Menu

Simplement bien conseillé

Heure de consultation RGPD : questions & réponses sur le thème du RGPD dans l'e-mail marketing

Datenschutz und Sicherheit im E-Mail Marketing
DSGVO Sprechstunde

Consultation sur le RGPD avec le Dr Gerrit Mesch

Vous avez posé des questions et nous y répondons. Notre avocat Dr. Gerrit Mesch a examiné vos questions et a répondu aux questions les plus fréquemment posées.

Vos questions sur le RGPD - réponses de notre avocat

Nous vous avons demandé, en tant que client, de nous poser des questions concernant le RGPD. Vous trouverez ci-dessous le résultat de l'entretien avec notre avocat, qui a répondu pour vous aux questions.

Remarque importante : "La consommation de ce texte général ne remplace pas le conseil juridique nécessaire dans un cas particulier. Vous agissez à cet égard à vos propres risques. En cas de doute, veuillez toujours demander conseil à un avocat pour votre cas particulier".

I. Questions de fond

Le RGPD s'applique-t-il en dehors de l'UE ?

  • L'article 3 du RGPD s'applique à l'Union européenne.
  • L'UE n'a pas le pouvoir de réglementer la protection des données en Asie ou en Amérique du Nord, par exemple.
  • L'article 3 du RGPD contient un principe de localisation du marché : selon ce principe, le RGPD s'applique également aux entreprises situées dans des pays tiers si celles-ci proposent des biens ou des services aux citoyens de l'UE.

Quelles sont les sanctions en cas de non-respect du RGPD ? Y a-t-il eu des décisions de justice à ce sujet ?

Selon un article de presse, les commissaires à la protection des données des Länder ont infligé des amendes dans au moins 75 cas depuis l'entrée en vigueur du règlement général sur la protection des données (RGPD) au cours de la première année, de mai 18 à mai 19.

Le montant total s'élève à 449.000 euros, selon une enquête du journal Welt am Sonntag. Le journal avait interrogé les responsables de la protection des données des Länder. 14 des 16 Länder ont fourni des informations, le Mecklembourg-Poméranie occidentale et la Thuringe n'ont pas répondu.

Des amendes de plusieurs millions d'euros, comme le craignaient les entreprises et les associations avant l'entrée en vigueur du RGPD, n'ont donc pas encore été infligées. Depuis, les amendes ont toutefois augmenté. Selon les médias, certaines amendes nettement plus élevées ont été prononcées depuis lors. Cela n'est toutefois pas représentatif. De plus, des procédures judiciaires sont attendues dans certains de ces cas. Il est donc encore trop tôt pour émettre un jugement définitif. Ce sont des sanctions infligées par les autorités. Je n'ai pas connaissance de décisions prises par des tribunaux à ce sujet.

Toutefois, le marketing par e-mail n'est pas uniquement régi par le RGPD. Il faut également tenir compte de la loi contre la concurrence déloyale (UWG). Dans ce cas, des prélèvements de bénéfices, des dommages et intérêts, etc. sont possibles.

Travaillez-vous selon le droit canonique ?

En tant qu'entreprise, nous sommes soumis à la législation qui nous est applicable. Les lois sur la protection des données de l'Église protestante et de l'Église catholique ne s'appliquent pas directement à nous. Étant donné que les lois sur la protection des données de l'Église protestante et de l'Église catholique ont été adaptées au RGPD après leur révision, nous ne voyons pas de problèmes fondamentaux à cet égard.

Pouvez-vous me recommander des sites web ou d'autres sources où je peux me tenir au courant de la RGPD ?

Le site du gourou de la protection des données https://www.datenschutz-guru.de/ est à recommander sans réserve et est très populaire, à juste titre. Les textes sont faciles à comprendre et tout à fait divertissants. En outre, des vidéos y sont également disponibles.

II. collecte des adresses

Puis-je utiliser des adresses, par exemple d'écoles, qui se trouvent sur Internet et qui sont publiques ?

En principe, le consentement doit être donné pour chaque cas concret. Cela ne signifie pas que le consentement doit être réitéré pour chaque envoi de publicité. Toutefois, le consentement doit (également) se rapporter à l'envoi concret de publicité. Il n'y a pas de consentement pour le cas concret lorsqu'un club de football a publié son adresse électronique sur son site web (BGH, NJW 2008, 2999 - FC Troschenreuth). Le club attend tout au plus des demandes concernant le déroulement des matchs ou les activités du club, mais pas des demandes concernant des prestations étrangères au club.

