Interview | E-mail marketing & législation française : « La fin ne justifie pas tous les moyens »
Collecte de contacts, consentement, mentions légales, droits d’accès et d’opposition, sécurisation des données… La législation en matière d’e-mail marketing peut faire tourner plus d’une fois la tête. Fabienne Granovsky, vice-présidente du SNCD en charge de la déontologie et présidente de FGConseil.fr, expert marketing et données personnelles, répond à nos questions et fait la lumière sur ce sujet qui trouble plus d’un professionnel.
Fabienne Granovsky, vice-présidente du SNCD et présidente de FGConseil.fr fait le point sur l’e-mail marketing et la législation française
Quelles sont les grandes lignes de la législation en matière d’e-mail marketing ?
Le sujet est vaste mais voici un rappel des principaux éléments qu’aucun professionnel en charge d’opérations e-mail marketing ne doit aujourd’hui méconnaitre :
- Pas de traitement de données personnelles sans formalité préalable auprès de la CNIL. Dans la plupart des cas, il s’agit de la norme simplifiée 48 modifiée dont la déclaration se fait en 3 clics sur le site de la CNIL. Rappelons qu’il y a urgence pour de nombreux professionnels à mettre à jour toute déclaration simplifiée 48S réalisée avant juillet 2012, et ce, avant juillet 2013 pour se conformer à la norme modifiée.
- L’obligation de transparence et de respect des droits de la personne. Cela comprend le droit d’accès aux données collectées et de modification, de suppression, d’opposition et bientôt, le droit à l’oubli. Attention à ne pas confondre droit de suppression et d’opposition. Une entreprise peut avoir l’obligation légale de conserver les données clients pendant un certain temps après l’acte d’achat et ne peut donc pas les supprimer. Par contre, le client peut toujours s’opposer aux sollicitations par e-mail.
- Pas de collecte ni de traitement sans informations préalables complètes de la personne concernée. Il faut indiquer dès le formulaire de contact les coordonnées du responsable du traitement, la finalité de la collecte, le caractère obligatoire ou facultatif des réponses, les conséquences d’un défaut de réponse, les destinataires des données et éventuels transferts, les droits des personnes et leurs modalités d’exercice (accès, rectification, opposition…) mais aussi le recueil explicite et libre du(des) consentement(s) du contact pour recevoir des communications commerciales.
- La présence de certaines mentions légales dans les messages e-mails est une obligation. Elles rappellent notamment le droit des personnes et les modalités d’exercice de ces droits ainsi que les coordonnées de l’émetteur. Ces éléments peuvent être insérés dans le pied-de-page du message. Lors du clic sur le lien de désabonnement, il est pertinent d’afficher une page de confirmation de prise en compte de la demande.
- La sécurité des données personnelles doit être assurée avec un système de cryptage des données et/ou d’accès au poste de travail via mot de passe mis à jour 1 fois par mois par le destinataire des données lui-même. Les fichiers non sécurisés transmis par e-mail, l’accès aux données par l’ensemble du personnel de l’entreprise, le mot de passe écrit sur un post-it ou le login jamais mis à jour sont des situations qui se rencontrent tous les jours et témoignent d’un manque de respect pour les données de la personne. Ces comportements représentent un risque important pour le responsable de traitement.
- Le transfert de fichiers hors Union Européenne nécessite une autorisation spécifique de la CNIL.
Lors de notre dernière enquête « Pratiques & Tendances de l’e-mail marketing », environ 15% des professionnels interrogés avancent manquer de connaissances juridiques appliquées à l’e-mail marketing. Cela vous étonne-t-il ? Que conseillez-vous pour y remédier ?
Je ne suis pas surprise car les défaillances sont en effet nombreuses. En effet toute entreprise détient pas nature des données à caractère personnel, or elles sont nombreuses à ne pas avoir réalisé de déclaration auprès de la CNIL. Mais si nombre de sociétés n’ont pas connaissance de leurs obligations, la plupart ont bien conscience de ne pas être aux normes.
En pratique, on se rend vite compte que la plupart des problématiques rencontrées rejoignent l’un de ces deux points :
- La transparence et le respect du droit des personnes, qui comprend l’information sur la finalité de la collecte, l’accès aux données avec possibilité de modification, le droit d’opposition ou encore la rubrique « Mentions légales » sur le site.
