0607276998

RGPD : impact de la nouvelle règlementation pour les emailing B2B

par | Inbound Marketing

L’emailing marketing B2B est-il menacé par les mesures du RGPD? Nécessité du double opt-in ou l’opt-out reste-t-il la règle pour les emailing B2B?

Le 25 mai prochain entre en vigueur le nouveau Règlement Général sur la Protection des Données (RGPD) – General Data Protection Regulation (GDPR) en anglais. Visant à renforcer les droits des personnes, la nouvelle réglementation met à la charge des organismes de collecte et de traitement de données personnelles des obligations contraignantes : le texte européen fait couler beaucoup d’encre, dans un contexte d’inquiétude et d’incertitude quant à ses modalités d’application. Alors à qui s’appliquent les mesures du RGPD ? Quel impact sur l’emailing B2B ? L’état des lieux en 5 questions.

 

GDPR : quels sont les principaux changements de la nouvelle réglementation sur la protection des données personnelles ?

Fruit de 4 années de travail, le RGPD – ou GDPR – modifie en profondeur la réglementation applicable en matière de collecte et de traitement des données personnelles. Son objectif est double : harmoniser la législation à l’échelle européenne d’une part, renforcer les droits des personnes en imposant de nouvelles obligations – dont le non-respect expose à un risque de sanctions lourdes.

GDPR : qui est concerné ?

Le champ d’application s’annonce large et étendu, non seulement dans la mesure où le RGPD concerne les organismes et les sociétés sans distinction de leur caractère privé ou public, mais surtout parce qu’il vise à protéger tout résident de l’Union Européenne :

  1. Sont soumis au respect du règlement général sur la protection des données les entreprises mais également tout sous-traitant en charge de l’exploitation d’un traitement, dès lors qu’il a son établissement sur le territoire de l’UE.
  1. Tout organisme qui collecte et traite les données personnelles de résidents européens – par profilage ou dans le cadre d’une mise à disposition de biens ou services – doit appliquer les nouvelles mesures du RGPD, quelle que soit sa nationalité ou son pays d’établissement.

A noter : contrairement aux directives européennes dont l’application est soumise à transposition nationale, le RGPD, en tant que règlement européen, est d’application immédiate dans l’ensemble des Etats membres. Concrètement, la société qui collecte et exploite des données personnelles – notamment dans le cadre de ses actions d’emailing marketing – doit se conformer au nouveau règlement général sur la protection des données à compter du 25 mai 2018, dès lors que sont concernés des résidents européens. Vous collectez et utilisez des adresses email professionnelles en vue d’une campagne d’emailing B2B diffusée dans un pays de l’UE ? La GDPR s’impose à vous. Mais qu’implique-t-il en pratique ?

Privacy by Design, DPO et droits des personnes : zoom sur les principaux apports de la GDPR.

Le GDPR agit sur tous les fronts : il durcit le régime de collecte et de traitement des données personnelles applicables aux sociétés, tout en accordant aux personnes concernées des droits plus étendus.

  1. Privacy by Design et accountability : certains s’en réjouissent, l’ancien formalisme de déclaration des traitements – à la CNIL, pour la France – est allégé au profit du principe de « privacy by design ». Les organismes qui collectent et traitent des données personnelles – ainsi que leurs sous-traitants – devront mettre en place ab initio les mesures de sécurité conformes aux préconisations : au moment de la conception de leur système d’exploitation, ils devront veiller à l’efficacité des dispositifs de protection associés. Et pour rendre effective cette mesure, le principe d’accountability met à la charge des exploitants de données personnelles la preuve de la conformité de leurs systèmes.
  1. Etablissement et tenue à jour d’un registre des traitements : l’entreprise qui dispose de données personnelles devra en consigner l’état dans un registre spécifique, mis à jour. Ce registre sera disponible à tout moment pour consultation par l’autorité de protection compétente.
  1. Notification des fuites de données : l’entreprise ainsi que son sous-traitant aura l’obligation de prévenir l’autorité nationale en cas de faille avérée dans son système de sécurité.
  1. Réalisation d’études d’impact : le traitement à risque fera l’objet d’une étude d’impact sur la vie privée, sous le contrôle éventuel de l’autorité compétente.
  1. Délégué à la Protection des Données – en anglais Data Protection Officer : les organismes privés et publics qui manipulent des données considérées comme « sensibles » devront s’adjoindre le concours d’un DPO en vue de leur protection.
  1. Droits des personnes : le RGPD accorde 2 nouvelles prérogatives aux personnes. Le droit à l’effacement, variante du droit à l’oubli, et le droit à la portabilité. Ce dernier imposera à la société de communiquer, sur simple demande de la personne concernée, l’ensemble des données personnelles collectées sous un format lisible par machine.