Les cartes de visite sont-elles automatiquement des consentements pour une "prise de contact par newsletter" ?

Ici aussi, la précision nécessaire d'un consentement explicite fait défaut lorsqu'une carte de visite est remise dans le cadre d'une manifestation (LG Baden-Baden, WRP 2012, 612 (613)). Il est toutefois envisageable de placer une boîte portant clairement l'inscription "Newsletter", dans laquelle la carte de visite est déposée. Dans ce cas, la traçabilité est moins bonne que dans le cas du double opt-in.

Je fais des enquêtes auprès des destinataires lors de séminaires de communication. Ceux-ci donnent leur accord ou non par une case à cocher. Puis-je saisir les noms, etc. dans un tableau Excel ?

Il n'y a pas non plus de consentement lorsque le participant à un séminaire a inscrit son adresse électronique dans la liste des participants (LG Gera, WRP 2012, 1468). Dans ce cas, il n'a pas donné son consentement. La publication d'une liste de séminaires, d'autre part, avec l'invitation à s'inscrire si l'on souhaite recevoir la newsletter, est suffisamment concrète s'il est clair de quelle entreprise la newsletter sera envoyée.

Est-ce que je peux aussi m'inscrire à la newsletter par une simple case à cocher dans le processus d'achat ou est-ce que cela nécessite toujours une DOI ?

Cela suffirait comme consentement si le client cliquait activement sur la case et si elle n'était pas présélectionnée - c'est-à-dire opt-in et non opt-out (BGH, MMR 2008, 731 - Payback). Cependant, il ne serait pas possible de prouver que c'est bien le propriétaire de l'adresse e-mail qui a effectué la saisie, car des erreurs ou des abus ne peuvent pas être exclus (AG Berlin, MMR 2009, 144). Même une adresse IP enregistrée ne suffit pas à apporter une preuve. L'exploitant du site web n'a aucun moyen de déduire d'une adresse IP dynamique le titulaire concret d'un compte e-mail. Les fournisseurs d'accès, qui pourraient tout de même déterminer le titulaire de la connexion (mais pas le titulaire du compte), ne sont ni obligés ni autorisés à fournir les données correspondantes.

Le "Confirmed-Opt-in" n'est pas non plus une preuve suffisante. Dans ce cas, un e-mail de confirmation est certes envoyé, mais aucun lien de confirmation n'est intégré. Il s'agit simplement d'une indication explicite de la possibilité de se désinscrire. En l'absence de réaction, l'adresse électronique concernée est ajoutée à la liste de diffusion. Il n'est donc pas possible de prouver que c'est bien le titulaire du compte de messagerie qui s'est inscrit à la newsletter.

J'ai fait appel à des bénéficiaires il y a 8 ans. Puis-je leur adresser un courrier ? Y a-t-il un délai de prescription ?

BGH, arrêt du 01.02.2018 - III ZR 196/17 : "Ni la directive 2002/58/CE ni l'article 7 de la loi sur la concurrence déloyale ne prévoient de limitation dans le temps du consentement une fois qu'il a été donné. Il en résulte que celui-ci - tout comme un consentement selon l'article 183 du Code civil allemand - ne s'éteint en principe pas par le seul écoulement du temps". En conclusion, je considère que la publicité par e-mail est autorisée s'il n'y a pas de raison de douter du consentement initialement exprimé par le consommateur. Cette raison pourrait être le fait que le consentement date de plus d'un an et demi et qu'aucune publicité n'a été envoyée pendant cette période. C'est ce qu'a considéré le tribunal de grande instance de Berlin avant l'introduction du RGPD (LG Berlin, jugement du 09.12.2011 - 15 O 343/11). Il n'est pas certain que ce soit encore le cas aujourd'hui. Il s'agit d'une décision isolée en première instance et non d'une jurisprudence constante de la dernière instance. Même si l'on voulait suivre cette décision, il n'y aurait pas d'écoulement du temps si la publicité a été envoyée régulièrement. Il est difficile d'affirmer que la règle selon laquelle le consentement expire après deux ans n'existe pas dans l'ensemble du système juridique, dans la mesure où je ne peux pas examiner l'ensemble du système juridique. Les réglementations pertinentes du RGPD et de la LCD ne contiennent pas de telles dispositions légales.

