E-commerce - Nouveau Règlement Général pour la Protection des Données : menace de sévères sanctions par le Droit de l’UE - 26 octobre 2017

Nouveau Règlement Général pour la Protection des Données : menace de sévères sanctions par le Droit de l’UE

Invité Auteur

Voilà ce qui va changer en France avec le nouveau Règlement Général pour la Protection des Données.

Cologne, le 14-09-2017. À partir de l’année prochaine et plus exactement du 25 mai 2018, les expéditeurs de mails risquent des sanctions pouvant s’élever à plusieurs millions d’euros en cas de violation du nouveau Règlement européen sur la Protection des Données (RGPD). Il n’y a encore aucune raison de paniquer, mais dans les prochains mois, toutes les entreprises devront le connaître et en appliquer les nouvelles règles. En France, les expéditeurs d’e-mails commerciaux doivent prêter attention aux nombreuses conditions nécessaires pour obtenir l’autorisation du destinataire à être prospecté. D’autres changements concernent l’obligation de preuve et le droit d’opposition…

Votre histoire d'amour avec le SEO commence ici

Le Règlement Général pour la Protection des Données (RGPD) est déjà entré en vigueur le 25 mai 2016, et après une période transitoire de deux ans, il deviendra définitivement obligatoire à partir du 25 mai 2018. Comme il s’agit d’un règlement européen, il sera applicable immédiatement dans tous les états membres de l’Union, sans devoir être transposé préalablement dans le droit national. Les dispositions nationales en vigueur jusque-là seront régulées conformément au RGPD, comme le souligne la CSA (CertifiedSenders Alliance), un projet conjoint de l’association allemande du commerce électronique ecoe.V. (Verband der Internetwirtschaft) et de l’association allemande du marketing de dialogue (Deutscher Dialogmarketing Verband). Les critères d’inclusion de la CSA respectent déjà les normes du RGPD. Les entreprises qui respectent ces critères et qui sont certifiées par la CSA réduisent le risque d’être sanctionnées.

Le Règlement Général pour la Protection des Données renforce en premier lieu les droits du destinataire. Il inclut le droit d’accès complet aux données, l’obligation d’information, le droit à la rectification des données, à leur effacement, à la limitation de l’utilisation des données ainsi que le droit à la portabilité des données et le droit de recours. La violation de ces droits peut coûter très cher aux entreprises.

Cela concerne aussi le marketing par courriel et l’utilisation commerciale des données personnelles. Le montant élevé des sanctions (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé (le montant le plus élevé étant retenu) indique clairement qu’il est absolument nécessaire de bien connaître la nouvelle situation juridique avant l’entrée en vigueur du RGPD et par conséquent d’adapter sa stratégie marketing par courriel.

Thomas Fontvielle, Secrétaire Général de Signal Spam souligne l’importance de l’application du nouveau Règlement :

« Le règlement général européen pour la protection des données personnelles aura deux mérites fondamentaux à nos yeux : éclairer et préciser des dispositions légales déjà existantes, mais peu concrètes quant à leur mise en application ; et établir un niveau de sanction véritablement prohibitif pour quiconque se placerait en infraction avec le règlement.

La pratique du double opt-in comme seule véritable garantie à la preuve de la collecte d’un consentement volontaire et informé pourrait marquer une étape décisive vers un marché de l’e-mail plus respectueux si le règlement e-privacy venait à compléter en ce sens le RGPD.»

Les expéditeurs de mails commerciaux doivent surtout faire attention aux normes suivantes pour éviter une sanction élevée :

Il est obligatoire d’obtenir le consentement du destinataire. Cette obligation est déjà en vigueur en France (Art. L35-5 du Code des postes et des communications électroniques) mais aucune norme précise sur le consentement n’est formulée. La directive de la Commission Nationale de l’Informatique et des Libertés, la CNIL, fait la distinction entre le marketing B2B et celui B2C. Pour le marketing B2C, il y a l’obligation de consentement, à quelques exceptions près, tandis qu’en matière de B2B, le marketing électronique est autorisé, à condition que le client ait été informé que ses données personnelles sont utilisées pour le marketing électronique et qu’il est toujours capable de s’opposer à l’utilisation de ses données personnelles.

