RGPD & Emailing : obtenir la preuve du consentement de ses contacts

Depuis l'arrivée du RGPD le 25 mai 2018, beaucoup se demandent comment prouver le consentement de leurs destinataires pour pouvoir continuer à leur envoyer des emails.

Consentement obligatoire ou pas ?

Avant de rentrer dans le vif du sujet, sachez que vous n'êtes peut-être pas concerné si :

• Vous avez déjà la preuve de leur consentement (par double opt-in avec date et heure)
• En B2C : si la personne est déjà cliente et si la prospection concerne des produits ou services analogues à ceux déjà fournis, ou si la prospection n'est pas commerciale (par exemple caritative)
• En B2B : le consentement n'est pas obligatoire, mais l'objet du message doit être en rapport avec la profession de la personne démarchée

Cependant, il est toujours obligatoire d'informer la personne que son adresse sera utilisée à des fins de prospection au moment de la collecte, et de lui permettre de s'y opposer.

Pour plus de détails, consultez les recommandations de la CNIL en matière de prospection commerciale par email.

Le principe : formulaire + campagne de réconfirmation

Pour obtenir une liste de contacts totalement conforme au RGPD, le procédé repose sur deux éléments combinés : un formulaire d'inscription conforme et une campagne email de réconfirmation.

Pour être conforme au RGPD, vous devez permettre à vos destinataires de vous donner leur consentement de manière volontaire et consciente. Un simple bouton dans un email ne suffit pas — la réglementation exige que le consentement ne puisse pas être accordé par erreur.

Créer un formulaire conforme

Votre formulaire doit être transparent et explicite quant à l'utilisation qui sera faite des données personnelles. Il doit contenir :

• Des champs à remplir (qui peuvent être pré-remplis avec les données existantes)
• Une case à cocher non pré-cochée stipulant que l'utilisateur vous autorise à lui envoyer des emails (précisez le type de communication)
• Les mentions définissant le cadre de l'utilisation de leurs données
• Une phrase stipulant que l'utilisateur pourra se désinscrire à tout moment, et comment faire
• Facultatif : un lien vers votre politique de confidentialité et vos mentions légales

Activez le double opt-in. Cette option envoie un email de confirmation à l'utilisateur après validation du formulaire, afin qu'il confirme définitivement son consentement. Le clic sur cet email de confirmation constitue une preuve solide du consentement, datée et horodatée. Le double opt-in garantit également qu'un tiers malveillant ne puisse pas inscrire des personnes à leur insu.

Envoyer la campagne de réconfirmation

Une fois votre formulaire créé et publié, envoyez une campagne email à votre base de contacts existante. Cette campagne doit :

• Expliquer clairement pourquoi vous leur envoyez ce message (mise en conformité RGPD)
• Contenir un bouton renvoyant vers votre formulaire de réconfirmation
• Être envoyée dans un délai raisonnable avant la date d'entrée en vigueur de vos nouvelles pratiques

Seuls les contacts qui auront rempli le formulaire et confirmé leur consentement resteront dans votre liste active. Les autres seront automatiquement exclus de vos prochains envois.

Conserver la preuve du consentement

Une fois votre campagne terminée et votre nouvelle base constituée, exportez-la et conservez-la dans un dossier dédié. Ajoutez à ce dossier un exemple de votre campagne emailing et de votre formulaire, afin d'avoir sous la main toutes les preuves du consentement et du processus mis en place pour l'obtenir. Ce dossier constitue votre « accountability » en cas de contrôle de la CNIL.

Les outils emailing professionnels, dont Positive User (ex-Sarbacane), horodatent automatiquement les inscriptions et désinscriptions de vos listes.

‍