Conformité Opt-in : Les 5 étapes clés pour prospecter vos contacts

Certes, le consentement est une notion clé dans le RGPD mais ce n’est pas une notion nouvelle ! Le législateur inscrivait déjà ce concept dans la loi du 6 janvier 1978 dite « Loi Informatique et Libertés ». Le RGPD a néanmoins précisé sa définition et a ajouté des droits connexes : preuve du consentement, consentement des mineurs, droit au retrait…                                                                                                    

En marketing, pour désigner le consentement, on parle plus souvent d’opt-in. L’opt-in décrit l’accord donné par la personne pour recevoir des communications de nature commerciale par voie électronique. On entend par voie électronique, l’email, le SMS, le MMS, le fax et les push notifications.                                                                                                                           
L’obligation d’opt-in ne s’applique cependant pas pour des adresses emails professionnelles ou encore lorsque la prospection se fait par courrier postal ou par téléphone. C’est ici qu’intervient la notion d’opt-out. Dans ce cas, on peut donc prospecter sans consentement préalable.

Alors quand et comment obtenir un consentement conforme RGPD ? On vous explique les 5 étapes à suivre dans le papier qui suit. Vous pouvez également accéder à notre infographie qui résume les points clés de la démarche.

1. Identifiez le profil de vos contacts

Avant toute chose, il est important de déterminer le profil de vos contacts. Et oui, vous verrez que selon le profil de la personne, vous pourrez parfois échapper à l’obligation de consentement.

Professionnel ? particulier ? Le RGPD ne fait aucune distinction quant au profil du destinataire de la publicité. C’est la CNIL qui donne ses recommandations en matière d’email marketing (sur la base notamment de l’article L. 34-5 du Code des Postes et Communications Électroniques). Elle nous rappelle que les règles diffèrent selon que le contact est un particulier ou un professionnel.

Si vous êtes une entreprise qui cible un public de professionnels (BtoB)

Alors vous n’avez pas besoin de collecter un opt-in. La CNIL admet en effet le recours à l’opt-out. Mais concrètement, l’opt-out c’est quoi ? c’est la pratique selon laquelle la personne figure automatiquement sur la liste de diffusion d’un programme marketing. Si la personne ne dit pas non, alors c’est oui.

Pour cela, vous devez vous assurer que :

  • l’adresse électronique collectée est une adresse professionnelle nominative ;
  • le professionnel est informé que ses coordonnées seront utilisées à des fins de prospection ;
  • le professionnel peut s’y opposer ;
  • l’objet de la sollicitation est en rapport avec la profession de la personne.

Par exemple, vous pouvez très bien envoyer un email présentant votre nouvel outil de gestion de campagne à louis.titi@nomdelasociété.com, consultant marketing, sans avoir, au préalable, besoin de lui demander son accord. Il faut néanmoins l’informer, au moment de la collecte de ses données, que ses coordonnées seront utilisées à des fins promotionnelles et qu’il peut à n’importe quel moment s’y opposer.
Comment lui donner la possibilité de s’y opposer dès la collecte ? Dans le cadre d’une création de compte ou d’une demande de devis sur un site, vous pouvez lui proposer de cocher une case s’il refuse de recevoir de la prospection. Lors d’un événement professionnel, si des cartes de visite ont été échangées et que le professionnel est susceptible de recevoir de la prospection, il est préférable de l’en informer par email avant prospection afin de garder la preuve de cette information. Le professionnel pourra ensuite répondre à cet email s’il refuse.

Si vous ciblez plutôt un public de particuliers (BtoC)

Alors, deux cas de figure peuvent se présenter :

  • Le contact est un client, c’est-à-dire qu’il existe une relation commerciale entre vous et lui :

Le consentement n’est pas nécessaire si vous le contactez pour une offre sur des produits et/ou services analogues à ceux déjà fournis. Dans ce contexte, la base légale est l’intérêt légitime. Pensez néanmoins à informer le client que son email sera utilisé à des fins de prospection et proposez-lui un moyen facile de s’opposer à cette prospection.

