Menu
Protection des données et RGPD

Envoyer une newsletter conforme au RGPD : Réussir un email marketing conforme à la loi

Joana Rüdebusch
SEO Managerin & Content Creator
Sending Out GDPR-Compliant Newsletters

Vous êtes encore dans le flou en ce qui concerne la protection des données des newsletters ? Nous vous donnons un aperçu des principes de base d'une newsletter juridiquement sûre et conforme au RGPD.

Les newsletters sont à juste titre un outil de marketing indispensable. Elles permettent aux entreprises d’atteindre leur clientèle, d’entretenir des relations et d’augmenter leur chiffre d’affaires. Mais il y a un sujet sur lequel l’incertitude règne toujours : les newsletters et la protection des données. Avec l’introduction du Règlement général sur la protection des données (RGDP) en 2018, les exigences en matière d’envoi de newsletters ont augmenté. Et donc aussi l’inquiétude chez les expéditeurs de faire quelque chose de mal par erreur.

Dans cet article, nous vous donnons un aperçu des aspects les plus importants pour un email marketing conforme au RGPD.

Contenu

En bref, le sujet : Qu’est-ce que le RGDP ?

Le RGPD est un règlement de l’Union européenne qui régit la protection des données à caractère personnel. Il a été introduit afin de renforcer et d’uniformiser la protection des données des personnes physiques. Depuis lors, les entreprises doivent suivre des directives strictes lorsqu’elles collectent et traitent des données à caractère personnel. Les données utilisées pour l’envoi de newsletters en font bien entendu partie.

Pourquoi la conformité au RGPD et la protection des données sont-elles importantes pour les newsletters ?

Le non-respect du RGPD peut avoir de graves conséquences, notamment des amendes élevées et une atteinte considérable à la réputation. Il est donc crucial pour les entreprises européennes qui envoient des newsletters de se conformer à toutes les exigences afin de gagner la confiance de leurs abonnés et d’éviter les conséquences juridiques. Les newsletters et le RGDP devraient donc toujours aller de pair.

Mais pas d’inquiétude : nous avons un aperçu des directives permettant de mettre l’email marketing en conformité avec le RGDP et d’envoyer des newsletters dans le respect de la protection des données.

Les principes de base d’une newsletter conforme au RGPD

1. Choisir un outil de newsletter conforme au RGPD

La première étape pour créer des newsletters conformes au RGPD consiste à choisir un outil email marketing conforme à la législation. Pour ce faire, veillez aux points suivants :

  • Emplacement du serveur dans l’UE :

Vérifiez si le fournisseur remplit toutes les exigences en matière de protection des données et s’il exploite ses serveurs au sein de l’UE.

Conformément aux dispositions du RGPD (art. 44 et suivants), le traitement de données à caractère personnel en dehors de l’UE n’est pas possible sans autre. Un transfert de données à caractère personnel vers un pays tiers non sûr ne peut avoir lieu que sur la base d’une décision d’adéquation.

  • Conclusion d’un contrat de sous-traitance (contrat MO) :

Un contrat de sous-traitance est nécessaire si vous faites traiter des données à caractère personnel par un prestataire de services, donc dans ce cas par un outil de newsletter. Ce contrat garantit que le prestataire de services respecte lui aussi toutes les dispositions légales en matière de protection des données.

C’est bon à savoir :
CleverReach remplit les exigences d’un outil de newsletter conforme à la protection des données. Toutes les données sont stockées sur des serveurs en Allemagne ou dans l’UE, conformément au RGPD. Il est très facile de créer le contrat AV directement dans le compte CleverReach et de le conclure numériquement.

2. Envoi de newsletter conforme au RGPD uniquement avec le consentement

Un élément central pour un email marketing conforme au RGPD est l’obtention du consentement explicite des destinataires pour la réception de newsletters. Si vous envoyez des e-mails publicitaires non sollicités, cela est considéré comme un “harcèlement inacceptable” et constitue une infraction au droit de la concurrence (§ 7, al. 2, n° 3 UWG) et au RGDP.

