Conformité RGPD des campagnes emailings : Flux des données et responsabilités des acteurs

La gestion de campagne emailing est un dispositif très utilisé en marketing. Il mérite donc une attention particulière du côté des DPO pour assurer leur conformité au RGPD. Et même si ce dispositif repose sur une mécanique plutôt bien comprise dans son ensemble, nous avons pu relever un certain nombre de questions récurrentes sur ce traitement concernant la nature et le type de flux de données, ainsi que le rôle des différents acteurs mobilisés sur cette chaîne de valeur. L’infographie « conformité RGPD des campagnes emailing », disponible en bas de cet article, vise à clarifier le sujet. N’hésitez pas à nous faire remonter vos retours sur le fond, comme sur la forme.

Quels sont les flux de données dans le cadre d’un envoie d’emails ?

 

Premier flux : de l’annonceur au routeur

 

C’est en effet l’annonceur qui décide d’une opération de communication par e-mail et qui, dans cet objectif, va préparer sa cible en travaillant sur sa base de données. Il peut le faire soit de manière automatisée (via un dispositif entre sa base de données et son outil de gestion), soit manuellement en chargeant les données sélectionnées dans sa plateforme de campagne.

A ce niveau du circuit, l’annonceur peut travailler sa propre base de données, mais peut également prospecter une base de données partenaire ou encore une base de list brokers.

Quels que soient la méthode et le cadre, le traitement de ces données personnelles (adresse email, nom, prénom etc…) doit respecter le principe de minimisation pour n’utiliser que les données utiles et nécessaires en fonction des objectifs de la campagne.

 

Deuxième flux : du routeur au destinataire final

 

Le routeur propose une solution technique en mode SAAS pour assurer, de manière automatisée, l’envoi et la livraison des emails vers les destinataires finaux concernés. Dans la grande famille des solutions de routage pour les campagnes e-mail, on peut citer parmi les plus connues, Salesforce, Adobe campaign, Actito, message business, Mailchimp… Le routeur prend donc en charge les données personnelles sélectionnées par l’annonceur pour réaliser cette mission.

A côté de ces données nominatives qui vont transiter par le routeur, l’annonceur dispose d’autres mécaniques pour collecter des données personnelles : la mécanique des pixels intégrés au niveau de la création des messages. A côté du fichier contact construit par l’annonceur, va être intégré un pixel de tracking sous la forme d’un code html permettant de mesurer l’efficacité des campagnes. Ce pixel de tracking est unique pour chacune des personnes qui reçoit le message.

Par ailleurs, l’annonceur peut, dans la création de l’emailing, utiliser d’autres pixels qui ont pour finalité l’évaluation des campagnes publicitaires, mais aussi des pixels permettant de suivre la conversion issue du emailing sur les sites marchands ou encore des pixels permettant de réconcilier l’identité digitale et l’identité CRM.

Aujourd’hui, la base légale correspondant au traitement des données collectées à ce niveau paraît être l’intérêt légitime, lorsque la mesure de tracking sert uniquement à la performance. La question reste néanmoins dans la dynamique de réflexion et de discussion entre les acteurs du marché et l’autorité de contrôle (CNIL) et peut encore évoluer.

 

Troisième flux : du destinataire à l’annonceur

 

C’est le flux de retour entre le destinataire, la personne concernée qui a reçu l’ email et l’émetteur, à savoir l’annonceur.

Lorsque le destinataire reçoit et ouvre le message, le pixel de tracking déposé par le routeur s’active et génère des données de réaction relatives à son comportement par rapport à l’email reçu : date et heure d’ouverture, device et version de l’OS qui a ouvert l’email, ouverture et clic, identifiant propre à la campagne etc…

A savoir : le déclenchement du pixel suppose que le mode image soit activé à la source.

Ces informations remontent au niveau de la plateforme de gestion de campagne et l’annonceur va pouvoir consulter les indicateurs de performances via les solutions mises à disposition par le routeur.

Par ailleurs l’annonceur peut décider de récupérer les données personnelles de réaction (ouverture, clic) au niveau de sa base de donnée marketing pour enrichir le profil de ses prospects et clients.

Dans ce contexte, les données de réaction poursuivent une autre finalité que celle de l’évaluation car elle vont permettre de profiler les individus en base chez l’annonceur et de personnaliser les publicités : la base légale devient alors celle du consentement.

