RGPD Newsletter : les règles à respecter pour une communication en toute conformité 

RGPD Newsletter : voici 2 mots devenus indissociables pour toute entreprise souhaitant développer sa clientèle et son chiffre d’affaires, en conformité avec la réglementation sur les données personnelles. 

La newsletter permet de diffuser simplement et largement des informations relatives à son activité grâce à l’e-mail.

La newsletter est devenue l’un des outils de communication et de marketing les plus efficaces pour attirer des prospects et fidéliser ses clients.

Cependant, l’entreprise doit faire attention à ne pas envoyer cette lettre d’information n’importe comment et à n’importe qui.

Des règles précises doivent être respectées sous peine d’être considéré comme un spammeur et risquer de lourdes sanctions.

 

Pour comprendre les enjeux juridiques et RGPD de la newsletter, il faut d’abord comprendre 2 points essentiels 

Envoyer une newsletter constitue d’un point de vue légal, de la “prospection commerciale” lorsque l’intention de l’entreprise qui l’expédie est de promouvoir directement ou indirectement ses produits ou services.

Lorsqu’une entreprise envoie une newsletter, elle réalise des traitements sur des données personnelles puisqu’elle collecte et stocke a minima le mail des personnes concernées (mais aussi parfois leur nom, prénom ou encore leur fonction).

Or, ces 2 points font l’objet de réglementations pour protéger la vie privée des personnes et leurs données personnelles.

Les principales règles sont prévues dans le RGPD (Règlement européen sur la protection des données personnelles) et le CPCE (Code français des postes et communications électroniques).

Si l’entreprise ne respecte pas ces règles lorsqu’elle envoie ses newsletters, elle s’expose alors à des risques de sanctions importants. 

 

Dans cet article, découvrez quelles sont les règles que l’entreprise doit respecter pour envoyer ses newsletters en toute conformité.

Table des matières

RGPD Newsletter : 3 cas à distinguer

Il faut distinguer 3 cas :

  • l’envoi de newsletter à des particuliers (BtoC)
  • l’envoi de newsletter à des professionnelles (BtoB)
  • l’envoi de newsletter à la suite d’un tracking de la personne (traceur)

1 - L’envoi de newsletter à des particuliers (prospection BtoC) : les étapes clés d’une campagne de prospection commerciale conforme au RGPD

Le principe est le suivant :

La prospection commerciale par l’envoi de newsletter à des particuliers est interdite sauf si l’entreprise respecte 3 règles.

En cas de contrôle, l’entreprise devra démontrer qu’elle a bien respecté ces 3 règles puisqu’elle a la charge de la preuve.

RGPD Newsletter : 3 règles à respecter lors de la prospection commerciale en BtoC

Règle n°1 : l’information préalable des personnes

Avant tout envoi de sa newsletter, l’entreprise doit donner aux personnes concernées des informations précises sur ses intentions commerciales et les données qu’elle collecte.

La liste des informations à donner est longue et fixée par les articles 13 et 14 RPGD.

Voici les principales informations à donner aux personnes concernées :

  • L’identité et les coordonnées de l’entreprise 
  • La ou les finalité(s) de la collecte de données (ex : l’intention commerciale)
  • La ou les base(s) légale(s) du traitement de données (ex : le consentement)
  • Le caractère obligatoire ou facultative de la collecte 
  • Les destinataires éventuels des données 
  • La durée de conservation des données 
  • Le rappel des droits des personnes (droit d’accès, rectification, effacement et limitation, retrait du consentement, …)
  • Les coordonnées du DPO ou du référent RGPD de l’entreprise
  • Le rappel que les personnes peuvent introduire une réclamation auprès de la CNIL 
  • Si un transfert de données hors Union européenne va être effectué 

Les informations obligatoires doivent être transmises au moment de la collecte des données ou lors du premier contact avec la personne concernée.

Les informations doivent être données par écrit. Elles doivent être concises, transparentes, compréhensibles et accessibles.

 

Conseil pratique :

Prévoyez une mention d’information courte au niveau du formulaire d’inscription à la newsletter, et renvoyez à un document plus complet qui s’appelera « politique de confidentialité ».