Pour obtenir le consentement explicite des destinataires, la procédure de double opt-in s’est établie :

  • Double opt-in (DOI) :

Le moyen le plus simple et le plus sûr d’obtenir le consentement à la newsletter est la procédure de double opt-in. Après avoir saisi son adresse e-mail dans le formulaire d’inscription, la personne intéressée reçoit un e-mail de confirmation dans lequel elle doit confirmer une nouvelle fois la réception de la newsletter. Cela permet d’éviter les abus et de s’assurer que le consentement provient bien du propriétaire de l’email.

  • Obligation d’établir un protocole et une preuve :

Documentez l’ensemble du processus d’inscription, y compris l’adresse IP, la date et l’heure de l’inscription ainsi que la confirmation. Ces informations serviront de preuve en cas d’audit ou de plainte.

  • Interdiction de couplage :

Conformément à l’interdiction de couplage (régie par l’article 7, paragraphe 4 du RGPD), le consentement à la réception de la newsletter doit être volontaire et ne peut pas être forcé. Vous ne pouvez donc pas faire dépendre la fourniture d’une prestation ou la conclusion d’un contrat du fait que quelqu’un s’inscrive en même temps à la newsletter.

Parfois, un couplage peut être autorisé sous certaines conditions (par exemple “données contre prestation”). Dans ce cas, le couplage doit être communiqué de manière très transparente et l’utilisateur doit être informé qu’il paie la prestation avec ses données. Le mieux est de demander conseil à votre délégué à la protection des données pour votre cas concret.

  • Pas de publicité dans le mail DOI :

L’email de confirmation doit uniquement servir à confirmer le processus d’inscription et ne doit pas contenir de contenu publicitaire supplémentaire ; il y a de la place pour cela dans l’email de bienvenue.

Bon à savoir :
La procédure DOI est standard chez CleverReach dans tous les formulaires d’inscription. Vous pouvez adapter et concevoir de manière très flexible le double opt-in et la page de confirmation dans un processus clair. Le double opt-in réussi est automatiquement documenté et peut être téléchargé en cas de besoin.

3. Formulaire d’inscription conforme au RGPD

Pour le formulaire d’inscription également, il y a quelques éléments à prendre en compte pour que l’inscription à votre newsletter soit conforme au RGPD et conforme à la loi.

  • Minimiser les données :

L’adresse email doit être le seul champ obligatoire du formulaire d’inscription. Des informations supplémentaires telles que le nom ou la date d’anniversaire peuvent être collectées volontairement, mais ne doivent pas être obligatoires.

  • Remarques sur la collecte des données :

Expliquez de manière transparente pourquoi et quelles données sont collectées, quelles sont les possibilités de révocation et combien de temps les données sont conservées.

Il est conseillé d’activer une case à cocher avant d’envoyer le formulaire d’inscription.

Texte type (veuillez le vérifier) :
Notre newsletter gratuite vous informe régulièrement par email des nouveautés produits et des actions spéciales. Les données que vous saisissez ici sont uniquement utilisées pour la personnalisation de la newsletter et ne sont pas transmises à des tiers. Vous pouvez vous désinscrire de la newsletter à tout moment ou révoquer votre consentement à tout moment par email à muster@beispiel.com. Vos données seront supprimées dans un délai de XX mois après la fin de la réception de la newsletter, dans la mesure où aucune obligation légale de conservation ne s’oppose à leur suppression. En envoyant les données que vous avez saisies, vous consentez au traitement des données et confirmez notre déclaration de protection des données.
  • Lien vers la déclaration de protection des données :

Dans le formulaire d’inscription et dans le courriel double opt-in, faites un lien vers votre déclaration de confidentialité. Celle-ci doit donner des indications claires et compréhensibles sur le traitement des données dans la newsletter :

  • le logiciel de newsletter utilisé et le présent contrat de MO
  • Objectif et type de collecte des données
  • Durée et lieu de stockage
  • mesures de suivi éventuelles si les ouvertures/clics sont évalués de manière personnalisée
  • Possibilité de révocation du consentement
  • Droits des personnes concernées : droit à l’information sur les données et à leur suppression/blocage, etc.
Conseil : pour plus d’inspiration et de conseils, lisez notre article sur l’inscription à la newsletter conforme au RGPD.

4. Se désinscrire facilement de la newsletter

Conformément au RGPD de l’UE, les abonnés doivent avoir la possibilité de révoquer à tout moment leur consentement au traitement des données et de se désinscrire de la newsletter.