Nous avons collecté des destinataires avant le RGPD. Puis-je les contacter ? Dois-je les collecter à nouveau ?

Il est tout à fait possible qu'avant l'introduction du RGPD, le consentement à l'envoi de publicité ait déjà été donné correctement par double opt-in. Cela répondrait également aux critères du RGPD. On pourrait continuer à écrire aux destinataires concernés.

Je n'ai pas de preuve DOI pour le consentement. Mais les destinataires ne se sont pas désinscrits depuis des années - puis-je continuer à leur envoyer des courriers ?

Non, il n'y a pas de consentement explicite.

Si je change de fournisseur de services de newsletter par e-mail, ai-je besoin d'un nouveau DOI ?

Si vous avez déjà recueilli le consentement par une procédure de double opt-in auprès d'un autre prestataire de services de newsletter, vous n'avez pas besoin de recueillir à nouveau le consentement. Le consentement du destinataire se rapporte à la réception de vos e-mails et non au prestataire de services que vous utilisez pour l'envoi. Vous pouvez donc utiliser directement chez CleverReach les données qui ont été correctement collectées selon la procédure de double opt-in.

Un client demande des informations sur un produit sur un site web. Puis-je lui envoyer un e-mail uniquement à ce sujet ou plusieurs fois sur ce produit et d'autres produits similaires ?

Il n'y a pas lieu de considérer qu'il y a harcèlement inacceptable dans le cas d'une publicité utilisant le courrier électronique si :

a. un entrepreneur a obtenu du client son adresse de courrier électronique dans le cadre de la vente d'un bien ou d'un service,

b. l'entrepreneur utilise l'adresse pour faire de la publicité directe pour ses propres biens ou services similaires,

c. le client ne s'est pas opposé à cette utilisation et

d. le client est clairement informé, lors de la collecte de l'adresse et de chaque utilisation, qu'il peut s'opposer à tout moment à cette utilisation, sans que cela n'entraîne d'autres frais que les frais de transmission selon les tarifs de base.

Seule la publicité pour ses propres biens ou services est couverte par l'exception. Cela exclut tout d'abord l'envoi d'e-mails publicitaires en faveur d'autres entreprises. En particulier, les newsletters autonomes ne peuvent pas être envoyées en invoquant l'alinéa 3. La KG exige une "interchangeabilité" des produits ou que les produits répondent au même besoin ou servent au moins à un usage similaire. L'OLG de Jena exige un "même usage typique".

Je n'ai pas de preuve DOI du consentement. Or, les destinataires ne se sont pas désinscrits depuis des années. Puis-je continuer à les contacter ?

Malheureusement non, car il n'y a pas de consentement explicite.

Quel type de contenu peut être envoyé aux "non-clients" sans opt-in ?

La réponse à cette question est également rapide. Aucune, s'il n'y a ni consentement ni commande.

III Clients professionnels

Y a-t-il une différence entre B2C et B2B ? Puis-je écrire à des clients professionnels qui mettent leur e-mail en libre accès pour leur demander une offre ?

La publicité non sollicitée par e-mail doit être considérée comme un harcèlement inacceptable sans le consentement explicite préalable du destinataire, conformément au § 7 al. 2 n° 3 UWG (solution dite opt-in) (BGH, Urt. v. 10.2.2011, Az. I ZR 164/09, MMR 2011, 662 et suiv. ; OLG Celle, Urt. 15.5.2014). Le législateur allemand renonce ici à faire une différence entre les consommateurs et les professionnels, au motif que la publicité par e-mail a un caractère fortement importun, notamment dans les relations commerciales. (BT-Drucks. 15/1487, p. 21.)

Puis-je envoyer une newsletter aux entreprises ?

Même s'il s'agit d'entreprises clientes, vous n'êtes pas autorisé à leur écrire sans leur accord.

Puis-je acheter des adresses, par exemple chez qui-vers-qui ?

Un consentement est toujours nécessaire pour le cas concret. C'est pourquoi aucun achat n'est malheureusement possible.

L'envoi d'e-mails non sollicités est-il autorisé s'il est effectué exclusivement à des adresses e-mail impersonnelles telles que info@..., contact@, service@... etc. est-il adressé ? Ou l'autorisation préalable, par exemple par double opt-in, est-elle également nécessaire dans ce cas ?