L’information préalable n’est pas la seule règle à respecter lorsqu’une entreprise souhaite envoyer une newsletter à des particuliers : il lui faudra également obtenir leur consentement.

Règle n°2 : le consentement express et préalable des personnes

Pour envoyer une newsletter à des particuliers, il est nécessaire d’obtenir leur consentement, sauf dans 2 cas (ces 2 exceptions seront détaillées un peu plus bas).

Le principe du consentement

L’entreprise doit obtenir le consentement express et préalable des personnes en BtoC avant de leur envoyer sa newsletter commerciale.


Pour être valable, leur consentement doit être :

Eclairé

Etre obtenu de manière transparente (règle n°1 sur l’information respectée)

Univoque

La personne doit manifester son accord explicite (pas d’accord implicite)

Spécifique

Le consentement doit être donné spécifiquement pour l’envoi de la newsletter

Libre

Non contraint. Ce ne doit pas être une contrepartie offerte par l’entreprise (ex :cadeau)

Cette logique de prospection commerciale est une logique d’opt-in : si la personne n’a pas dit oui, alors c’est qu’elle n’est pas d’accord pour recevoir votre newsletter.

Quand obtenir le consentement des personnes ?

Le consentement doit être obtenu avant l’envoi de la newsletter et idéalement au moment de la collecte des données.

Comment obtenir le consentement des personnes ?

Le consentement peut par exemple être recueilli par un mail de la personne ou encore par une « case à cocher » ou un bouton « j’accepte » sur votre site internet.

J’accepte que mes informations soient utilisées pour recevoir votre newsletter commerciale 

Conseil pratique

N’oubliez pas de conserver la preuve des consentements obtenus car en cas de contrôle, vous devrez démontrer les avoir obtenu conformément au RGPD.

Les 2 exceptions au consentement obligatoire en BtoC

Il y a 2 exceptions à la règle du consentement obligatoire.

  • Si la personne concernée est déjà cliente de l’entreprise et que la prospection concerne des produits ou services analogues (cette règle marche pour les clients en cours et anciens clients depuis moins de 3 ans)
  • Si la newsletter n’a aucune finalité commerciale (ex : caritative) 

 

Dans ces 2 cas, l’entreprise peut envoyer la newsletter sans avoir obtenir le consentement express et préalable de la personne. Mais elle devra cependant respecter les 2 autres règles (information préalable et droit d’opposition).

Règle n°3 : le droit d'opposition des personnes

Contrairement aux 2 premières règles, la 3ème règle est une règle que l’entreprise doit respecter après l’envoi de sa newsletter.


Même si la personne a été informée et a donné son consentement, elle a le droit d’exercer à tout moment son droit d’opposition, c’est-à-dire son souhait de ne plus recevoir votre newsletter.


L’entreprise devra dans ce cas faire droit à sa demande d’opposition et ne plus lui envoyer de newsletter.

Quand est-ce que la personne peut exercer son droit d’opposition ?

La personne doit pouvoir s’opposer à tout moment, et sans frais.

Comment permettre à la personne de s’opposer ?

L’entreprise doit :

L’entreprise doit faire droit à la demande d’opposition dans un délai maximum de 30 jours à compter de sa réception.

Après avoir vu les règles à respecter en BtoC, voyons à présent celles qui concernent le BtoB.

2- L’envoi de newsletter à des professionnels (prospection BtoB) : les meilleures pratiques à suivre pour une stratégie de prospection commerciale conforme au RGPD

Les règles concernant l’envoi d’une newsletter à des professionnels sont un peu différentes de celles à destination des particuliers.

RGPD Newsletter : 2 règles à respecter lors de la prospection commerciale en BtoB

Comme en BtoC, l’entreprise devra donner aux personnes les informations RGPD sur ses intentions commerciales et les données collectées.