Ces nouvelles mesures du RGPD devraient concerner un grand nombre de sociétés : quelle entreprise n’a pas recours à la collecte et au traitement de données personnelles de nos jours, notamment dans le cadre de campagnes d’emailing marketing ? Mais au sein de cette reglementation européenne, c’est surtout la notion de consentement – qui renvoie aux notions d’opt-in et d’opt-out – qui intéresse et interroge.

 

 

GDPR et notion de consentement : le point sur la question.

Le nouveau règlement général sur la protection des données place au cœur des débats la notion de consentement de la personne visée par la collecte et le traitement des données. Dans un premier temps, le RGPD précise les contours de l’obligation d’information à la charge de l’organisme exploitant les données personnelles : le responsable du traitement doit fournir une information « compréhensible et aisément accessible » concernant les modalités et la finalité de la collecte des données. D’autant plus compréhensible que lorsque la collecte concerne des mineurs de moins de 16 ans, les termes de l’information doivent être mentionnés de manière à ce qu’un enfant puisse en comprendre les enjeux… Dans un second temps, la GDPR se focalise sur les modalités du consentement : il doit s’agir d’un « acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ». Concrètement, le consentement pourrait être donné par déclaration écrite ou orale, ou au moyen d’une case à cocher, à charge pour la société qui exploite les données, en tout état de cause, de prouver le caractère licite du consentement. Le texte du règlement européen ajoute que l’inactivité ou le silence de la personne, ou la case cochée par défaut par le responsable du traitement ne sont pas constitutif d’un consentement tel que défini par la GDPR. Ces dispositions semblent mettre à mal les recommandations actuelles de la CNIL en matière d’emailing B2B : quid de la pratique de l’opt out dans le cadre d’une campagne marketing ? D’autant plus que les sanctions applicables au non-respect du RGPD s’annoncent drastiques…

Non-respect des mesures de la GDPR : attention aux sanctions !

Des amendes jusqu’à 20 millions d’euros ou 4 % du CA, le pouvoir de sanction de la CNIL est (très) largement étendu. De quoi inciter les entreprises au respect du règlement général sur la protection des données. Encore faudrait-il en cerner les subtilités…

 

Emailing B2B vs emailing B2C : 2 régimes distincts pour vos emailing marketing?

La question se pose inéluctablement : en tant que professionnel s’adressant à des professionnels, comment articuler sereinement les dispositions du RGPD avec les préconisations actuelles de la CNIL en matière d’emailing marketing ?

Emailing marketing B2B et opt-out : les recommandations actuelles de la CNIL

Les directives de la CNIL sont claires :

  1. Le professionnel dont les données sont collectées bénéficie du régime d’information préalable.
  1. Le responsable du traitement dans le cadre d’une campagne d’emailing B2B n’a pas l’obligation de recueillir le consentement du professionnel. Il doit en revanche permettre au professionnel de s’opposer à l’exploitation de ses données.
  1. Ces dispositions dérogatoires au principe d’opt-in ne sont applicables que lorsque l’objet de l’emailing marketing est en rapport avec la profession du destinataire.
  1. Les adresses email génériques considérées comme des données de personnes morales échappent aux règles du consentement et du droit d’opposition.

En filigrane, la CNIL instaure une distinction entre le régime de l’emailing B2B – basé sur l’opt-out – et de l’emailing B2C – fondé sur l’optin. Mais le régime dérogatoire favorable à la mise en place d’un emailing B2B peu contraignant survivra-t-il au RGPD ?