Selon le RGPD, le consentement du destinataire devra être volontaire, actif, explicite et avoir lieu séparément pour chaque cas concret non seulement pour le B2C, mais aussi pour le B2B. Une case pré-cochée par défaut dans un formulaire en ligne n’est pas considérée comme valable pour le consentement. En plus, avant de donner son autorisation, le destinataire doit être informé de façon détaillée dans une langue claire et simple sur l’utilisation de ses données. Pour l’optimisation d’une documentation/charge de la preuve des comptes, le consentement doit être fait par écrit, bien que cela ne soit pas absolument nécessaire. L’expéditeur de mails groupés doit prouver qu’il a la déclaration de consentement du destinataire (obligation de responsabilité). Par conséquent, la déclaration doit être faite par écrit ou bien par procédure Double-Opt-In. Cette procédure qui permet au destinataire, après avoir donné son autorisation de recevoir un mail de confirmation où à travers un clic sur un lien il déclare à nouveau son autorisation, n’est pas appliquée à grande échelle puisqu’il n’y a pas d’obligation.

Cette procédure sera obligatoire au plus tard avec l’entrée en vigueur du RGPD et de l’obligation de preuve. Avec le RGPD, une limite d’âge claire est fixée pour le recueil du consentement : 16 ans. Les nombreuses conditions pour le consentement rendent la procédure d’inscription difficile et dans le cas de beaucoup de sponsors presque impossible.

Pour les expéditeurs d’e-mails professionnels, l’interdiction de corrélation est très importante elle aussi puisqu’une autorisation du destinataire n’est pas considérée volontaire si l’accomplissement d’un contrat dépend du consentement préalable. Si votre client doit donc, avant l’envoi d’une commande caser la coche spécifiant son consentement à la réception de mails commerciaux, cette autorisation n’est pas valable.

La déclaration de consentement doit toujours être révocable sans effort excessif. En France, il existe déjà un droit de révocation, mais aucune condition précise n’y est formulée. Avec le RGPD, cela va changer et selon l’article 7, paragraphe 3, la révocation devra avoir lieu de façon aussi simple que la collecte du consentement.

Dans le cas de violation du RGPD, des sanctions très élevées jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel ainsi que des frais d’avertissement et la demande d’indemnisation, seront appliquées.

Dans le cas de transfert de données transnationales, les entreprises ne doivent rendre compte qu’à une autorité de contrôle, habituellement celle de leur siège principal.

Les entreprises en dehors de l’Europe doivent, elles aussi, respecter le RGPD s’ils offrent des services dans l’Union Européenne.

En bref, les expéditeurs de mails groupés en France doivent dorénavant respecter les conditions du RGPD sinon cela pourra leur coûter cher.

Une certification CSA (CertifiedSenders Alliance) aide les expéditeurs à respecter les conditions juridiques et les informe vite en cas de violation du droit en vigueur. Les expéditeurs de mail de masse se protègent ainsi contre des sanctions très chères grâce au respect des standards CSA et sont en conformité avec le droit européen. En outre, la CSA a regroupé dans la « Directive eco pour le marketing par courriel autorisé », les conditions juridiques pour un marketing par courriel. Pour en savoir plus sur les conditions, rendez-vous sur https://certified-senders.eu/wp-content/uploads/2016/09/Marketing-Richtlinie.pdf

Le nouveau Règlement Général pour la Protection des Données, ainsi que ses conséquences, fera partie des thèmes traités lors du sommet de la CSA qui se tiendra du 18 au 20 avril 2018 à Francfort.

Pour en savoir plus sur le sommet, rendez-vous sur https://summit.certified-senders.eu

En cas d’intérêt, envoyez s’il vous plaît un mail à maike.marx@eco.de

À propos de CertifiedSenders Alliance

CertifiedSenders Alliance (CSA) est un projet né en 2004 à l’initiative d’eco, association allemande de l’économie numérique et de DDV, association allemande du marketing du dialogue. La coopération de ces deux associations garantit tant le soutien du secteur de l’économie numérique que des démarcheurs. L’objectif de la CSA, une organisation neutre, est d’améliorer la qualité de l’e-mail en tant que support. La CSA s’est donc donnée pour mission d’établir des normes de qualité techniques et juridiques et de les actualiser continuellement en fonction des exigences du marché, ainsi que de faire appliquer ces normes dans le cadre d’une certification.

Enregistrer