateurs puissent se désinscrire facilement s’ils ne souhaitent plus recevoir de communications.

Il est essentiel de respecter les préférences de communication de vos abonnés, prospects et clients en ne les contactant qu’à des fréquences et à des moments qu’ils ont indiqué être convenables et à propos de sujets qu’ils ont déclaré être pertinents et intéressants pour eux.

En somme, respecter les préférences de communication des utilisateurs est un moyen de respecter leur vie privée et de leur proposer une expérience de communication pertinente et adaptée à leurs besoins. Il est donc important de mettre en place des méthodes pour que les utilisateurs puissent facilement gérer leurs préférences de communication et ainsi de s’assurer de respecter ces préférences et d’éviter les désabonnements et les signalements spam.

Protégez la vie privée de vos contacts à travers des mesures de sécurité

L’email marketing est un outil efficace pour communiquer avec vos clients et prospects, mais il est important de protéger la vie privée de vos contacts en utilisant leurs données de manière responsable. Il existe plusieurs méthodes pour protéger la vie privée des utilisateurs tout en utilisant leurs données pour l’email marketing. Nous avons dressé une liste non-exhaustive de conseils issue du guide de la sécurité des données de la CNIL et adaptée au cas d’usage de données avec Sarbacane. Ces conseils vous seront particulièrement utiles pour mettre en place une stratégie de gestion des données efficaces.

Limitez l’accès aux données

Veillez à ne donner accès aux données des destinataires de vos campagnes qu’aux seules personnes qui en ont besoin dans l’exercice de leurs missions qui leurs sont confiées (ou attribuées).

Sarbacane vous permet de gérer les droits d’accès aux ressources créées sur votre compte grâce à un système de groupe d’utilisateurs.

Chiffrez les données lorsque vous les stockez ou les transférez

Vous devez transférer une liste de contacts à un collègue ? Le premier réflexe à avoir est de vous poser les questions suivantes : de quelles données ce collègue a-t-il besoin exactement ? A-t-il besoin de l’intégralité des données de la liste ou seulement de certaines colonnes ? S’il n’a pas besoin de l’intégralité de la liste, supprimez les colonnes qui ne le concernent pas.

Ensuite, évitez à tout prix un simple envoi par mail (peu sécurisé si les données de la liste ne sont pas chiffrées). Préférez soit déposer la liste dans un dossier protégé et accessible uniquement par l’utilisateur concerné, soit lui transférer via un système de transfert de fichiers sécurisé et conforme au RGPD (renseignez-vous bien sur ce point au préalable auprès de votre service informatique, de votre dpo ou de votre conseil juridique habituel).

Optez pour un mot de passe sécurisé

Que ce soit pour l’utilisation de Sarbacane ou de tout autre logiciel sur lequel vous stockez et traitez des données personnelles, nous vous encourageons à utiliser un mot de passe fort et à le changer souvent.

Il doit comporter des chiffres, des lettres en majuscule et minuscule et des caractères spéciaux. Vous pouvez également passer par un générateur de mot de passe, comme celui proposé par la CNIL par exemple. Nous vous invitons également à consulter les nouvelles recommandations en matière de sécurité des mots de passe.

Pensez aussi à utiliser un gestionnaire de mot de passe pour gérer et enregistrer tous vos identifiants dans un seul et même outil sécurisé.

Choisissez bien vos partenaires / sous-traitants

Veillez à bien choisir des partenaires et des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée.

Sarbacane et vos données ?

Si vous souhaitez avoir de plus amples informations sur la manière dont Sarbacane assure la confidentialité et la sécurité de vos données, nous vous invitons à consulter les mesures prises sur cette page dédiée.

Sensibilisez vos équipes

Formez vos collaborateurs et sensibilisez-les aux bonnes pratiques et aux réflexes à avoir en ce qui concerne la gestion des données (collecte, traitement, stockage, etc.).

La CNIL a mis en place “L’atelier RGPD”, une formation en ligne entièrement gratuite qui permet de sensibiliser les professionnels à la protection des données. Invitez vos équipes à y jeter un œil.

En conclusion, le RGPD est une réglementation, transposée dans la loi informatique et libertés, qui vise à protéger les droits des individus à la vie privée et à protéger leurs données personnelles. L’email marketing peut être une technique efficace pour atteindre les utilisateurs et générer des leads, mais il est indispensable de se conformer au RGPD et de respecter la vie privée des utilisateurs. Les bonnes pratiques énoncées dans cet article vous donneront de bonnes bases pour une gestion des données responsables mais n’oubliez pas que la liste des mesures à mettre en œuvre pour respecter les obligations du RGPD est bien plus large, évolue fréquemment et dépend aussi de votre activité. Rapprochez-vous de votre dpo ou de votre conseil juridique habituel pour chaque traitement de données mis en place pour assurer sa conformité au RGPD.