RGPD : vers un régime uniformisé de l’emailing B2B et B2C ?

La CNIL, actuellement, distingue emailing B2B et B2C :

  • L’emailing marketing B2C fonctionne en mode opt-in : le consommateur doit avoir donné son accord préalable à la collecte de son adresse email aux fins de prospection commerciale.
  • L’emailing B2B fonctionne en mode opt-out : le professionnel peut recevoir des emails à visée prospective sans même avoir donné son consentement. Il peut en revanche s’opposer à l’utilisation ultérieure de ses données personnelles.

Sans s’embarrasser de cette distinction, la GDPR encadre plus strictement les modalités du consentement. Cette mesure s’appliquera inéluctablement aux relations B2C. Mais qu’en est-il de l’emailing marketing en B2B quand la CNIL ne soumet pas sa mise en œuvre au consentement préalable du professionnel.

Une interprétation controversée du RGPD pour les emailing marketing en B2B

Les interprétations du RGPD sont contradictoires, et l’enjeu est central pour les professionnels au fait de l’importance des emailing B2B dans le cadre d’une stratégie gagnante de marketing automation.

Certains prétendent que la nouvelle reglementation, et en particulier la pratique de l’opt-in s’appliquera sans distinction de personnesD’autres affirment que la GDPR ne traite pas du marketing B2B, et qu’en ce sens aucune des recommandations précédemment listées de la CNIL ne sera remise en cause. L’autorité ne manquera pas de mettre à jour ses recommandations en matière d’emailing marketing, le cas échéant et en temps voulu.

RGPD : l’arbre qui cache la forêt ?

Quelle que soit l’interprétation du texte européen retenue, fort à parier que d’autres directives suivront. En jeu notamment : le projet de modification de la directive ePrivacy, portant en particulier sur la mise en œuvre de la pratique de l’opt-in. Les sociétés qui misent sur l’emailing B2B pour communiquer facilement avec leurs prospects restent alertes.

 

Comment savoir si mon système d’exploitation des données est conforme au nouveau RGPD ?

Opt-in ou opt-out, les professionnels doivent se mettre en conformité avec le RGPD B2B avant le 25 mai 2018. Cela concerne outre les traitements mis en œuvre à compter de cette date, l’ensemble des traitements déjà collectés.

Vérifier mon fichier d’emailing marketing B2B

Pour prévenir tout risque de sanction pour non-respect de la GDPR B2B, le professionnel qui collecte et utilise des données personnelles telles que des emails doit :

  • S’assurer qu’en aucun cas, il pratique l’opt-in passif (case précochée).
  • Vérifier que l’ensemble des personnes contactées sont informées des fins d’utilisation de leurs données et en mesure de s’opposer à l’utilisation ultérieure de leur email.
  • Prévoir des mesures de sécurité propres à protéger les données personnelles collectées et être en mesure de les produire sur demande de la CNIL.
  • Créer et tenir à jour un registre des traitements.
  • S’assurer que les prestataires sous-traitants – Mail Chimp, Sending Blue ou Datananas, par exemple – se conforment également à l’ensemble des règles du RGPD.

Reste à savoir si seules les listes « opt-in » pourront continuer à être utilisées ou si « opt-out » restera applicable en B2B…

Opter pour une stratégie d’inbound marketing : une alternative 100 % sécurisée.

Quand le spam est en ligne de mire, à l’heure où l’Europe se mobilise pour protéger l’exploitation des données personnelles des individus, et dans un contexte d’attente de l’entrée en vigueur – et de la levée des interrogations la concernant – d’une règlementation GDPR contraignante, comment bien atteindre son cœur de cible ?

L’inbound marketing se présente comme la solution la mieux adaptée à notre ère, dans un contexte de légifération croissante dans le sens de la protection des données et de la vie privée des personnes. Au-delà d’une base de données client constituée sans obstacle juridique, l’inbound marketing est le moyen le plus sûr d’obtenir une liste de prospects non seulement étoffée, mais aussi et surtout qualifiée.

 

Livre blanc Inbound Marketing

 

Télécharger le livre blanc inbound marketing