Pour plus de détails sur cette règle n°1, nous vous renvoyons au paragraphe concerné en partie 1° BtoC

Contrairement à la prospection en BtoC, l’entreprise n’est pas obligée d’obtenir le consentement express et préalable de la personne si celle-ci est un professionnel (salarié ou non) et que l’objet de la sollicitation est en rapport avec la profession de cette personne.

Exemple : une entreprise informatique envoie une newsletter au directeur informatique d’une société.

Dans ce cas-là, on appliquera la logique d’opt-out : si la personne n’a pas dit non, cela signifie qu’elle est d’accord.

 

Attention cependant car si l’objet de la sollicitation commerciale n’a aucun rapport avec l’activité professionnelle de la personne, il faudra obtenir son consentement express et préalable (comme en BtoC).

 

🚩 La CNIL a sanctionné à hauteur de 20 000€ une entreprise qui avait envoyé à des salariés d’une entreprise de la prospection commerciale alors qu’il n’existait pas de rapport direct avec les fonctions de ces personnes (Décision CNIL du 8 décembre 2020).

 

Il faut préciser que les 2 exceptions au consentement obligatoire présentées pour la prospection en BtoC peuvent également jouer en BtoB :

  • Le consentement n’est pas nécessaire :
    Si la personne concernée est déjà cliente de l’entreprise et que la prospection concerne des produits ou services analogues (cette règle marche pour les clients en cours et anciens clients depuis moins de 3 ans)
  • Si la newsletter n’a aucune finalité commerciale (ex : caritative) 

Comme en BtoC, l’entreprise devra respecter le droit d’opposition des personnes.

Pour plus de détails sur cette règle n°3, nous vous renvoyons au paragraphe concerné en partie 1° BtoC

Après avoir vu les règles à respecter en BtoC et BtoB, voyons à présent celles qui concernent l’envoi de newsletter à la suite d’un tracking (traceur)

3 - Quelles sont les règles à respecter en matière de marketing lorsque vous utilisez les traceurs

Définissons d’abord ce qu’est un traceur avant de présenter les règles à respecter.

Qu'est ce qu'un traceur ?

Le traceur (comme le cookie ou le pixel) est une petite technologie. Lorsqu’un internaute navigue sur un site internet, le traceur permet de collecter ou d’accéder à des informations personnelles le concernant (les pages visitées, où la personne a cliqué, son adresse IP, son navigateur, etc).

Grâce au traceur, l’entreprise peut par exemple savoir qui a cliqué pour en savoir plus sur un produit ou un service qu’elle propose.

Elle peut ensuite être tentée d’envoyer une sollicitation commerciale personnalisée (en utilisant une newsletter) à une personne ayant cliqué sur une page particulière de son site internet.

Si l’entreprise souhaite envoyer une newsletter à la suite d’un tracking, elle devra respecter les 3 règles suivantes (peu importe dans ce cas que la personne concernée soit un particulier ou un professionnel) : 

  • informer préalablement la personne du ou des traceur(s) et de sa (leur) finalité marketing
  • obtenir son consentement express et préalable
  • lui donner la possibilité de s’opposer à tout moment
Comment informer la personne à propos des traceurs ?

L’information donnée à l’internaute devra principalement porter sur (i) les finalités des traceurs et (ii) l’identité des responsables de ces cookies.

 

Elle peut être donné en 2 temps :

L’utilisation d’un bandeau cookies adapté sur le site internet

Le bandeau peut permettre de donner une information courte et synthétique à l’internaute. Exemple de mention d’informations à prévoir dans le bandeau cookies : « Ce site utilise des cookies à des fins marketing en fonction de votre navigation et de votre profil. Pour en savoir, consultez notre politique sur les cookies ».

Une politique sur les cookies

Ce document permet de donner, en complément du bandeau, une information plus complète sur le(s) type(s) de traceurs, leurs propriétaires, etc.

Comment obtenir le consentement de la personne avant de les tracker ?

Le consentement peut par exemple être obtenu depuis le bandeau cookies au moyen d’un bouton « j’accepte ».

S’il existe plusieurs types de traceurs, l’internaute devra en être informé et pouvoir choisir de donner son consentement ou refuser par type de traceurs.

