On trouve énormément d’articles et de recommandations sur le RGPD et ses impacts sur l’emailing. L’enjeu est évidemment important, car il faut déployer des efforts pour être, le plus possible, en conformité avec le nouveau règlement d’ici le 26 mai.
La tâche est conséquente notamment pour ceux qui n’était pas en règle avec le précèdent règlement sur la protection des données personnelles et ils sont nombreux.

Dans ce contexte je vous propose mon analyse sur des points importants souvent évoqués dans différents articles sur le RGPD . Parmi les thèmes qui retiennent le plus mon attention il y a notamment :

  • Le RGPD sera-t’il suffisamment clair et précis fin mai 2018 ?
  • Le consentement est-il obligatoire pour l’email marketing en BtoB et en BtoC ,
  • Doit on re-optiniser ses bases de données email ?
  • Le double optin est-il la solution ultime pour la preuve du consentement
  • Que penser de la menace des sanctions ?
  • Quels acteurs vont être le plus touchés par le RGPD ?
  • Que va-t-il se passer le 26 mai 2018 (prédictions) ?

Le RGPD sera-t’il suffisamment clair et précis fin mai 2018 ?

Une fois le règlement RGPD voté (très laborieusement voir mon article à ce sujet), le G29 qui rassemble les CNIL européennes, se réunit régulièrement pour notamment établir des « guidelines » (en anglais) permettant d’éclaircir l’interprétation du RGPD (qui n’est pas toujours clair).
Les versions provisoires guidelines sont publiées petit à petit sur le site de la CNIL. Une fois publiées, des objections sont effectuées sur ces guidelines (notamment par les organisations professionnelles, …). Celles-ci sont remontées au G29 pour être ensuite discutées, synthétisées, amendées et enfin la version finale des guidelines est publiée. Actuellement il manque notamment les guidelines définitives sur le consentement et la forme des preuves à obtenir sur celui-ci

Sans ces « guidelines définitives » il peut être hasardeux de se lancer dans l’interprétation de points sensibles du RGPD . Mieux vaut attendre que les CNIL européennes fassent leur travail. Il est probable que toutes les « guidelines » soient publiées définitivement d’ici le 26 mai.

Il est aussi probable que certains paragraphes des guidelines seront sujets à interprétation. Je pense que cela prendra 1 à 2 ans avant que tout soit clair et stabilisé, mais certaines parties sont d’ores et déjà bien précisées.

Le consentement est-il obligatoire pour l’emailing de prospection BtoB et BtoC ?

Beaucoup d’articles soulignent qu’avec le RGPD, l’adresse professionnelle de type bruno.florence@nullflorenceconsultant.com devient une donnée personnelle. Ce l’était déjà bien avant le RGPD et donc ce n’est pas en soi une nouveauté.

En parallèle de la directive sur les données personnelles (le RGPD), une autre directive (E-privacy) précise le mode de traitement de la prospection électronique et notamment sur l’email, le SMS, le téléphone…
Ces deux directives cohabitent et il faut se référer à E-Privacy 2002  pour comprendre le règlement qui s’applique au consentement sur l’emaling (et les autres canaux numériques).

EprivacyLa directive Eprivacy de 2002 (transposée en LCEN en France) précise les 2 conditions d’exceptions au recueil du consentement notamment pour l’email :

  • l’une pour proposer des produits et services analogues à ses clients (clairement indiquée dans le texte en BtoB et BtoC),
  • l’autre sur le BtoB (les adresses de type nom.prénom@nullsociete.com sont directement concernées par cette dérogation), sous réserve que l’objet de la sollicitation soit en rapport avec la profession de la personne démarchée.

Le nouveau règlement Eprivacy n’étant pas encore voté, l’ancienne directive Eprivacy 2002 est toujours en vigueur.

En synthèse on reste sur le même régime du consentement qu’en 2002 sur les canaux numériques, ce qui peut paraître étonnant (les autres pays vont aussi garder leurs interprétations d’Eprivacy)  mais c’est ainsi.

La CNIL a plusieurs fois confirmée en différents évènements récents ces exceptions, la page de la CNIL sur « la prospection commerciale par courrier électronique » du 25 novembre 2016 existe toujours et reprend des éléments.
Le SNCD a confirmé cette analyse et 2 articles d’avocat sur le RGPD confirment cette position:

Remarque importante.
Cela ne veut pas dire pourtant que le recueil du consentement systématique en emailing n’est pas une bonne pratique pour votre délivrabilité (et il est recommandé par la Cnil) , mais elle n’est pas obligatoire et imposée par le RGPD.

Doit on re-optiniser ses bases de données email ?

Pour les cas où le consentement n’est pas nécessaire (Cf paragraphe précédent), bien sur, il n’y pas a redemander le consentement.

Si le consentement est nécessaire (optin partenaire) et qu’il a été recueilli avant la mise en œuvre du RGPD, et que le mode de collecte a été conforme aux modalités de recueil du consentement décrit par le RGPD, il n’y a pas de besoin de lancer un email d’optin.

Dans le contexte où les guidelines définitives sur le recueil du consentement n’ont pas été publiées, (notamment pour le recueil de l’optin partenaire), il est hasardeux de lancer une « réoptinisation » maintenant. Il est préférable d’attendre.

