RGPD : la confirmation légale de consentement, une erreur à éviter

Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai dernier, vous avez probablement reçu des dizaines de courriels vous demandant de consentir (ou de reconsentir) au traitement de vos données personnelles. Il se peut que vous vous demandiez si vous devriez faire pareil pour votre entreprise.

La réponse est surtout pas ! et voici pourquoi :

Premièrement, le RGPD ne vous concerne que si votre entreprise est active sur le marché européen.

Si votre entreprise ne transige pas avec les consommateurs européens, vous n’avez pas à vous préoccuper du RGPD. Il est beaucoup plus important de vous assurer d’être conforme à la Loi canadienne anti-pourriel (LCAP ou Loi C-28) qui est presque aussi sévère que le RGPD mais vise surtout les compagnies canadiennes.

Si toutefois, vous êtes actif en Europe, que vous y soyez physiquement présent ou non, la conformité au RGPD vous concerne, mais ce n’est pas une raison pour bombarder vos contacts avec des demandes de confirmation de consentement. En effet, il s’agit d’une démarche nuisible et souvent inutile car il existe d’autres moyens de vous mettre en règle.

Des résultats contre-productifs

Selon une perspective marketing, la confirmation de consentement est probablement la pire base juridique à employer pour justifier le traitement, l’usage et le stockage de données personnelles.

En effet, les compagnies ayant opté pour des campagnes de confirmation de consentements ont pu constater le danger de celles-ci. Par exemple, plusieurs de leurs contacts en ont justement profité pour retirer leur consentement par frustration suite à l’avalanche de messages semblables reçus. Voilà une façon simple et rapide de détruire sa base de données marketing!

La même chose s’était d’ailleurs produite en 2014 lors de l’entrée en vigueur la Loi C-28. Des milliers de messages ont été reçus par des consommateurs leur demandant s’ils acceptaient de continuer à recevoir les messages des entreprises. Ces messages étaient tout d’abord inutiles, car une disposition provisoire donnait à l’expéditeur un droit implicite d’envoyer des messages jusqu’en juillet 2017. Mais surtout, ils ont nui à la réputation de plusieurs entreprises et ont eu le résultat opposé, soit de perdre le consentement de la grande majorité de leurs contacts marketing amenant certaines PME à la faillite.

Une demande de consentement probablement pas nécessaire

Tout d’abord, un consentement explicite au moyen d’un formulaire conforme à une instruction du Parlement européen sur la protection de la vie privée (Directive 95/46/CE) est aussi valide pour le RGPD.  Si vos formulaires respectent la Loi Canadienne anti-pourriel, alors vos consentements respectent le RGPD. Il est donc inutile de perdre votre temps et celui de vos clients à leur demander un nouveau consentement.

Par ailleurs, le RGPD prévoit cinq autres bases juridiques pour justifier la collecte et le traitement de données personnelles. Ces cinq bases juridiques sont : la nécessité contractuelle, le respect d’une obligation légale, la sauvegarde des intérêts de la personne concernée ou d’autre autre personne physique, l’intérêt public et finalement, les intérêts légitimes (article 6 du RGPD).

 

L’« intérêt légitime » comme allié

Dans un optique marketing, l’« intérêt légitime » est définitivement l’option la plus intéressante et la plus simple à utiliser. Le paragraphe 6 (1) f) du RGPD le définit comme un traitement « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »1

Cela signifie que votre intérêt à développer votre entreprise justifie que vous collectiez et utilisiez les informations personnelles pertinentes de vos contacts pour vos campagnes de marketing par courriel en autant que cela n’affecte par les droits de vos contacts. Par exemple, si vous utilisez le nom et l’adresse courriel qu’une personne vous a fourni pour lui envoyer de l’information promotionnelle intéressante tout en lui donnant la possibilité d’arrêter vos envois, vous êtes dans cette situation. En revanche, cela ne justifierait pas de collecter et traiter des informations personnelles non pertinentes comme son numéro d’assurance sociale ou son orientation sexuelle.

Pensez stratégiquement

Ce n’est pas parce que les fournisseurs de plateformes d’envoi comme MailChimp ou Cyberimpact vous proposent un modèle de courriel de demande de consentement qu’il est pertinent de l’utiliser. Malheureusement, ces entreprises ont souvent une connaissance limitée de ces réglementations et de leurs exigences de conformité. Mieux vaut vous mettre dans la peau du consommateur ordinaire qui a reçu 23 courriels de ce type cette semaine et qui attend de votre part des courriels clairement plus intéressants.

