GDPR et Email Marketing

L’email marketing repose sur la collecte et le traitement des données de vos clients et prospects. Une importante partie de ces données a un caractère personnel, puisqu’il s’agit le plus souvent du nom et de l’email de l’usager, mais aussi d’informations qui peuvent aller de l’âge aux centres d’intérêt, en passant par des données aussi précises que le comportement de navigation ou d’achat.

Ces données personnelles permettent de segmenter et cibler différemment les utilisateurs, notamment en personnalisant les emails qui leur sont envoyés, aussi bien sur le plan du contenu que sur celui du design ou du timing de l’envoi, voir même sa fréquence.

Le GDPR (RGPD), ou règlement général de l’Union européenne sur la protection des données, fixe les règles de la collecte et du traitement de ces données à caractère personnel, afin de renforcer les droits et la vie privée des individus.

Pour l’email marketing, l’impact est assez important au niveau des « règles » qui vont changer, avec notamment des droits d’accès, de rectification et d’oubli renforcés. Les marketeurs et les sociétés en général sont concernés à plusieurs niveaux : le GDPR définit précisément de quelle manière ils peuvent obtenir, utiliser et stocker les données personnelles.

Le GDPR exige des marketeurs d’obtenir le consentement explicite des usagers avant de leur envoyer des messages commerciaux. Cette disposition concerne aussi bien le domaine du B2C que celui du B2B : l’email professionnel d’une personne physique est considéré comme une donnée personnelle.

La demande de consentement doit être formulée d’une façon claire et accessible, et expliquer quel sera l’usage des données personnelles collectées. Les pratiques d’opt-out sont donc exclues, de même que l’opt-in passif (la fameuse case de consentement pré cochée). Seul l’opt-in actif est permis. La demande de consentement doit être séparée de l’approbation des conditions générales.

Si les données personnelles sont utilisées à plusieurs fins, l’entreprise doit demander un consentement séparé pour chaque usage. Le but est de donner à l’usager une maîtrise maximale sur la façon dont ses données sont utilisées. En outre, l’identité de la société, qui utilise les données, devra être précisée et celles de toutes les tierces parties avec lesquelles les données seront partagées.

L’expéditeur doit être en mesure de prouver qu’il a obtenu le consentement des clients et prospects auxquels il envoie ses emails commerciaux. Il en ira de même pour les listes de prospects, vous devez être en mesure de fournir les preuves que le consentement des utilisateurs a été obtenu par la compagnie à laquelle vous avez acheté la liste.

Le consentement des parents est nécessaire pour traiter les données personnelles de mineurs de moins de 16 ans pour les services en ligne. Les pays membres de l’Union européenne pourront définir un âge inférieur, mais celui-ci ne saurait être inférieur à 13 ans.

L’utilisateur doit pouvoir retirer son consentement aussi facilement et rapidement qu’il l’a donné (notamment en se désabonnant à votre newsletter, etc.).

Le GDPR vise également à renforcer le stockage sécurisé des données personnelles et le droit des citoyens de demander l’effacement de leurs données. Les principales mesures susceptibles de changer vos habitudes de stockage des données personnelles sont les suivantes :

  • Vous devez stocker les preuves que vous avez obtenu le consentement des usagers d’utiliser leur mail et pouvoir les remettre sur demande ;
  • Le « droit d’accès »: vos clients et prospects peuvent vous demander si leurs données personnelles sont utilisées, de quelle manière et à quelle fin. S’ils en font la demande, vous devez leur fournir gratuitement une copie de leurs données personnelles, dans un format électronique et lisible ;
  • Le « droit à l’oubli »: les usagers ont le droit de demander l’effacement permanent de n’importe quelle donnée personnelle. Dans ce cas, vous devez retirer les données de votre système, sans laisser la moindre trace de l’information ;
  • Le « droit de portabilité »: les données peuvent être récupérées par l’usager, qui a le droit de les transmettre librement à des tiers ;
  • La « protection dès la conception »: le GDPR renforce ce concept, en exigeant la mise en place de mesures techniques et organisationnelles de protection des données dès la conception des produits et systèmes ;
  • En cas de faille de sécurité, « susceptible de porter atteinte aux droits et libertés des individus » dont vous avez collecté les données, vous devez la signaler à l’autorité de protection dans les 72 heures à compter de sa découverte. La nature de la faille, le nombre de personnes concernées et les « conséquences probables » doivent être indiqués dans la notification. En cas de risque élevé pour leur vie privée, vous devez également en informer vos utilisateurs dans des délais raisonnables ;
  • Le GDPR encourage les sociétés à collecter et stocker uniquement les données absolument nécessaires au regard des finalités pour lesquelles elles sont traitées. Le responsable du traitement des données personnelles doit également en restreindre l’accès uniquement aux personnes qui en ont besoin pour ledit traitement.

Les progrès du Big Data et de son utilisation soulèvent la question de l’utilisation des données personnelles pour suivre et prédire les préférences des consommateurs et permettre la personnalisation des services proposés.

Le GDPR restreint les pratiques de profilage et permet aux usagers de s’opposer à la prise de décisions à leur sujet basées sur le profilage. Ces restrictions concernent uniquement le profilage automatisé, défini comme le traitement automatisé de données personnelles à des fins d’évaluation de certains aspects personnels liés à une personne physique. Le GDPR cite notamment « la performance de la personne physique au travail, sa situation économique, sa santé, ses préférences personnelles, ses centres d’intérêt, sa fiabilité, son comportement, son emplacement et ses mouvements ».

Le GDPR donne aux citoyens européens le droit de s’opposer au profilage (notamment pour analyser leur comportement d’achat et prédire un comportement futur).

Les marketeurs sont tenus de préciser lors de la demande de consentement que les données seront utilisées à des fins d’analyse automatique pour pouvoir les utiliser afin de personnaliser l’expérience client.

Alors que l’hyperpersonnalisation est aujourd’hui la norme chez de plus en plus de marketeurs, il devient nécessaire de bien expliquer au client/prospect son intérêt dans la démarche de profilage. Un client conscient que le profilage permet une personnalisation de son parcours sera plus enclin à accepter une pratique qui au premier abord peut être effrayante.

 

Sources: ActiveTrail, GDPR.EU