  • Lien de désinscription :

Chaque newsletter doit contenir un lien de désinscription clairement visible. Celui-ci doit permettre de se désinscrire sans obstacles ni étapes supplémentaires.

  • Une désinscription facile :

La désinscription ne doit pas être plus compliquée que l’inscription. L’indication des motifs de désinscription ne doit pas être obligatoire.

  • Efficacité immédiate de la désinscription :

Dès qu’un abonné clique sur le lien de désinscription, la désinscription doit prendre effet immédiatement et aucune autre newsletter ne doit être envoyée.

C’est bon à savoir : Tous les modèles CleverReach contiennent déjà un lien de désinscription dans le pied de page. Dans l’éditeur de formulaires, vous pouvez facilement créer un formulaire de désinscription conforme au RGPD.

5. Contenu de la newsletter

Le contenu de votre newsletter doit correspondre au consentement donné par les destinataires lors de l’inscription à la newsletter. N’utilisez les données qu’aux fins indiquées. Vérifiez régulièrement le contenu de vos campagnes de newsletter pour vous assurer qu’il est toujours conforme aux consentements des abonnés.

Conseil supplémentaire : mentions légales obligatoires

Il est vrai que les mentions légales ne font pas partie du RGPD, mais sont régies par la loi sur les services numériques (DDG). Néanmoins, il s’agit d’une exigence légale pour les expéditeurs de newsletters de fournir des mentions légales dans les publications numériques.

Votre newsletter doit donc toujours contenir des mentions légales complètes, incluant des informations telles que le nom de l’entreprise, l’adresse, les coordonnées et le numéro de TVA (le cas échéant).

C’est bon à savoir : Chez CleverReach, vous ne pouvez pas envoyer de newsletter sans mentions légales ; nous vous protégeons ainsi contre les conséquences juridiques. Chaque modèle de newsletter contient en outre déjà un espace réservé pour vos mentions légales gérées de manière centralisée.

La check-list : Envoyer une newsletter conforme au RGPD

Le respect des exigences du RGDP lors de l’envoi de newsletters est indispensable pour éviter des conséquences juridiques et pour renforcer la confiance de vos abonnés.

En choisissant un outil emailing conforme au RGPD comme CleverReach, en obtenant le consentement nécessaire (DOI) et en mettant en œuvre des politiques de protection des données transparentes, vous créez une base solide pour un email marketing réussi et juridiquement sûr.

CleverReach vous soutient dans cette démarche en vous proposant des fonctions et des aides complètes pour concevoir et envoyer vos newsletters conformément au RGPD.

Conseil : Vous utilisez WordPress comme système CMS pour votre site web ? Nous vous expliquons comment fonctionne le newsletter marketing conforme au RGPD pour WordPress.

Télécharger maintenant gratuitement la check-list RGDP

Pour ne rien oublier, nous avons créé une check-list claire pour des newsletters conformes au RGPD. Téléchargez-la gratuitement et cochez-la point par point !

A télécharger

Questions fréquentes sur la protection des données dans l’email marketing

Consultation RGDP avec Dr. Gerrit Mesch

L’avocat Dr. Gerrit Mesch répond aux questions fréquentes sur le thème du RGPD dans l’email marketing.

Remarque importante : “La consommation de ce texte général ne remplace pas le conseil juridique nécessaire dans un cas particulier. Vous agissez à cet égard à vos propres risques. En cas de doute, veuillez toujours demander conseil à un avocat pour votre cas concret”

Le RGDP s’applique-t-il également en dehors de l’UE ?

  • L’article 3 du RGDP s’applique à l’Union européenne.
  • L’UE n’a pas le pouvoir de réglementer la protection des données en Asie ou en Amérique du Nord, par exemple.
  • L’article 3 du RGPD contient un principe de lieu de marché : selon ce principe, le RGPD s’applique également aux entreprises de pays tiers si celles-ci proposent des biens ou des services aux citoyens de l’UE.

Puis-je utiliser des adresses email qui sont publiques ?

En principe, le consentement doit être donné pour le cas concret. Cela ne signifie pas que le consentement doit être réitéré pour chaque envoi de publicité. Toutefois, le consentement doit (également) se rapporter à l’envoi concret de publicité. Il n’y a pas de consentement pour le cas concret lorsqu’un club de football a publié son adresse email sur son site web (BGH, NJW 2008, 2999 – FC Troschenreuth). Le club attend tout au plus des demandes concernant le déroulement des matchs ou les activités du club, mais pas des demandes concernant des prestations étrangères au club.

