Mailing RGPD

Mailing RGPD : Mettre en place une campagne conforme au RGPD

Mais en fait, c’est quoi le RGPD ?

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). C’est un règlement européen qui renforce et harmonise le traitement des données personnelles au sein de tous les États membres de l’Union européenne. Pour faire du mailing RGPD conforme, il faut respecter le règlement général sur la protection des données.

En droit français, le RGPD a modifié la « Loi informatique et libertés » adoptée en 1978 à l’origine de la création de la Commission Nationale Informatique et Libertés (CNIL).

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Ce qu’il faut pour lancer une campagne d’email conforme au RGPD

Mailing RGPD : Pour lancer une campagne d’emailing conforme au RGPD, il faut noter que les règles sont différentes en B2B et en B2C. Cela va donc dépendre du type de prospection commerciale que vous allez lancer. Cet article vous expliquera en détail ces différences.

RGPD emailing : Utilisation en B2B

La non nécessité du consentement préalable en B2B

Qu’est ce que le consentement préalable ? Le consentement préalable est l’autorisation d’une personne permettant de lui envoyer un message de prospection commerciale. C’est également l’un des grands principes du RGPD. Les règles de ce consentement préalable sont différentes en B2B (Business to Business) et en B2C (Business to Consumer).

Contrairement aux idées reçues, il n’est pas nécessaire d’avoir un consentement préalable en B2B. C’est pourtant une croyance très répandue jusque dans la communauté de DPO. Notamment à cause d’articles erronés sur le sujet ou bien qui mentionnent que l’Opt in est « préférable ». Il est possible de faire de la prospection commerciale en B2B sans autorisation. Il n’y a donc pas d’Opt in, mais cependant quelques règles à respecter : L’information des personnes, la source des données personnelles ou le désabonnement pour être conforme au RGPD.

RGPD Mailing : Vous devez informer vos prospects en B2B !

Lorsque vous utilisez l’adresse mail d’une personne en B2B pour faire du mailing RGPD conforme, vous devez informer ces personnes. Qu’est-ce que cela signifie concrètement ? Vous devez informer les prospects de l’utilisation et du traitement de leurs données personnelles. C’est important surtout si vous avez obtenu le mail de votre prospect indirectement via des outils comme DropContact.

Vous trouverez ci-dessus un exemple d’information de vos prospects en B2B :

 »  Cet email ainsi que toutes ses pièces jointes sont confidentiels et sont protégés par le secret professionnel.  Si vous recevez ce message par erreur, merci de le détruire et d’en avertir immédiatement l’expéditeur. Toute reproduction, divulgation, ou utilisation, même partielle, de son contenu est strictement interdite. Nous avons obtenu vos coordonnées i) directement par vous ii) par l’intermédiaire d’informations publiques (ex : salon et site internet) iii) par l’intermédiaire des réseaux sociaux  (ex : Linkedin) ou encore iv) via des outils autorisés par la CNIL (ex : Drop contact), conformément aux dispositions de l’article L34-5 du CPCE et aux directives de la CNIL. Pour ne plus recevoir de messages sur nos dernières offres et promotions, envoyez « stop » par email à contact@dipeeo.com. Vous pouvez également demander l’accès à vos données et l’arrêt des traitements de données personnelles à des fins de prospection commerciale à la même adresse. Pour plus d’informations sur la manière dont vos données sont collectées, vous pouvez consulter notre politique de confidentialité. « 

Vous devez informer la source des données personnelles de vos prospects

Le RGPD impose d’informer les personnes sur la source des données si vous faites de la prospection commerciale. Vous pouvez faire de la prospection de manière directe ou de manière indirecte.

Si vous faites de la prospection commerciale de manière directe, c’est souvent le cas en B2B, c’est-à-dire que vous avez recueilli vous-même le consentement préalable du prospect, il n’y a pas besoin d’informer de la source des données de prospection commerciale.

Par contre, si vous faites de la prospection commerciale de manière indirecte, autrement dit que vous avez obtenu les données d’un prospect de manière indirecte : Outil de génération d’e-mail, achat de bases de données, on vous fournit une base de données…; Vous êtes dans l’obligation d’informer les sources de données de prospection commerciale et vous devez le faire pour chaque message de prospection.

Mailing RGPD - Mise ne place d'une campagne de prospection commerciale - Dipeeo

Emailing RGPD : Mettre en place un moyen de désabonnement en B2B

Pour utiliser un mail et lancer une campagne de prospection commerciale, il faut permettre à ses prospects de se désabonner. Il existe plusieurs moyens de se désabonner lorsque vous recevez un email de prospection commerciale : Bouton de désabonnement, envoyer “ STOP “ sur une boite spécifique pour ne plus recevoir de message.