  • Le contact est un prospect :

La collecte du consentement est requise. C’est le cas notamment lorsque le particulier participe à un jeu concours ou qu’il demande un devis. Pour lui envoyer des offres commerciales, il faut d’abord obtenir son consentement. Sans ce consentement, les informations collectées ne peuvent être utilisées que dans le cadre du jeu ou pour lui communiquer le devis souhaité.

2. Distinguez la nature de vos communications

Outre le profil, la nature de la communication peut être déterminante. La CNIL rappelle qu’en BtoC, le consentement n’est pas nécessaire lorsque la prospection n’est pas de nature commerciale. On peut donc considérer qu’une newsletter dont le contenu est purement éditorial ne doit pas faire l’objet d’un consentement.

Néanmoins, dans cette situation également, la personne doit, au moment de la collecte de ses données :

  • être informée que ses coordonnées électroniques seront utilisées à des fins de communication ;
  • être en mesure de s’y opposer de manière simple et gratuite.

Identifier le profil de vos contacts et déterminer la nature de vos communications sont autant d’étapes cruciales pour vérifier la nécessité d’obtenir un consentement. Le consentement n’est donc pas imposé dans toutes les situations. Quand il ne l’est pas, c’est une autre base légale qui doit être fixée : intérêt légitime, exécution d’un contrat ou encore obligation légale.

3. Collectez un consentement conforme RGPD

La notion de consentement désigne « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte plus clair que des données à caractère personnel la concernant fassent l’objet d’un traitement » (art. 4.11 du RGPD).

Lorsque vous vous fondez sur le consentement pour prospecter, le RGPD exige donc que ce consentement réponde à 4 critères cumulatifs. Il doit être : 

1. Univoque :

Le contact doit faire une action positive. Autrement dit, le consentement ne peut pas résulter du silence de la personne. Vous ne pouvez donc pas prévoir des cases pré-cochées dans vos formulaires de collecte. De la même manière, l’acceptation de CGU/CGV ne peut être considérée comme un acte positif.

2. Libre :

Le contact ne doit pas se sentir contraint de consentir et son consentement ne doit pas être conditionné à l’octroi d’un avantage : oubliez les demandes d’inscription à une newsletter contre remise de 20% !

3. Spécifique :

Le contact doit pouvoir consentir séparément à différents objectifs :

  • Le consentement doit correspondre à une finalité déterminée: vous ne pouvez pas prévoir un seul consentement pour envoyer des sollicitations commerciales et pour collecter des données sensibles ;
  • il doit être envisagé par canal de communication: vous ne pouvez pas prévoir un seul opt-in pour envoyer des sollicitations commerciales par SMS et par email ;
  • le consentement Marque doit être distinct du consentement Groupe de la Marque et bien sûr du consentement Partenaires.

Pour mémoire : les entreprises partageant leurs données avec des tiers doivent désormais indiquer aux personnes la liste exhaustive et actualisée des entreprises destinataires dans le formulaire de collecte.

4. Eclairé :

Le contact doit être informé des modalités du traitement dès la collecte des données. Il doit notamment savoir qui est le responsable de traitement, quelles sont les finalités du traitement et à combien de temps est fixée la durée de conservation des données. Cette information doit être « aisément accessible, facile à comprendre, et formulée en des termes clairs et simples » (art. 12, 13 et 14 du RGPD).

Bien sûr, ce consentement univoque, libre, spécifique et éclairé doit impérativement être obtenu préalablement à la collecte.

4. Donnez la possibilité aux personnes de retirer leur consentement

Trois points essentiels s’appliquent lorsque la personne souhaite retirer son consentement (art.7 du RGPD).
  • La personne doit pouvoir retirer son consentement à tout moment.
Précision relative aux modalités de retrait du consentement partenaire : Lorsque la personne souhaite retirer son consentement partenaires, elle peut soit le retirer directement auprès du ou des partenaires, soit auprès de la société à l’origine de la collecte des données, qui devra ensuite le répercuter directement à ses partenaires.
  • La personne doit être informée de cette faculté de retrait avant de donner son consentement.
Les partenaires, quant à eux, doivent informer la personne lors de la première communication.
  • Il doit être aussi simple de donner son consentement que de le retirer.
Dans chaque communication, quel que soit le profil du contact (professionnel ou particulier) et la nature de la communication, vous devez proposer un moyen simple et gratuit de s’opposer à la réception de communications.                                                                                                                    Concrètement, lorsqu’il s’agit d’une seule communication, insérez simplement un lien de désabonnement visible, opérationnel et facile d’accès directement en pied de page de l’email. Lorsqu’au contraire, la personne est susceptible de recevoir plusieurs types de communications, privilégiez le centre de préférences.