L’envoi d’e-mails non sollicités est-il autorisé s’il est adressé exclusivement à des adresses e-mail impersonnelles telles que “info@…” ? Ou faut-il là aussi une autorisation préalable, par exemple par double opt-in ?

Non, aucun envoi n’est autorisé car il n’y a pas de consentement pour le cas concret. Un double opt-in est toujours nécessaire.

Les cartes de visite sont-elles automatiquement des consentements pour une prise de contact avec la newsletter ?

Ici aussi, la précision nécessaire d’un consentement explicite fait défaut lorsqu’une carte de visite est remise dans le cadre d’une manifestation (LG Baden-Baden, WRP 2012, 612 (613)). Il est toutefois envisageable de placer une boîte portant clairement l’inscription “Newsletter” dans laquelle la carte de visite est déposée. Dans ce cas, la traçabilité est moins bonne que dans le cas du double opt-in.

J’enquête auprès des destinataires lors de séminaires de communication. Ceux-ci donnent leur accord ou non par une case à cocher. Est-ce autorisé par le RGDP dans le cadre de l’email marketing ?

Il n’y a pas non plus de consentement si le participant à un séminaire a inscrit son adresse email dans la liste des participants (LG Gera, WRP 2012, 1468). Il n’a alors pas donné son consentement. L’affichage d’une liste de séminaires, d’autre part, avec l’invitation à s’inscrire si l’on souhaite recevoir la newsletter, est suffisamment concret s’il est clair par quelle entreprise la newsletter sera envoyée.

Puis-je également générer des inscriptions à la newsletter par une simple case à cocher dans le processus d’achat ou dois-je toujours utiliser un DOI ?

Cela serait suffisant comme consentement si le client clique activement sur la case et si elle n’est pas présélectionnée – c’est-à-dire opt-in et non opt-out (BGH, MMR 2008, 731 – Payback). Toutefois, il ne serait pas possible de prouver que c’est bien le propriétaire de l’adresse email qui a effectué la saisie, car des erreurs ou des abus ne peuvent être exclus (AG Berlin, MMR 2009, 144). Même une adresse IP enregistrée ne suffit pas à apporter une preuve. L’exploitant du site web n’a aucun moyen de déduire d’une adresse IP dynamique le titulaire concret d’un compte email. Les fournisseurs d’accès, qui pourraient tout de même déterminer le titulaire de la connexion (mais pas le titulaire du compte), ne sont ni obligés ni autorisés à fournir les données correspondantes.

Le “Confirmed-Opt-in” n’est pas non plus une preuve suffisante. Dans ce cas, un email de confirmation est certes envoyé, mais aucun lien de confirmation n’est intégré. Il s’agit simplement d’une indication explicite de la possibilité de se désinscrire. En l’absence de réaction, l’adresse email concernée est ajoutée à la liste de diffusion. Il n’est donc pas possible de prouver que c’est bien le titulaire du compte e-mail qui s’est inscrit à la newsletter.

J’ai collecté des destinataires il y a quelques années. Puis-je les contacter par email marketing en vertu du RGDP ? Y a-t-il un délai de prescription ?

BGH, jugement du 01.02.2018 – III ZR 196/17 : “Ni la directive 2002/58/CE ni l’article 7 de la loi allemande contre la concurrence déloyale (UWG) ne prévoient de limitation dans le temps d’un consentement une fois donné. Il en résulte que celui-ci – tout comme un consentement selon l’article 183 du Code civil allemand – ne s’éteint en principe pas par le seul écoulement du temps”. En conclusion, je considère que la publicité par e-mail est autorisée s’il n’y a pas de raison de douter du consentement initialement exprimé par le consommateur. Cette raison pourrait être le fait que le consentement remonte à plus d’un an et demi et qu’aucune publicité n’a été envoyée pendant cette période. C’est ce qu’a considéré le tribunal régional de Berlin avant l’introduction du RGDP (LG Berlin, jugement du 09.12.2011 – 15 O 343/11). Il n’est pas certain que ce soit encore le cas aujourd’hui. Il s’agit d’une décision isolée en première instance et non d’une jurisprudence constante de la dernière instance. Même si l’on voulait suivre cette décision, il n’y aurait pas d’écoulement du temps si la publicité a été envoyée régulièrement. Il est difficile d’affirmer que la règle selon laquelle le consentement expire au bout de deux ans n’existe pas dans l’ensemble du système juridique, dans la mesure où je ne peux pas examiner l’ensemble du système juridique. Les réglementations pertinentes du RGDP et de la loi sur la concurrence déloyale ne contiennent pas de telles dispositions légales.

