GDPR et Email Marketing : ce qui va changer le 25 mai 2018
Le compte à rebours est lancé ! À partir du 25 mai 2018, toutes les entreprises traitant les données personnelles de citoyens européens devront respecter le nouveau règlement européen sur la protection des données : le GDPR. Les sociétés recourant à l’emailing dans le cadre de leurs stratégies marketing sont particulièrement concernées par le GDPR qui renforce la vie privée des usagers.
Quel impact le GDPR aura-t-il sur des fonctionnalités comme la segmentation et la personnalisation, points forts de toute stratégie d’email marketing qui se respecte ? Certaines pratiques d’emailing vont-elles disparaître, alors que la collecte des données et leur utilisation font maintenant l’objet de dispositions renforcées ? Découvrez ce qui va changer dans moins d’un an pour les professionnels de l’email marketing.
Quel rapport entre le GDPR et l’Email Marketing ?
L’email marketing repose sur la collecte et le traitement des données de vos clients et prospects. Une importante partie de ces données a un caractère personnel, puisqu’il s’agit le plus souvent du nom et de l’email de l’usager, mais aussi d’informations qui peuvent aller de l’âge aux centres d’intérêt, en passant par des données aussi précises que le comportement de navigation ou d’achat.
Ces données personnelles permettent de segmenter et cibler différemment les utilisateurs, notamment en personnalisant les emails qui leur sont envoyés, aussi bien sur le plan du contenu que sur celui du design ou du timing de l’envoi.
Le GDPR, ou règlement général de l’Union européenne sur la protection des données, vient fixer les règles de la collecte et du traitement de ces données à caractère personnel, afin de renforcer les droits et la vie privée des individus.
Pour l’email marketing, ce sont de nombreuses « règles du jeu » qui vont changer, avec notamment des droits d’accès, de rectification et d’oubli renforcés. Les marketeurs et les sociétés en général sont concernés à plusieurs niveaux : le GDPR définit précisément de quelle manière ils peuvent obtenir, utiliser et stocker les données personnelles.
Le consentement et la collecte de données personnelles
Le GDPR exige des marketeurs d’obtenir le consentement explicite des usagers avant de leur envoyer des messages commerciaux. Cette disposition concerne aussi bien le domaine du B2C que celui du B2B : l’email professionnel d’une personne physique est considéré comme une donnée personnelle (par exemple : john@compagnie.com, à la différence de info@compagnie.com qui ne nécessite pas de consentement).
Un consentement libre et clair : La demande de consentement doit être formulée d’une façon claire et accessible, et expliquer quel sera l’usage des données personnelles collectées. Les pratiques d’opt-out sont donc exclues (elles l’étaient déjà en France pour les personnes physiques et adresses non professionnelles), de même que l’opt-in passif (la fameuse case de consentement précochée, également désapprouvée par la CNIL). Seul l’opt-in actif est permis. La demande de consentement doit être séparée de l’approbation des conditions générales.
Un consentement granulaire et nominatif : Si les données personnelles sont utilisées à plusieurs fins, l’entreprise doit demander un consentement séparé pour chaque usage. Le but : donner à l’usager une maîtrise maximale sur la façon dont ses données sont utilisées. En outre, on devra préciser l’identité de la société qui utilise les données et celles de toutes les tierces parties avec lesquelles les données seront partagées.
Un consentement documenté : L’expéditeur doit être en mesure de prouver qu’il a obtenu le consentement des clients et prospects auxquels il envoie ses emails commerciaux. Il en ira de même pour les listes de prospects : vous devez être en mesure de fournir les preuves que le consentement des utilisateurs a été obtenu par la compagnie à laquelle vous avez acheté la liste.
Une protection des enfants accrue : Le consentement des parents est nécessaire pour traiter les données personnelles de mineurs de moins de 16 ans pour les services en ligne. Les pays membres de l’Union européenne pourront définir un âge inférieur, mais celui-ci ne saurait être inférieur à 13 ans.
Les données recueillies avant l’entrée en vigueur du GDPR pourront toujours être utilisées si vous avez obtenu le consentement explicite des utilisateurs et pouvez le prouver.