5. Apportez la preuve du consentement

Vous devez désormais démontrer que la personne a donné son consentement. Le RGPD ne précise pas comment cela doit être fait. Les entreprises doivent donc entreprendre des méthodes adaptées à leur activité afin de se conformer à cette obligation.

Les autorités de contrôle européennes (telles que la CNIL et l’ICO) nous donnent quelques indications.

La preuve du consentement nécessite de pouvoir répondre à trois questions :  

  • qui a consenti ? identifiez la personne concernée (nom de la personne, identifiant de session, nom d’utilisateur …)
  • à quoi ? conservez précieusement le formulaire de collecte auquel la personne a consenti (y compris la politique de confidentialité avec la date correspondant à la date à laquelle le consentement a été donné)
  • quand ? conservez la date et l’heure du consentement et associez tous ces éléments à la personne en question

Attention toutefois à ne pas collecter plus d’informations que nécessaire !

La CNIL rappelle par ailleurs que cette obligation subsiste tant que vous continuez à traiter les données. Ainsi, on peut considérer que la preuve du consentement d’un prospect inactif depuis plus de 36 mois doit être supprimée ou anonymisée.                                                               

Vous pouvez bien sûr conserver plus longtemps cette information si vous devez respecter une obligation légale ou souhaitez contester, exercer ou défendre des droits en justice.

Il existe des solutions centralisées de gestion de consentement pour vous aider à être en conformité avec le RGPD mais attention aux arnaques !

Et quid des cookies ?

Conformément à son plan d’action annoncé fin juin 2019, la CNIL vient de publier ses nouvelles lignes directrices en matière de cookies. Désormais et au même titre que la prospection commerciale par voie électronique, le consentement doit être conforme RGPD. La CNIL est d’ailleurs revenue sur sa position initiale en affirmant que la poursuite de la navigation sur un site ne peut plus être considérée comme une action positive.

Pour que vos actions de prospection commerciale par voie électronique (sms, emailing, push notification) respectent les obligations du RGPD, il vous faut donc d’abord évaluer la nécessité de recueillir, ou pas, un consentement. En effet, le consentement ne constitue que l’une des six bases légales prévues par le RGPD. Quand ce n’est pas le consentement, c’est donc l’intérêt légitime, l’exécution d’un contrat ou encore l’obligation légale qui s’applique dans le cadre de la prospection commerciale. En tout état de cause, chacun de vos traitements doit s’appuyer sur une base légale (art 6 du RGPD).

Pour mémoire, un traitement qui ne répond pas aux exigences du RGPD en matière de consentement est un traitement illicite. Outre le fait que la collecte de l’opt-in doit être Univoque, Libre, Spécifique, Eclairé pour être conforme, le RGPD ajoute un nouveau principe : celui de la preuve du consentement.

Mais quid de la licéité des consentements obtenus avant le RGPD et dont on n’a conservé aucune preuve ? S’il ne vous est pas possible d’en apporter la preuve, il vous faut impérativement renouveler vos demandes de consentements (considérant 171 du RGPD).

Nous nous sommes intéressés ici au consentement dans le cadre de la prospection mais il faut savoir que le consentement s’impose également pour d’autres traitements tels le profilage produisant des effets juridiques (ou ayant un impact significatif) ou encore le traitement de données sensibles…

Vous souhaitez en savoir plus ? Suivez-nous sur LinkedIn et nous vous tiendrons informé(e) de nos articles à venir sur le sujet !

Laisser un commentaire

A lire aussi
Une question Data ? Échangeons sur le sujet !

Au moins 3 bonnes raisons de nous contacter :

  • prendre un café avec l’équipe
  • en savoir plus sur les sujets Data Marketing
  • relancer l’éternel débat : « Marketing ou IT » avec notre CTO…

Camp de Bases (Groupe Webedia)
114 rue chaptal
92300 Levallois Perret

01 85 09 40 35