Lorsqu’un prospect demande un désabonnement ou un opt out, vous devez supprimer toutes les données personnelles de ce prospect et ne garder que les informations qui vont vous permettre de garder une trace de ce désabonnement. C’est une preuve qui confirme que vous avez bien traité la demande. Cela permet également d’éviter de recontacter cette personne.

Durée de conservation : Combien de temps peut-on garder un email en B2B ?

La durée de conservation des données est l’un de ces grands principes du RGPD. Elle doit donc être respectée pour se mettre en conformité RGPD. De ce fait, il faut connaître les règles de la durée de conservation des données personnelles.

Les données personnelles ne peuvent être conservées que pour une durée limitée qui est fixée soit légalement (ex: lois, décrets, règlements), soit directement par l’autorité française de contrôle, la CNIL, via des recommandations, normes simplifiées, etc.

En B2B, il n’y a pas de limites de conservation de données. Donc vous pouvez utiliser une adresse mail sauf pour ceux qui ont demandé un Opt out. De même, les interprétations sur le sujet sont multiples. On peut lire que la durée de conservation est de trois ans. Toutefois, l’utilisation d’adresse mail B2B étant libre et sans consentement préalable, cette durée devient caduque et peut se renouveler.

RGPD emailing : Est-il possible d’envoyer un mail à n’importe qui ?

Pour envoyer un mailing RGPD conforme de prospection commerciale, vous devez vous assurer que vous vous adressez à une personne qui a un lien avec votre activité. Donc vous pouvez envoyer un message de prospection uniquement à des clients potentiels. Il est important de bien cibler vos campagnes de prospection commerciale afin d’avoir des réponses positives et respecter le RGPD.

Mailing RGPD - Mise ne place d'une campagne de prospection commerciale - Dipeeo

Utiliser une adresse mail générique pour faire de la prospection commerciale

Les adresses mails génériques ne contiennent aucune information personnelle car il n’y a aucune information qui permet d’identifier une personne. Ces adresses de type info@societe.fr, contact@societe.fr ou commande@societe.fr ne sont pas des données personnelles. 

Le RGPD ne s’appliquera qu’aux données personnelles. Vous pouvez donc utiliser les adresses mails génériques pour faire de la prospection commerciale. Cependant, si vous recevez une demande de désabonnement via une adresse mail générique, vous devez respecter la demande.

Utiliser une adresse mail générique sur l’espace public en B2B

Lorsqu’une adresse mail est disponible sur un espace public (sites web publics, réseaux sociaux comme LinkedIn ou Facebook, outils conforme RGPD comme Drop contact), il est tout à fait possible d’utiliser cette adresse mail. 

Le fait que cette adresse soit disponible sur un espace public la rend accessible. Donc l’adresse reste bien sûr une donnée personnelle mais publique. Chaque utilisateur peut l’avoir. Vous avez donc le droit de l’utiliser à des fins de prospection commerciale.

Acheter ou louer une adresse mail en B2B

En B2B, vous avez le droit d’acheter, de prêter ou de vendre une base de données de prospects. Énormément de personnes pensent qu’il est interdit d’acheter ou de vendre une adresse une adresse mail pour faire de la prospection commerciale et du mailing RGPD. Mais c’est une fausse croyance.

Juridiquement, il n’y a pas de consentement préalable ou d’Opt-in en B2B, ce qui veut dire que vous avez le droit de faire de la prospection tant que la base de données a été constituée légalement. Cependant, Il faut informer les prospects de la source de collecte des données personnelles à chaque mail.

Lire la vidéo sur La politique de confidentialité - Dipeeo

Mailing RGPD : Utilisation d’un mail en B2C

L’obligation du consentement préalable en B2C

En B2C, le consentement préalable est obligatoire, mais seulement pour les SMS et les emails. Vous devez recueillir l’accord préalable d’un prospect pour lui envoyer un mail de prospection commerciale. Il est recommandé de mettre en place une case à cocher, par exemple, sur un site web qui stipule : « J’accepte que mes informations soient utilisées pour de la prospection commerciale ». Ce consentement doit être libre, spécifique, éclairé et univoque selon la CNIL .