Si vous avez peur qu’une partie de vos consentements ne soit pas conformes et que vous deviez aller chercher une confirmation, allez-y par étape pour réduire les impacts sur votre base de données.

Commencez par séparer tous vos contacts européens des autres contacts de votre base de données et regroupez-les en fonction des différentes bases légales qui leur correspondent éventuellement. Si certains contacts n’entrent dans aucune des six bases légales et que vous ne les avez pas obtenus par un formulaire conforme, vous devez envoyer un message de confirmation de consentement uniquement à ces contacts en vous assurant de le faire sur un ton qui correspond au style de relation que vous développez avec vos clients.  Un ton trop « légal » aura pour effet d’ennuyer vos clients ou au pire de leur faire peur.

Bref, le RGPD ne doit pas vous pousser à faire des erreurs en mode panique mais est un enjeu qui vous devez prendre au sérieux si vous faîtes affaires avec les européens. C’est aussi l’occasion de structurer et enrichir vos bases de données et votre stratégie de marketing numérique en renforçant la confiance de vos clients.

Comme pour la LCAP, il ne suffit pas d’avoir un consentement pour être conforme au RGPD. Il faut respecter l’ensemble des autres exigences réglementaires, ce que seul un programme de conformité formel peut vous assurer.

Si vous souhaitez vous mettre en règle avec le RGPD pour renforcer la confiance de vos clients européens ou éviter amendes et poursuites légales, contactez dès aujourd’hui l’un de nos conseillers. L’équipe de Certimail offre des programmes de conformité au RGPD adaptés aux contraintes des PME québécoises qui peuvent même être combinés à une démarche de conformité à la LCAP vous permettant ainsi de sauver temps et argent.

RGPD & LCAP : Quand utiliser l’« intérêt légitime » ou le « consentement » comme base légale

Si vous êtes un spécialiste canadien du marketing et que vous envoyez des courriels vers l’Union européenne (U.E.), le RGPD vous impose de justifier pourquoi vous collectez et stockez les données à caractère personnel de chacun de vos contacts. Par données à caractère personnel, j’entends l’information personnelle de vos contacts (prénom, nom, adresse courriel, etc.) et comment vous l’utilisez (marketing, transactionel).

Les bases légales

Comme le RGPD régit la sécurité et la protection des données à caractère personnel, un individu ou une organisation doit faire référence à l’une des six bases légales afin de justifier la collecte des données effectuée auprès de leurs clients, dirigeants, partenaires, membres, contacts marketing, etc.

Selon un point de vue strictement marketing, deux bases légales seront probablement régulièrement citées dans les dossiers d’une entreprise : l’« intérêt légitime » et le «consentement».

  • L’« intérêt légitime » peut être utilisé comme base légale pour des activités marketing si vous pouvez prouver que la façon dont vous utilisez les données personnelles du contact est proportionnelle, qu’elle a un impact minime sur la vie privée et que le contact en question ne serait pas surpris ou ne s’opposerait pas à l’utilisation.
  • Le « consentement » comme base légale est approprié si vous pouvez offrir aux gens un choix réel et un contrôle sur comment vous utilisez leurs informations et si vous souhaitez gagner leur confiance et leur loyauté.

Quelle base légale choisir pour son marketing courriel

Lorsque l’on sait que :

  • Sous la LCAP, laquelle régit les messages électroniques commerciaux, un statut de consentement doit être attribué et documenté de manière appropriée pour chaque contact pour que vous ayez le droit de leur envoyer des messages électroniques commerciaux. Le consentement peut être « express » ou « implicite ».
  • Sous le RGPD, lequel régit la sécurité et la protection des données personnelles, une base légale doit être attribuée et documentée de manière appropriée pour chaque contact, pour que vous ayez le droit de stocker et d’utiliser les informations d’un contact.

Ainsi, en tant que spécialiste canadien du marketing (envoyant des courriels marketing vers l’Union européenne), vous devez tenir compte et vous pliez aux règles du RGPD – ET DE LA – LCAP, ce qui ajoute une certaine complexité.

Malgré cette complexité, il y a des solutions légitimes, rapides et faciles à utiliser :

Pour le marketing courriel B2C

Le « consentement » comme base légale est une des façons, et la plus simple d’ailleurs pour les spécialistes du marketing numérique, de prouver sa légalité et sa conformité au RGPD.

Toutefois, pour utiliser le consentement comme base légale vous devrez remplir certaines exigences strictes. En effet, vous devrez obtenir un consentement explicite de tous vos abonnés pour aller de l’avant avec les envois de courriels.  La même règle est applicable aux personnes qui remplissent des formulaires sur votre site web indiquant qu’ils souhaitent recevoir vos communications. Il est à noter que la notion de consentement implicite d’existe pas dans le RGPD.