 

Quelles sont les responsabilités des différents acteurs de la chaîne de traitement des données ?​

 

1. L’annonceur est le responsable de traitement

 

C’est lui qui définit l’objectif et les moyens, c’est-à-dire les outils pour l’envoi de sa campagne. En tant que responsable de traitement, il est le garant de la conformité de la campagne emailing ; l’infographie proposée dans cet article reprend les points essentiels à considérer et à suivre pour s’assurer qu’une campagne sera conforme aux exigences du RGPD.

 

2. Le routeur est le sous-traitant

 

Il met à disposition de l’annonceur sa solution d’envoi et va traiter pour son compte des données à caractère personnel. Les données traitées sont utilisées pour le seul compte du responsable de traitement. Le sous-traitant travaille sur instructions de l’annonceur. A aucun moment, il ne peut exploiter les données du responsable de traitement pour son propre compte, même pour des analyses de tendance ou de marché, et encore moins pour les croiser avec les données d’autres annonceurs.

Le sous-traitant proposant sa solution de routage a ainsi 4 obligations principales : mise en place de mesure de sécurité, tenue d’un registre des traitements, alerte en cas de violation des données et mise à disposition des informations nécessaires à la réalisation d’audit… l’infographie vous en détaille ces points.

 

3. Le destinataire est la personne concernée

 

La personne concernée, qu’elle soit cliente, prospect, abonnée, patiente, adhérente à une newsletter… n’a pas de responsabilité mais dispose de droits quant à l’utilisation de ses données personnelles et ce, que ce soit en B2B comme en B2C.

Le RGPD réaffirme et renforce les droits des personnes concernées  : elles peuvent demander au responsable de traitement d’accéder à leurs données, de les rectifier, de les effacer ou d’en demander la portabilité (“Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles” CNIL)

Par ailleurs, dans l’exercice de leurs droits, les personnes concernées peuvent, sous certaines conditions, exercer leur droit à la limitation du traitement de routage emailing ou s’opposer au dit traitement. Le responsable de traitement dispose désormais de 1 mois pour répondre à ces demande ( avant le RGPD, ce délai était fixé à 2 mois )

Focus : le responsable de traitement doit faire figurer dans sa politique des données, en des termes clairs et simples, les modalités d’exercice des droits des personnes.

 

Et côté sécurité, on fait comment ?​

 

Qui doit s’assurer de la protection des données personnelles lors de leur circuit dans une opération de communication par voie électronique ? à quel moment ? comment ?

La responsabilité du traitement des données s’étend effectivement aux questions sécuritaires. Les données à caractère personnel doivent être protégées lors de leur parcours dans le cadre d’une campagne digital.. Là encore, il est donc nécessaire, lors d’une campagne digitale, de bien identifier les différents acteurs, les risques et avoir des solutions préalables concrètes pour résoudre le moindre problème de violation de données personnelles.

Une infographie qui répond à toutes les questions !​

Dans le cadre de son expertise RGPD, l’agence de stratégie data Camp de Bases a conçu une infographie qui vous permet de :

  • Visualiser et comprendre rapidement les étapes du circuit des données,
  • Identifier clairement les acteurs responsables,
  • Connaître les obligations et responsabilités RGPD pour chacun des acteurs,
  • Assurer la sécurité des données avec la solution la mieux appropriée.

Vous lancez régulièrement des campagnes de communication emailing ?

Vous sous-traitez vos données ?

Vous êtes en charge de données fournies par un annonceur  pour les envois automatisés ?

Vous voulez mettre en conformité RGPD vos campagnes d’emailing ? 

 

NOUS AVONS UN DOCUMENT FAIT POUR VOUS !

Téléchargez votre infographie via le formulaire ci-dessous

et surtout n’hésitez pas à revenir vers nous si vous avez des commentaires !

 

A lire aussi
Une question Data ? Échangeons sur le sujet !

Au moins 3 bonnes raisons de nous contacter :

  • prendre un café avec l’équipe
  • en savoir plus sur les sujets Data Marketing
  • relancer l’éternel débat : « Marketing ou IT » avec notre CTO…

Camp de Bases (Groupe Webedia)
114 rue chaptal
92300 Levallois Perret

+01 536 70791