Non, pas d'envoi autorisé car il n'y a pas de consentement pour le cas concret. En ce qui concerne la deuxième question, un double opt-in est toujours nécessaire.

Puis-je simplement écrire aux salles de sport lorsque je vends des équipements sportifs ?

Pas sans consentement, il faut toujours un consentement pour le cas concret.

Quand dois-je supprimer des destinataires. Juste après la désinscription ?

Conformément à l'article 17 I b du RGPD, toutes les données doivent être effacées immédiatement. Le gourou de la protection des données voit les choses complètement différemment. Je pense que les données devraient être conservées pendant au moins trois ans, sauf si elles sont expressément effacées. Cela s'explique par les obligations de preuve découlant de la législation sur la protection des données afin d'éviter les risques d'amende.

IV. Autres questions sur le RGPD & CleverReach

Combien de temps les données de double opt-in sont-elles conservées ?

Ce n'est pas CleverReach qui décide de la durée de conservation des données, mais vous en tant qu'expéditeur de la newsletter. Il n'existe en effet pas (encore) d'unité de temps universelle. Comme vous devez prouver le consentement du destinataire de la newsletter par un double opt-in, les données peuvent être conservées légalement aussi longtemps,

  • tant que les e-mails sont envoyés sur la base du consentement, et
  • et même au-delà, aussi longtemps que vous devez vous attendre à ce qu'une preuve puisse encore être exigée.

Le principe est que les données doivent être effacées lorsqu'elles ne sont plus nécessaires, mais qu'elles peuvent également être conservées tant qu'il existe un intérêt légitime. La durée de conservation des données doit donc être déterminée par vous de manière appropriée au cas par cas.

Comment et quand les clients de CleverReach reçoivent-ils les données de double opt-in lors d'une demande ?

Comme auparavant, vous recevrez les données de double opt-in par mail en cas de demande de CleverReach. Si vous utilisez nos formulaires CleverReach, vous pouvez télécharger le protocole DOI en fonction du destinataire. Vous trouverez la possibilité de téléchargement directement dans le profil du destinataire. Ceci est bien sûr particulièrement avantageux en cas de plainte. Un clic et vous pouvez, conformément au RGPD, consulter la preuve d'inscription correspondante. Rapide, confortable et pour votre sécurité.

Combien de temps les données des destinataires de la newsletter sont-elles conservées ?

La durée de conservation des données n'est pas déterminée par CleverReach, mais par vous en tant qu'expéditeur de la newsletter. Cela signifie que dès que vous demandez la suppression des données du destinataire, nous nous acquittons de cette mission.

Dans ce contexte, il faut toutefois tenir compte du fait que nous sommes tenus, en tant que responsables du traitement des données, de garantir la sécurité des données conformément au nouveau RGPD et que nous devons à cet effet procéder régulièrement à des sauvegardes. Il n'est malheureusement pas possible de supprimer de manière ciblée des enregistrements individuels de ces sauvegardes, qui ne sont consultées et utilisées une nouvelle fois que sous certaines conditions. Chez CleverReach, nous avons donc décidé de supprimer ces sauvegardes au bout de 30 jours.

Combien de temps les adresses électroniques inactives, c'est-à-dire les données des destinataires de la newsletter, sont-elles encore conservées après leur désinscription ?

C'est à vous, en tant que responsable des données, de décider selon vos propres règles. Comme nous l'avons déjà expliqué à propos de la procédure de double opt-in, le principe est que les données doivent être supprimées lorsqu'elles ne sont plus utilisées, mais qu'elles peuvent également être conservées tant qu'il existe un intérêt légitime à le faire. Dans la mesure où les données ont été traitées uniquement pour l'envoi de la newsletter, elles ne peuvent plus être utilisées pour l'envoi d'une newsletter à un destinataire dès lors que celui-ci se désabonne. L'expéditeur de la newsletter doit cependant aussi être en mesure de prouver qu'il remplit ses obligations légales (par ex. selon le RGPD). Dans la mesure où les données sont nécessaires à cet effet, elles peuvent continuer à être conservées. Il n'y aura pas de suppression automatique par CleverReach, mais nous créerons pour vous les conditions nécessaires à la mise en place de processus automatisés.

