Newsletter et RGPD, des règles à respecter

rgpd et newsletters sysguard

La newsletter est un moyen marketing efficace pour communiquer, fidéliser et attirer de nouveaux clients. Toutefois, faire adhérer un grand nombre d’internautes n’est pas si simple que cela. En effet, le règlement général sur la protection des données (RGPD) impose des règles afin de protéger la vie des personnes et leurs données à caractère personnel.

Cela signifie que l’émetteur de newsletters se doit de respecter des règles sur la collecte de mails par le biais de son site internet. Sur ce point, il est une règle infaillible : le consentement de l’internaute.

De plus, dans les newsletters transmise, l’éditeur se doit de donner au récepteur, les droits de révoquer son consentement et de supprimer toutes données à caractère personnel le concernant.

Obtenir le consentement du futur abonné

La notion de consentement dans le RGPD

Dans son article 7, le RGPD définit le consentement comme « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des DCP la concernant fassent l’objet d’un traitement ».

Cela signifie, d’un point de vue juridique, que tout consentement s’obtient de la part du futur adhérent de votre newsletter de manière :

  • Libre : il ne doit être ni contraint ni influencé.
  • Spécifique : le consentement doit correspondre à un seul traitement pour une finalité déterminée. En d’autres termes, vous ne pouvez pas demander le consentement pour l’envoi d’une newsletter et une demande de contact par un commercial. Chaque finalité équivaut à un traitement.
  • Éclairé : certaines informations doivent être distinctement affichées pour que la personnes donne son consentement. Précisément l’annonceur doit indiquer sur quoi la personne s’engage.
  • Univoque Le consentement est sans ambiguïté par une déclaration ou un acte positif clair.
  • Révocable : Un consentement peut être retiré à tout moment. Il entraîne alors l’arrêt des traitements et/ou l’effacement des données.

En cas de litige,vous devrez prouver que le caractère légal de l’obtention du consentement devant le juge compétent.

La formalisation du consentement

Comment cela se manifeste d’un point de vue technique ?

Par exemple, dans un formulaire, il faut prévoir deux cases à cocher plutôt que de proposer seulement « inscrivez-vous à la newsletter pour recevoir votre devis gratuit »

De plus, que ce soit sur un formulaire papier ou web, aucune case ne doit être pré-cochée ou être formulée avec une négation (ex : « je ne veux pas m’abonner »). 

Si l’obtention des consentements des utilisateurs n’est pas prouvable ; recontactez chaque abonné pour obtenir un consentement en bon et due forme. Pour se faire, vous envoyez un email à chaque abonnée avec un lien vers un formulaire respectant bien entendu le RGPD. Dans le corps du mail vous expliquez le bien fondé de votre démarche. Dans la pratique, les personnes acceptent cette démarche. Mieux vaut perdre des abonnés et être en conformité que l’inverse.

Le rappel des mentions obligatoires et l’option de désinscription

Lorsque vous envoyez à vos abonnés, vos newsletters, vous devez penser que ces derniers ont des droits, notamment ceux d’accéder aux données collectées. Ils ont également le droit de demander à faire les modifications nécessaire ou supprimer les données concernées.

Ainsi, en fin de newsletter, vous pouvez faire un rappel de l’exercice des droits en rappelant au préalable pourquoi ils reçoivent cette newsletter et qu’ils peuvent se désinscrire à tout moment en cliquant soit un lien qui supprimera les informations collectées ou qui dirigera vers un e-mail.

A mentionner dans votre registre de traitement

De plus, dans votre registre de traitement, vous aurez un traitement intitulé newsletter. Dans ce traitement, vous devrez rappeler :

  • Sa finalité;
  • Sa base juridique;
  • Sa durée;
  • Les catégories de données traitées;
  • Les conditions de collecte ou indirecte des données;
  • Si les données collectées sont obligatoires ou facultatives;
  • Ses destinataires;
  • Le cas échéant, les transferts hors Union européenne (UE) avec les modalités de protection adéquate de vos données.

Également, vous devez rappeler les droits dans votre politique de confidentialité de votre site internet.

Pour conclure,

Nous recommandons de bien respecter ces principes. En cas de contrôle, ce sont des détails qui sauteront aux yeux de la CNIL. Vous serez alors susceptible de recevoir une mise en demeure de se mettre en conformité ou de subir un contrôle plus complet. Ledit contrôle peut ensuite aboutir à une procédure susceptible de se terminer par une amende. Le montant de celle-ci peut aller jusqu’à 20 000 € en cas de procédure simplifiée. De plus, une astreinte pouvant aller à 100.00 €/jour est prononçable. Dans le cadre d’une procédure normale, la sanction peut être lourde (jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires mondial).

Alors autant se mettre en conformité. Également faites le point régulièrement sur la gestion des données que vous gérez. Enfin, vérifiez si vos sous-traitants amenés à collecter des données pour votre compte respectent le RGPD

Contactez-nous pour votre mise en conformité ou pour une prestation de délégué à la protection des données externes. 

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 2 juillet 2024