Si vous souhaitez utiliser le consentement comme base légale :

  • Le consentement doit être spécifique à des fins particulières
  • Le silence, des boîtes pré-cochées ou l’inactivité ne peuvent constituer un consentement; les individus doivent explicitement pouvoir « opt-in » au stockage, à l’usage et à la gestion de leur données personnelles. Une procédure prévoyant un double « opt-in » est définitivement la meilleure façon de faire.
  • Des consentements séparés doivent être obtenus pour différentes activités de traitement des données. Ceci implique que vous devez être clairs lorsque vous indiquez comment les donnés seront utilisées lorsque vous obtenez un consentement. Le message accompagnant le « opt-in » doit énoncer toutes les utilisations possibles des données à caractère personnel que vous recueillez et comment vous protégez lesdites données. (ex. : spécifiez que vous prenez la protection des données à caractère personnel au sérieux en incluant un lien vers votre politique de vie privée et indiquez qu’une personne peut accéder, rectifier ou supprimer toute information personnelle et ce, à tout moment.)
  • Le consentement doit être vérifiable et sa gestion demande un registre écrit (ou électronique) de quand et comment une personne vous a permis de traiter ses données personnelles.

Ce processus vous permet non seulement d’être conforme au RGPD, mais vous donne aussi un consentement explicite en vertu de la LCAP.

Pour le marketing courriel B2B

Particulièrement pour ceux dans le domaine de la vente, beaucoup de nos contacts peuvent être classés et enregistrés sous un « consentement implicite » en vertu de la LCAP et sous l’« intérêt légitime » en vertu du RGPD.

Toutefois, pour documenter l’évaluation des intérêts légitimes (Legitimate Interests Assessment) pour chaque contact, vous devezv:

Whoa, ça fait beaucoup de choses à considérer et à documenter! Mais attendez… peu importe que vous fassiez du marketing B2C ou B2B, ou les deux, l’entrée en vigueur du RGPD est une bonne opportunité et occasion de convertir vos consentements implicites en consentements express et de classifier vos contacts européens sous la base légale du « consentement ».

Avertissement :

Évidemment, la taille de l’organisation et le type de messages doivent être pris en considération. Assurez-vous de vous adapter selon la structure de votre organisation, ses opérations et sa situation.

Appliquer à la fois la LCAP et le RGPD de façon responsable et prendre les actions appropriées pour être conforme n’est pas une tâche facile. Il faut, en effet, tenir compte et respecter de nombreux éléments, ce qui peut être difficile, long et frustrant lorsque nous sommes mal renseignés sur l’une ou l’autre des lois. De plus, des erreurs en cette matière peuvent mener à des amendes salées pour les dirigeants et entreprises.

Si vous avez besoin d’aide ou avez des questions, vous pouvez laisser un commentaire ou nous contacter à tout moment.

RGPD et envois de courriels: Qu’ont besoin de savoir les PME

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain dans l’Union Européenne. Même si certains détails concernant l’application de la loi reste à circonscrire, les entreprises assujetties devront, à ce moment, être en mesure de prouver qu’elles sont conformes à cette dernière.

Qui est assujetti au RGPD ?

Pour ceux parmi nous en Amérique du Nord qui faisons affaire avec des pays européens, nous sommes assujettis au RGPD étant donnée la collaboration internationale entre autorités étatiques. Toutefois, le RGDP s’applique particulièrement à :

  • Toute organisation qui collecte, change, transmet, supprime ou de toute autre façon utilise ou stocke les données personnelles de citoyens européens (une donnée personnelle est toute donnée qui utilisée seule ou avec d’autres données pourrait permettre d’identifier une personne).
  • Toute personne ou organisation qui, seule ou avec d’autres, détermine les usages et fins du traitement des données personnelles, aussi connu sous le nom de «contrôleur», est responsable en vertu du RGDP
  • Toute organisation envoyant des courriels à des sujets dans l’Union Européenne est assujetti au RGPD, peu importe le pays d’où émane lesdits courriels.

Quelles sont les deux principales différences entre la LCAP et le RGDP ?

1. Message électronique commercial vs. Protection des données personnelles

La différence majeure entre la LCAP et le RGDP est que la première régit les messages électroniques commerciaux (MEC) alors que le deuxième régit la sécurité et protection entourant les données personnelles.