Les consentements existants des destinataires de la newsletter doivent-ils être recueillis à nouveau ?

Si vous avez déjà donné un consentement valable : en principe non (considérant 171 du RGPD). Le législateur européen a en effet opté, en faveur des utilisateurs de données, pour le maintien de la validité des consentements déjà recueillis en matière de protection des données. La condition est toutefois que

  • a) les consentements aient été valablement obtenus sur la base de la BDSG et de la TMG en vigueur jusqu'au 24.05.2018
  • b) que les consentements accordés répondent également aux conditions du RGPD.

Dans ce contexte, une grande importance est accordée au caractère volontaire. Celle-ci n'est pas donnée si, par le passé, l'interdiction de couplage a été violée - c'est-à-dire si la collecte des données (adresse e-mail) était liée à des conditions qui n'étaient pas nécessaires à l'exécution d'un contrat. En revanche, le fait que les consentements donnés jusqu'au 24 mai 2018 n'aient pas satisfait aux nouvelles obligations d'information (article 13 du RGPD) n'est pas préjudiciable.

Cela signifie pour vous, en tant qu'expéditeur de newsletters : étant donné que les exigences déterminantes en matière de consentement selon le droit en vigueur et le nouveau droit se recoupent majoritairement en Allemagne, il n'est généralement pas nécessaire de demander à nouveau le consentement de chaque destinataire de newsletter dont les données sont déjà traitées avec le consentement au 25 mai 2018.

Ce qui est nouveau et dont il faut tenir compte pour les anciens consentements, c'est que le RGPD a désormais fixé un âge minimum uniforme pour le consentement. Les consentements de mineurs de moins de 16 ans (ou de moins de 13 ans si le droit national contient une disposition correspondante) ne sont valables selon le RGPD que si les parents y consentent.

Peut-on continuer à collecter des données de manière analogique ? Quelles sont les nouvelles réglementations à prendre en compte ?

Oui, la manière dont les données sont collectées - numériquement ou analogiquement - est en principe la même pour l'appréciation juridique, les mêmes exigences s'appliquent. Cela signifie qu'il faut également faire référence à la déclaration de protection des données lors de la collecte analogique des données, par exemple lorsque les adresses e-mail sont collectées hors ligne.

La Conférence sur la protection des données a précisé que les informations à ce sujet

  • sous une forme précise, transparente, compréhensible et facilement accessible
  • ainsi que dans un langage clair et simple

doivent être communiquées. En outre, ils doivent

  • par écrit ou
  • sous une autre forme (éventuellement électronique)

être mis à disposition.

Toutefois, s'il est fait référence à une information disponible sous forme électronique, celle-ci doit également être facile à trouver et donc disponible dans la situation concrète. Ainsi, si les données doivent être collectées auprès d'une personne présente, cette dernière ne peut généralement pas être renvoyée à des informations sur Internet. Il en va de même pour une correspondance écrite sur papier.

Les destinataires de la newsletter doivent-ils être informés de l'endroit où leurs données sont stockées (lieu, fournisseur) ?

Oui. Une indication dans les déclarations de protection des données de ce qui est stocké, où et pendant combien de temps, et que CleverReach est le sous-traitant avec lequel il existe un contrat de sous-traitance (CS) pour sécuriser les données, devrait normalement être suffisante.

Les destinataires doivent-ils être informés des liens de suivi et des pixels de suivi ?

Oui, par le biais d'indications correspondantes dans la déclaration de protection des données.

Les données de double opt-in sont-elles cryptées et, si oui, comment ?

Bien entendu, cela va de soi. Les données de double opt-in sont cryptées selon le procédé SSL.

Les destinataires de la newsletter doivent-ils être informés des données qui seront collectées auprès de vous ?

Oui. L'étendue et la finalité de la collecte des données doivent être communiquées aux destinataires de manière transparente et d'une manière simple et claire. Le contenu essentiel doit être expliqué à l'endroit où les données sont collectées ; pour le reste, il est possible de renvoyer à la déclaration de protection des données, idéalement reliée à l'endroit en question.

Plus d'informations sur le thème du RGPD

Votre question sur le RGPD ne figure pas encore dans la liste ?

Vous avez une question sur le RGPD qui relève de l'heure de consultation ?

Soumettre une question ici