L’entreprise doit veiller à enregistrer le choix des personnes (je refuse/j’accepte) car en cas de contrôle de la CNIL, elle devra prouver qu’elle a bien obtenu leur consentement express et préalable avant de les tracker.

Combien de temps conserver les données récoltées lors de l’envoi de la newsletter ?

Les données collectées dans le cadre de la prospection commerciale ne peuvent être conservées indéfiniment. Des règles encadrent ainsi le temps de conservation des données recueillies au titre de la prospection commerciale. 

Le principe est que les données ne doivent être conservées que le temps nécessaire puis être supprimées.

En matière de prospection commerciale et de traceurs, la CNIL a publié des recommandations.

Les données collectées lors de la prospection commerciale doivent être conservées au maximum 3 ans. Au terme de ce délai, et si l’entreprise souhaite continuer à envoyer sa newsletter à la personne, elle devra obtenir son consentement.

Application pratique de la règle des 3 ans de conservation :

  • Si la personne est déjà cliente : l’envoi de la newsletter est possible tout au long de la relation contractuelle puis pendant 3 ans à compte de la fin du contrat de vente.
  • Si la personne n’est pas déjà cliente : la règle des 3 ans court à compter de la collecte de ses données, du dernier contact ou du dernier clic de la personne sur une newsletter.

Passé ces délais, l’entreprise a l’obligation de supprimer les données personnelles, à moins d’obtenir un consentement de la personne (faisant repartir un délai de 3 ans).

Enfin, en matière de tracking, la CNIL recommande :

  • que la durée de vie des traceurs soit limitée à 13 mois maximum (un nouveau consentement de l’internaute devra donc être demandé au-delà de 13 mois pour ce tracking).
  • que les données collectées par l’intermédiaire du tracking (adresse IP, pages cliquées, etc) ne soient pas conservées plus de 25 mois.

En résumé, comment envoyer une newsletter conforme au RGPD ?

RGPD Newsletter : Résumé des règles à respecter en matière de prospection commerciale

Quelles sanctions pour l’entreprise qui envoie sa newsletter sans respecter les règles RGPD ?

Les sanctions prévues en cas de non-respect des obligations concernant la prospection commerciale sont importantes. 

Voici les principales sanctions :

RGPD Newsletter : Sanctions en matière de prospection commerciale en ligne

Quelques exemples de sanctions prononcées par la CNIL :

  • La CNIL a par exemple infligé une sanction de 500 000€ à l’encontre de la société Brico Privé pour absence de recueil de consentement. Elle estime que la création d’un compte sans acte d’achat ne permet pas de recueillir le consentement de la personne concernée dans le cadre d’une prospection BtoC – Décision CNIL du 14 juin 2021.
  • Le 15 juin 2023, la CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

Pour commander une politique de confidentialité dédiée à à la prospection commerciale, n’hésitez pas à faire appel à NUMETIK AVOCATS .

Foire aux Questions

  • La prospection digitale c’est l’ensemble des actions marketing et commerciales d’une entreprise pour attirer ses prospects et les convertir en clients. Elle est digitale car elle utilise des outils de communications électroniques.

Il faut éviter le Webscraping, aussi appelé extraction de données publiquement accessibles. Cette technique d’extraction de données de masse sur des sites internet par un logiciel tiers n’est pas autorisé par la CNIL et interdite sur certains réseaux comme LinkedIn.

Oui, toute entreprise qui collecte des données personnelles doit donner par écrit les informations RGPD obligatoires prévues par les articles 13 et 14 du RGPD. Pour donner ces informations, l’entreprise va devoir élaborer un document généralement appelé « politique de confidentialité » ou « politique de protection des données personnelles ». 

 

Les règles RGPD à respecter sont particulièrement complexes. Il est déconseillé de prendre un modèle gratuit de politique de confidentialité trouvé sur internet. La plupart des générateurs de politique de confidentialité sont peu fiables et aboutissent à des documents trop génériques et inadaptées.
La solution la plus sûre est de confier la rédaction du document à un avocat, ou à un expert RGPD.