En outre, l’utilisateur doit pouvoir retirer son consentement aussi facilement et rapidement qu’il l’a donné (notamment en se désabonnant à votre newsletter, etc.)
Le stockage et la sécurité des données personnelles
Le GDPR vise également à renforcer le stockage sécurisé des données personnelles et le droit des citoyens de demander l’effacement de leurs données. Les principales mesures susceptibles de changer vos habitudes de stockage des données personnelles sont les suivantes :
- Vous devez stocker les preuves que vous avez obtenu le consentement des usagers d’utiliser leur mail et pouvoir les remettre sur demande ;
- Le « droit d’accès »: vos clients et prospects peuvent vous demander si leurs données personnelles sont utilisées, de quelle manière et à quelle fin. S’ils en font la demande, vous devez leur fournir gratuitement une copie de leurs données personnelles, dans un format électronique et lisible ;
- Le « droit à l’oubli »: les usagers ont le droit de demander l’effacement permanent de n’importe quelle donnée personnelle. Dans ce cas, vous devez retirer les données de votre système, sans laisser la moindre trace de l’information ;
- Le « droit de portabilité »: les données peuvent être récupérées par l’usager, qui a le droit de les transmettre librement à des tiers ;
- La « protection dès la conception »: le GDPR renforce ce concept, en exigeant la mise en place de mesures techniques et organisationnelles de protection des données dès la conception des produits et systèmes ;
- En cas de faille de sécurité, « susceptible de porter atteinte aux droits et libertés des individus » dont vous avez collecté les données, vous devez la signaler à l’autorité de protection dans les 72 heures à compter de sa découverte. La nature de la faille, le nombre de personnes concernées et les « conséquences probables » doivent être indiqués dans la notification. En cas de risque élevé pour leur vie privée, vous devez également en informer vos utilisateurs dans des délais raisonnables ;
- Le GDPR encourage les sociétés à collecter et stocker uniquement les données absolument nécessaires au regard des finalités pour lesquelles elles sont traitées. Le responsable du traitement des données personnelles doit également en restreindre l’accès uniquement aux personnes qui en ont besoin pour ledit traitement.
Profilage et personnalisation
Les progrès du Big Data et de son utilisation soulèvent la question de l’utilisation des données personnelles pour suivre et prédire les préférences des consommateurs et permettre la personnalisation des services proposés.
Le GDPR restreint les pratiques de profilage et permet aux usagers de s’opposer à la prise de décisions à leur sujet basées sur le profilage. Ces restrictions concernent uniquement le profilage automatisé, défini comme le traitement automatisé de données personnelles à des fins d’évaluation de certains aspects personnels liés à une personne physique. Le GDPR cite notamment « la performance de la personne physique au travail, sa situation économique, sa santé, ses préférences personnelles, ses centres d’intérêt, sa fiabilité, son comportement, son emplacement et ses mouvements ».
Le GDPR donne aux citoyens européens le droit de s’opposer au profilage (notamment pour analyser leur comportement d’achat et prédire un comportement futur).
Les marketeurs sont tenus de préciser lors de la demande de consentement que les données seront utilisées à des fins d’analyse automatique pour pouvoir les utiliser afin de personnaliser l’expérience client.
Alors que l’hyperpersonnalisation est aujourd’hui la norme chez de plus en plus de marketeurs, il devient nécessaire de bien expliquer au client/prospect son intérêt dans la démarche de profilage. Un client conscient que le profilage permet une personnalisation de son parcours sera plus enclin à accepter une pratique qui au premier abord peut être effrayante.
Les nouvelles mesures du règlement européen semblent contraignantes au premier abord. Mais, maintes dispositions du GDPR peuvent être bénéfiques pour votre entreprise. Des règles plus strictes sont en effet susceptibles d’améliorer vos taux de rebond et la délivrabilité de vos emails, ainsi que votre réputation. Avec un consentement respectueux des régulations, vos emails ont moins de risque d’être interprétés comme des spams et les clients vous accorderont une plus grande confiance.