Le double optin est-il la solution ultime pour la preuve du consentement ?

Le double-optin permet d’avoir une preuve assez détaillée du consentement.Toutefois les guidelines sur les exigences du consentement ne sont pas encore parues et on ne sait pas le type de preuve demandé. Le double optin ou le simple optin y répondra t’il ? Personne ne peut l’affirmer actuellement.

Ma position est plutôt d’attendre les guidelines sur ce sujet, avant de se précipiter et de faire du double-optin systématique.

Toutefois il est toujours intéressant de mesure l’impact du double optin sur son activité. La population « plus engagée » avec le double optin, va-t-elle générer plus de gains par email envoyé, sera-t-elle plus fidèle sur le long terme, le taux de désabonnement sera-t’il plus faible, y aura t’il une meilleure délivrabilité  ?

Je vous conseille de lire mon article sur le sujet « Optout, Optin, Double Optin : quel choix légal et marketing en fidélisation BtoC ? ».

Le terrorisme de la sanction financière de 4 % du CA ou 20 millions d’Euros

Je lis régulièrement la menace suivante  : « Si vous ne suivez pas nos conseils et que vos emails BtoB ne sont pas optin, vous ne serez pas prêt pour le 26 mai vous risquez une sanction financière de 4 %  du CA ou de 20 millions d’€ …. ‘’!
L’argument terrorisant de la sanction est très souvent repris dans de nombreux articles et fait office d’épouvantail.  Il peut faire clairement bouger les mentalités en entreprise quand celles-ci sont figées sur d’anciennes postures inadéquates.

Mais il est souvent utilisé de façon fallacieuse comme argument commercial. Je me méfie des structures qui emploient ce type de ressort commercial qui ne présage rien de bon pour la suite de la prestation. Il faut l’employer à bon escient notamment quand on l’associe au consentement obligatoire.

Très clairement la présidente de la CNIL a déclaré lors d’une interview au journal des Echos du 18 février 2018
 »Le 26 mai ne sera pas une date couperet annonciateur d’une pluie de sanctions ». La CNIL annonce aussi être souple lors des contrôles si tout n’est pas mis en place pour la conformité du RGPD, mais que le travail est lancé.
Par contre si des manquements sont constatés par rapport à des pratiques déjà demandées avant le RGPD (type durée de conservation des données, échanges de fichier de données personnelles sans protection/ cryptage …), la CNIL sera plus sévère.

Pour ceux qui connaissent le déroulement des contrôles CNIL, celui-ci est progressif et si des manquements/infractions sont à apporter à la gestion des données personnelles, une mise en demeure est d’abord effectuée par la CNIL avec un délai de mise en conformité. Si vous n’en tenez pas compte alors la sanction peut tomber.

Quels acteurs vont être le plus touchés par le RGPD ?

Quand on côtoie les professionnels du marketing direct qui commercialisent des bases de données, l’obligation de transparence est parfois ressentie comme gênante. Elle oblige à préciser systématiquement la source de collecte de l’adresse routée. Cette obligation était déjà présente avant le RGPD mais pas toujours respectée dans l’emailing. L’arrivée du RGPD avec ‘la terreur de l’amende » semble faire accélérer la nécessité de respecter la loi.
Cela gêne notamment les éditeurs de base de données (site de presse, ecommerçants, …) qui monétisent leurs emails auprès de différents acteurs sans être trop cités. Certains préfèrent arrêter cette monétisation craignant une réaction forte des abonnés découvrant que leur adresse est « monétisée ».

L’autre secteur qui me semble souffrir est celui du caritatif et du ‘Fund Raising’. Habitué à avoir une exception par aux lois sur la protection de données personnelles, ils se trouvent fort dépourvus par l’abandon de cette exception avec le RGPD. Ils devront se soumettre aux mêmes conditions que les autres entreprises. La prise de conscience semble tardive, et les efforts à fournir importants dans un secteur déjà pénalisé par l’abandon de l’impôt sur la fortune et des mesures de défiscalisation associées qui n’existent plus.

Que se passera-t’il le 26 mai ?

Il est quasi certain que le 26 mai, les médias vont relayer la mise en place du RGPD auprès du public. Sans rentrer dans détail, ceux-ci vont certainement diffuser des informations pertinentes, mais certaines seront tronquées ou erronées.
Pour le canal email, cela va certainement renforcer le sentiment de l’internaute de donner obligatoirement son consentement pour recevoir des emailing.
Ors ce ne sera pas le cas (sur l’aspect légal) étant donné les exceptions nombreuses au consentement.

Le sentiment de ne pas s’être abonné aux emails reçu risque d’être amplifié  Il est possible que cela augmente les volumes de plaintes auprès des expéditeurs, les taux de plaintes chez les FAI/Webmails et dégrade la délivrabilité …

Au final, c’est plutôt la délivrabilité qui va contraindre la mise en place chez les annonceurs de meilleures pratiques de recueil d’adresses, de ciblage et de personnalisation que le # RGPD.

Pour vous mettre à jour sur ces sujets, je vous conseille notre formation : « La législation de l’emailing et des bases de données : applications avec le RGPD » qui se déroulera le 26 juin à Paris.