- La sécurité des données personnelles (le stockage, les méthodes d’échange…).
Les professionnels qui souhaitent avancer sur ces sujets ont plusieurs possibilités pour s’informer et se mettre en conformité :
- consulter le site de la CNIL, très riche en informations pratiques,
- se référer aux codes de déontologie professionnels existants, comme ceux du SNCD, de la FEVAD ou de l’UFMD qui sont complets et sont de véritables guides à suivre,
- s’adresser directement à ces organisations professionnelles pour leur adresser les questions,
- faire appel à un CIL, un Correspondant Informatique et Libertés, qui va prendre en charge tous ces aspects. Le CIL se charge de la création du registre qui regroupe les formalités de l’entreprise respectant les obligations légales, des modalités de désinscription, des informations préalables à fournir ou encore des réponses à fournir. Il peut être choisi en interne, parmi les salariés de l’entreprise, ou externe (avec l’avantage d’avoir les compétences métier nécessaires). Le budget pour un CIL est tout à fait raisonnable et peut varier entre 1500 et 5000€ l’année.
Existent-ils de réels risques pour les entreprises qui ne sont pas en conformité ? La CNIL a-t-elle un vrai rôle dans tout cela ou est-elle une simple force de recommandations ?
Oui, tout à fait. Il faut veiller aux sanctions financières et pénales que la CNIL peut infliger. Celle-ci étant la transposition pratique de la loi Informatique & Libertés, elle a un réel pouvoir qui s’est d’ailleurs fortement renforcé depuis décembre 2011 – tout comme sa crédibilité – lorsqu’un arrêté du Conseil d’Etat lui a attribué la qualité de tribunal. En 3 ans, la CNIL a presque multiplié par 2 ses contrôles avec un objectif supérieur à 400 par an. Il est donc essentiel de respecter les dispositions de la loi. Ne l’oublions pas, les données à caractère personnel appartiennent aux individus concernés et non à l’entreprise. La fin ne justifie pas tous les moyens !
En pratique, le déclenchement d’un contrôle par la CNIL peut se faire principalement de 2 manières :
- le nombre de plaintes émises à l’encontre d’une même entreprise est élevé (la CNIL reçoit environ 6000 plaintes par an qu’elle traite réellement)
- l’entreprise gère des données sensibles dans le cadre de son activité (bancaires ou d’assurance, raciales, philosophique, politique, sexuelles…). La CNIL est alors vigilante par défaut et agit en amont pour éviter les dérapages.
Un contrôle de la CNIL génère un véritable stress et un dossier ouvert ne se clôture pas si facilement. La CNIL effectue en effet un suivi des entreprises contrôlées et peut ainsi réaliser une nouvelle visite 2 ans après.
Verrouillage des données, publication auprès de la presse, et plus encore. Les sanctions sont appliquées de manière progressive et peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000€ d’amende selon les faits. La sanction est toujours dirigée contre le responsable du traitement des données, à savoir, le dirigeant de l’entreprise, qui endosse la responsabilité des actes de ses salariés mais aussi de ses prestataires. Donc, un conseil : responsabilisez les équipes en interne et choisissez consciencieusement vos prestataires !
La mise en conformité des actions e-mail marketing est un sujet qui devient de plus en plus sensible pour les entreprises. Il y a urgence à faire un état des lieux de ses pratiques et d’identifier ses lacunes d’un point de vue juridique. D’une part, s’assurer de sa conformité vaut à assurer une ligne de conduite droite. D’autre part, un projet de règlement européen est en préparation et devrait voir le jour d’ici 2 à 3 ans. Ambitieux, il vise à renforcer les droits des personnes dans notre monde numérique et à harmoniser la législation des 27 états membres. Il s’agit d’actualiser les principes de finalité, de transparence, de proportionnalité et de faire exister des droits nouveaux tels que le droit à l’oubli, la portabilité des données, mais aussi la limitation du profilage ou encore l’indication de la source des données.
Alors, avant d’être débordé par ce sujet et d’être pénalisé inutilement, faites le point !
Besoin d’être accompagné sur les aspects législatifs de l’e-mail marketing ? Nous pouvons vous aider à réaliser un état des lieux de vos pratiques actuelles, à identifier les points faibles d’un point de vue juridique et à vous mettre en conformité. N’hésitez pas à nous contacter.