Depuis le 25 mai, le RGPD (règlement général à la protection des données) est entré en vigueur en Europe. On peut lire un peu tout et surtout n’importe quoi sur le sujet. Mais au-delà des légendes urbaines, qu’est-ce qui a vraiment changé depuis vendredi ? Et quelles sont vos nouvelles obligations ?
Déjà, pour bien comprendre de quoi nous parlons, le RGPD est une réglementation dont le but est de protéger les données personnelles des habitants de l’Union européenne. Pour faire simple, cette réglementation a été créée afin de mieux contrôler ce que peuvent faire Facebook, Google… avec nos données personnelles. Mais bien entendu, cette réglementation ne concerne pas que les géants d’internet. Elle concerne également toute personne amenée à collecter des données personnelles.
De ce fait, toute personne gérant une lettre d’information devrait se demander comment être en conformité avec ce nouveau règlement. Dans cet article, je vais lister les grandes lignes à respecter pour être en conformité avec le RGPD. La bonne nouvelle est que si vous respectez déjà la loi du 21 juin 2004 pour la confiance dans l’économie numérique, le RGPD ne changera pas grand-chose pour vous. Ce qui va suivre n’a pas valeur de conseils juridiques. Mon but est seulement de débroussailler le sujet et de contredire quelques légendes urbaines populaires.
Voici dans les grandes lignes, les obligations de cette nouvelle réglementation pour une personne qui collecte des adresses de messagerie :
1 Obtenir un consentement explicite
On peut voir pas mal de rumeurs sur le RGPD. L’une d’elles affirme qu’il faut impérativement utiliser une case à cocher de consentement lorsqu’on collecte une adresse mail. Une autre prétend que le simple optin (l’inscription sans message de confirmation) est interdit… Tout cela est faux.
Au sujet du consentement, voici ce que dit l’article 32 : « Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet ». La case à cocher est un exemple proposé, pas une obligation.
Dans les faits, la case à cocher n’est pas la bonne option pour collecter des adresses de messagerie. L’article 32 dit également : « Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé. » Il est bien évident qu’une case à cocher pour confirmer l’inscription à une lettre d’information perturberait inutilement le service.
Pour ce qui est du consentement, il est conseillé de préciser clairement ce que nous allons faire des données que nous collectons. Il suffit par exemple d’expliquer pourquoi vous collectez des adresses avec un message de ce genre : « En vous inscrivant, vous recevrez X messages informatifs de ma part chaque semaine. » Le simple fait qu’une personne entre son adresse de messagerie dans le formulaire constitue alors un consentement.
2 Mettre à disposition une politique de confidentialité
Avant le RGPD, cela était optionnel. Nous pouvions le faire pour rassurer les gens. Aujourd’hui, c’est une obligation. Désormais, nos visiteurs ont le droit de savoir comment leurs données vont être utilisées. Si vous passez par un prestataire pour gérer votre liste, il faut le préciser, et bien entendu, s’assurer qu’il respecte la RGPD.
Au passage, une autre légende urbaine prétend que si nous utilisons un prestataire RGPD, nous n’avons rien à faire de plus. Mais comme vous pouvez le voir dans cet article, même si nous déléguons la gestion de nos listes, certains éléments de la protection des données que nous collectons restent sous notre responsabilité.
3 Documenter tout ce qui concerne la modification et la suppression des données
L’un des éléments importants du RGPD est le droit à l’effacement. Avec la loi de 2004, chaque message envoyé sur une lettre d’information doit contenir un lien de désinscription. Cela n’a donc rien de très nouveau. Par contre, il faut documenter la procédure dans votre politique de confidentialité. Il suffit de dire : « Vous pouvez vous désinscrire à tout moment en suivant le lien présent à la fin de chacun des messages que vous recevrez ».
4 Garder un enregistrement permettant de savoir comment vous avez collecté les données
Si vous utilisez un service comme aweber, vous savez quand une personne s’est inscrite, sur quel formulaire… Le RGPD demande que vous soyez capable de fournir ces informations. Cela signifie qu’il faut conserver ces données si vous changez de prestataire.
En conclusion, comme vous pouvez le voir, le RGPD ne change finalement pas grand-chose à la loi qui était déjà en vigueur. Nous sommes loin de la mort de l’email marketing annoncée par certains. Cette nouvelle réglementation nous demande seulement plus de transparence.
Je n’ai encore rien fait sur ce site pour me mettre en conformité avec le RGPD et comme vous pouvez le voir, je respecte déjà la plupart des points. Ce qui manque principalement est un message qui clarifie le consentement lors de l’inscription. Je pourrais également en profiter pour étoffer un peu ma politique de confidentialité.