Je n’ai pas de preuve de DOI pour le consentement. Les destinataires ne se sont toutefois pas désinscrits depuis des années – puis-je continuer à leur écrire ?

Non, il n’y a pas de consentement explicite.

Un client demande des informations sur un produit sur le site web. Puis-je lui envoyer un e-mail uniquement à ce sujet ou plusieurs fois sur ce produit ou des produits similaires ?

Il n’y a pas lieu de considérer qu’il y a harcèlement inacceptable dans le cas d’une publicité utilisant le courrier électronique lorsque

  1. un entrepreneur a obtenu du client son adresse de courrier électronique dans le cadre de la vente d’un produit ou d’un service,
  2. l’entrepreneur utilise l’adresse pour faire de la publicité directe pour ses propres biens ou services similaires,
  3. le client ne s’est pas opposé à cette utilisation et
  4. le client est clairement informé, lors de la collecte de l’adresse et de chaque utilisation, qu’il peut s’opposer à tout moment à cette utilisation, sans que cela n’entraîne d’autres frais que les frais de transmission selon les tarifs de base.

Seule la publicité pour ses propres biens ou services est couverte par l’exception. Cela exclut tout d’abord l’envoi d’emails publicitaires effectués en faveur d’autres entreprises. En particulier, les newsletters autonomes ne peuvent pas être envoyées en invoquant l’alinéa 3. La KG exige une “interchangeabilité” des produits ou que les produits répondent au même besoin ou servent au moins à un usage similaire. L’OLG de Jena exige un “même usage typique”.

Quel type de contenu puis-je envoyer sans opt-in à des “non-clients” ?

La réponse à cette question est également rapide. Vous ne pouvez pas envoyer de newsletter conforme à la protection des données s’il n’y a ni consentement ni commande.

La publicité non sollicitée par email doit être considérée comme un harcèlement inacceptable sans le consentement explicite préalable du destinataire, conformément à l’article 7, paragraphe 2, n° 3 de la loi sur la concurrence déloyale (solution dite opt-in) (BGH, arrêt du. 10.2.2011, Az. I ZR 164/09, MMR 2011, 662 et suiv. ; OLG Celle, Urt. 15.5.2014). Le législateur allemand renonce ici à faire une différence entre les consommateurs et les professionnels, au motif que la publicité par email a un caractère fortement importun, notamment dans les relations commerciales. (BT-Drucks. 15/1487, p. 21.)

Puis-je acheter des adresses, par exemple chez “qui-est-ce” ?

Un consentement est toujours nécessaire pour le cas concret. C’est pourquoi aucun achat n’est malheureusement possible.

Si je change de fournisseur d’email newsletter, ai-je besoin d’un nouveau DOI ?

Si vous avez déjà recueilli le consentement par une procédure de double opt-in auprès d’un autre prestataire de services de newsletter, vous n’avez pas besoin de recueillir à nouveau le consentement. Le consentement du destinataire porte sur la réception de vos emails et non sur le prestataire de services que vous utilisez pour les envoyer. Vous pouvez donc utiliser directement chez CleverReach les données qui ont été correctement collectées selon la procédure de double opt-in.

Vous n'êtes pas encore client CleverReach ? Changez maintenant !

Profitez de notre outil de newsletter conforme au RGPD et optimisez la communication avec votre clientèle.

Remarque : le contenu de cette page ne constitue pas un conseil juridique et ne peut pas non plus le remplacer dans des cas particuliers. Nous ne garantissons pas l’exactitude, l’exhaustivité ou l’actualité des informations fournies.

Bulletin d'information CleverReach
Conseils et astuces pour un marketing par e-mail réussi !
Article suivant
7 contes de fées sur l'opt-in de la newsletter auxquels il vaut mieux ne pas croire