RGPD : la confirmation légale de consentement, une erreur à éviter
Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai dernier, vous avez probablement reçu des dizaines de courriels vous demandant de consentir (ou de reconsentir) au traitement de vos données personnelles. Il se peut que vous vous demandiez si vous devriez faire pareil pour votre entreprise.
La réponse est surtout pas ! et voici pourquoi :
Premièrement, le RGPD ne vous concerne que si votre entreprise est active sur le marché européen.
Si votre entreprise ne transige pas avec les consommateurs européens, vous n’avez pas à vous préoccuper du RGPD. Il est beaucoup plus important de vous assurer d’être conforme à la Loi canadienne anti-pourriel (LCAP ou Loi C-28) qui est presque aussi sévère que le RGPD mais vise surtout les compagnies canadiennes.
Si toutefois, vous êtes actif en Europe, que vous y soyez physiquement présent ou non, la conformité au RGPD vous concerne, mais ce n’est pas une raison pour bombarder vos contacts avec des demandes de confirmation de consentement. En effet, il s’agit d’une démarche nuisible et souvent inutile car il existe d’autres moyens de vous mettre en règle.
Des résultats contre-productifs
Selon une perspective marketing, la confirmation de consentement est probablement la pire base juridique à employer pour justifier le traitement, l’usage et le stockage de données personnelles.
En effet, les compagnies ayant opté pour des campagnes de confirmation de consentements ont pu constater le danger de celles-ci. Par exemple, plusieurs de leurs contacts en ont justement profité pour retirer leur consentement par frustration suite à l’avalanche de messages semblables reçus. Voilà une façon simple et rapide de détruire sa base de données marketing!
La même chose s’était d’ailleurs produite en 2014 lors de l’entrée en vigueur la Loi C-28. Des milliers de messages ont été reçus par des consommateurs leur demandant s’ils acceptaient de continuer à recevoir les messages des entreprises. Ces messages étaient tout d’abord inutiles, car une disposition provisoire donnait à l’expéditeur un droit implicite d’envoyer des messages jusqu’en juillet 2017. Mais surtout, ils ont nui à la réputation de plusieurs entreprises et ont eu le résultat opposé, soit de perdre le consentement de la grande majorité de leurs contacts marketing amenant certaines PME à la faillite.
Une demande de consentement probablement pas nécessaire
Tout d’abord, un consentement explicite au moyen d’un formulaire conforme à une instruction du Parlement européen sur la protection de la vie privée (Directive 95/46/CE) est aussi valide pour le RGPD. Si vos formulaires respectent la Loi Canadienne anti-pourriel, alors vos consentements respectent le RGPD. Il est donc inutile de perdre votre temps et celui de vos clients à leur demander un nouveau consentement.
Par ailleurs, le RGPD prévoit cinq autres bases juridiques pour justifier la collecte et le traitement de données personnelles. Ces cinq bases juridiques sont : la nécessité contractuelle, le respect d’une obligation légale, la sauvegarde des intérêts de la personne concernée ou d’autre autre personne physique, l’intérêt public et finalement, les intérêts légitimes (article 6 du RGPD).
L’« intérêt légitime » comme allié
Dans un optique marketing, l’« intérêt légitime » est définitivement l’option la plus intéressante et la plus simple à utiliser. Le paragraphe 6 (1) f) du RGPD le définit comme un traitement « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »1
Cela signifie que votre intérêt à développer votre entreprise justifie que vous collectiez et utilisiez les informations personnelles pertinentes de vos contacts pour vos campagnes de marketing par courriel en autant que cela n’affecte par les droits de vos contacts. Par exemple, si vous utilisez le nom et l’adresse courriel qu’une personne vous a fourni pour lui envoyer de l’information promotionnelle intéressante tout en lui donnant la possibilité d’arrêter vos envois, vous êtes dans cette situation. En revanche, cela ne justifierait pas de collecter et traiter des informations personnelles non pertinentes comme son numéro d’assurance sociale ou son orientation sexuelle.
Pensez stratégiquement
Ce n’est pas parce que les fournisseurs de plateformes d’envoi comme MailChimp ou Cyberimpact vous proposent un modèle de courriel de demande de consentement qu’il est pertinent de l’utiliser. Malheureusement, ces entreprises ont souvent une connaissance limitée de ces réglementations et de leurs exigences de conformité. Mieux vaut vous mettre dans la peau du consommateur ordinaire qui a reçu 23 courriels de ce type cette semaine et qui attend de votre part des courriels clairement plus intéressants.
Si vous avez peur qu’une partie de vos consentements ne soit pas conformes et que vous deviez aller chercher une confirmation, allez-y par étape pour réduire les impacts sur votre base de données.
Commencez par séparer tous vos contacts européens des autres contacts de votre base de données et regroupez-les en fonction des différentes bases légales qui leur correspondent éventuellement. Si certains contacts n’entrent dans aucune des six bases légales et que vous ne les avez pas obtenus par un formulaire conforme, vous devez envoyer un message de confirmation de consentement uniquement à ces contacts en vous assurant de le faire sur un ton qui correspond au style de relation que vous développez avec vos clients. Un ton trop « légal » aura pour effet d’ennuyer vos clients ou au pire de leur faire peur.
Bref, le RGPD ne doit pas vous pousser à faire des erreurs en mode panique mais est un enjeu qui vous devez prendre au sérieux si vous faîtes affaires avec les européens. C’est aussi l’occasion de structurer et enrichir vos bases de données et votre stratégie de marketing numérique en renforçant la confiance de vos clients.
Comme pour la LCAP, il ne suffit pas d’avoir un consentement pour être conforme au RGPD. Il faut respecter l’ensemble des autres exigences réglementaires, ce que seul un programme de conformité formel peut vous assurer.
Si vous souhaitez vous mettre en règle avec le RGPD pour renforcer la confiance de vos clients européens ou éviter amendes et poursuites légales, contactez dès aujourd’hui l’un de nos conseillers. L’équipe de Certimail offre des programmes de conformité au RGPD adaptés aux contraintes des PME québécoises qui peuvent même être combinés à une démarche de conformité à la LCAP vous permettant ainsi de sauver temps et argent.