2. Programme de conformité vs. Bases légales

Au Canada, un programme de conformité à la LCAP qui satisfait au huit exigences du CRTC est le seul moyen de défense que peut présenter une entreprise. Pour être conforme au RGDP, une organisation peut faire référence à une des six bases légales, en autant qu’elle puisse prouver et démontrer qu’elle a respecté tous les détails et entrepris toutes les actions nécessaires pour être conforme à la base légale choisie.

À propos du consentement

Certaines bases légales ne sont pas applicables à toutes les entreprises ou spécialistes du marketing, mais si vous envoyez des courriels, vous serez certainement intéressés à en savoir plus la base légale du consentement.

Il est important de noter qu’une compagnie doit être capable de justifier pourquoi elle collecte de l’information sur un individu ou une organisation, à quelles fins elle l’utilise et comment elle la protège.

Pour les spécialistes du marketing numérique, le consentement est une des façons les plus simples de prouver qu’ils sont en règles et conformes en vertu du RGPD. Toutefois, pour utiliser le consentement comme base légale vous devrez remplir certaines exigences strictes. En effet, vous devrez obtenir un consentement explicite de tous vos abonnés pour aller de l’avant avec les envois de courriels.  La même règle est applicable aux personnes qui remplissent des formulaires sur votre site web indiquant qu’ils souhaitent recevoir vos communications.

Important : contrairement à la LCAP, le RGPD ne reconnait pas les consentements implicites ni les exceptions B2B. Seul le consentement explicite compte. Il est à noter que :

  • Le consentement doit être spécifique à des fins particulières
  • Le silence, des boîtes pré-cochés ou l’inactivité ne peuvent constitués un consentement; les individus doivent explicitement pouvoir « opt-in » au stockage, à l’usage et à la gestion de leur données personnelles. Une procédure prévoyant un double « opt-in » est définitivement la meilleure façon de faire.
  • Des consentements séparés doivent être obtenus pour différentes activités de traitement des données. Ceci implique que vous devez être clairs lorsque vous indiquez comment les donnés seront utilisées lorsque vous obtenez un consentement. Le message accompagnant le « opt-in » doit énoncer toutes les utilisations possibles des données personnelles que vous recueillez et comment vous protégez lesdites données. (ex.: spécifier que vous prenez la protection des données personnelles au sérieux en incluant un lien vers votre politique de vie privée et indiquer qu’une personne peur accéder, rectifier ou supprimer toutes informations personnelles et ce, à tout moment.)
  • Le consentement doit être vérifiable et sa gestion demande un registre écrit (ou électronique) de quand et comment une personne vous a permis de traiter ses données personnelles.

Accéder, rectifier ou supprimer

De plus, en vertu du RGPD, votre collecte de données personnelles par l’entreprise de formulaires web (ex : prénom, nom de famille, courriel) doit permettre aux individus touchés de pouvoir, en tout temps, accéder, rectifier et supprimer leurs donnés. Ainsi, nous vous suggérons d’inclure dans votre politique de vie privée une clause indiquant comment ce faire (ex.: en envoyant une demande par courriel à l’adresse vieprivé[email protected]).

Tenue de dossiers et base de données centralisée

Adopter de bonnes pratiques concernant la tenue de dossiers ne sert pas seulement à présenter une défense de diligence raisonnable en cas de plaintes contre votre entreprise, mais vous aide aussi à (i) identifier des enjeux de non-conformité potentiels, (ii) examiner et répondre aux plaintes des consommateurs, (iii) répondre aux questions concernant les pratiques et procédures de l’entreprise, (iv) superviser votre programme corporatif de conformité (v) et déceler la nécessité d’entreprendre des actions de renforcement de la conformité et à démontrer que celles-ci ont été implantées.

En outre, une base de données centralisée administrant la gestion des contacts, le traitement des données de même que leur documentation n’est pas seulement utile afin remplir les exigences du RGPD en ce qui concerne la protection des données et le consentement,  mais aussi en vue de faciliter la relation avec les consommateurs et la mise en marche efficace des opérations.

 

Quelle est la meilleure solution en tant qu’individu ou organisation envoyant des courriels à des fins de marketing ou d’affaires ?

Un programme de conformité à la LCAP est considéré comme le plus haut standard de protection afin de vous mettre à l’abri de lourdes amendes en provenance des autorités chargées de l’application de la Loi. Rappelez vous : la LCAP s’applique autant aux courriels individuels qu’aux courriels groupés, sans égard au fait que ceux-ci véhiculent du contenu promotionnel ou non.

L’implantation d’un programme de conformité remplissant toutes les exigences du CRTC est non seulement requise par la Loi au Canada, mais est aussi un bon moyen de se protéger en ce qui à trait aux enjeux soulevés dans le RGPD.