Ce qui signifie que pour le téléphone, qu’on soit en B2B ou en B2C, il n’y a pas d’Opt-in. Vous pouvez donc contacter toutes les personnes que vous souhaitez prospecter sauf si ces personnes sont inscrites sur Bloctel. Concernant le courrier (publicité par voie postale), il n’y a pas d’Opt-in. Vous pouvez envoyer des courriers aux personnes que vous souhaitez prospecter.

Cependant, vous avez le droit d’utiliser l’adresse mail d’une personne si elle est déjà cliente de votre entreprise ou que vous proposez des produits ou des services similaires de votre entreprise.

Vous devez informer vos prospects en B2C !

Que vous soyez en B2B ou en B2B, vous devez informer vos prospects. Comme nous l’avons vu précédemment, vous devez informer les prospects de l’utilisation et du traitement de leurs données personnelles. Il est important de mentionner pourquoi le prospect reçoit votre mail de prospection commerciale.

Vous trouverez ci-dessus un exemple d’information de vos prospects en B2C :

”  Vous recevez cette offre car vous avez accepté, en magasin ou en ligne, de recevoir des informations personnalisées de “société A” par email. “société A” est le responsable de ce traitement. Vous pouvez à tout moment, choisir d’être retiré définitivement de nos listes de diffusion. Contactez-nous sur contact@sociétéA.com pour exercer votre droit d’accès, de rectification, de portabilité, d’effacement, de limitation du traitement et d’opposition au traitement de vos données personnelles. Pour plus d’informations sur la manière dont vos données sont collectées, vous pouvez consulter notre politique de confidentialité. “

Vous devez informer les prospects de la source des données personnelles en B2C

Pour lancer correctement votre campagne d’emailing de prospection commerciale et faire du mailing RGPD conforme, il est nécessaire de mentionner la source des données personnelles en B2C. Il est plus facile de le faire en B2C car si vous envoyez un mail, cela signifie que votre prospect a bien coché une case en amant qui vous autorise à lui envoyer ce message.

Vous devez garder une trace de cet accord. Vous avez l’obligation d’avoir une preuve qui montre qu’un prospect a bien coché une case qui mentionne qu’elle vous autorise à lui envoyer des offres commerciales. Il est possible qu’un prospect vous demande cette preuve ou que la CNIL le fasse en cas de contrôle. Vous devez donc être capable de justifier votre message de prospection.

Mise en place d’un droit de désabonnement en B2C

Pour utiliser un mail et lancer une campagne de prospection commerciale, il faut permettre à ses prospects de se désabonner. Il existe plusieurs moyens de se désabonner lorsque vous recevez un email de prospection commerciale : Bouton de désabonnement, demande aux prospects d’envoyer “ STOP “ sur une boite spécifique pour ne plus recevoir de message.

Lorsqu’un prospect demande un désabonnement ou encore un opt out, vous devez supprimer toutes les données personnelles de ce prospect et ne garder que les informations qui vont vous permettre de garder une trace de ce désabonnement. C’est une preuve qui confirme que vous avez bien traité la demande. Cela permet également d’éviter de recontacter cette personne.

Mailing RGPD - Mise ne place d'une campagne de prospection commerciale - Dipeeo

La durée de conservation d’une adresse mail en B2C

La durée de conservation des données personnelles en B2C est de 3 ans à compter du dernier contact. Après ce délai, vous n’avez plus l’autorisation d’utiliser l’adresse mail de ce prospect. À chaque fois que vous contactez une personne par mail, ce délai se remet à zéro et vous pouvez le contacter pendant 3 ans.

Concernant les personnes pour lesquelles la durée de conservation arrive à échéance, vous pouvez envoyer un mail aux prospects concernés pour leur demander s’ils acceptent que leurs données soient encore utilisées et traitées. Si oui, vous pourrez utiliser leurs adresses mails.

Vous pouvez consulter notre article sur les durées de conservation qui s’appliquent aux domaines des ressources humaines, du marketing, de la prospection commerciale, du marketing, de la comptabilité, etc. (Tableau durée de conservation des données personnelles)

Utiliser une adresse mail disponible sur l’espace public en B2C

Contrairement au B2B, vous n’avez pas le droit de collecter une adresse mail sur les sites publics, les réseaux sociaux ou grâce aux outils autorisés. Vous devez obligatoirement avoir le consentement d’un prospect pour utiliser son adresse mail et lui envoyer un courrier électronique de prospection commerciale.

Acheter ou vendre une adresse mail en B2C

On peut faire de l’achat de base de données de prospects en B2C mais cela nécessite une condition : Il faut faire attention à la personne qui vous vend la base de données de prospects.

En B2C, vous ne pouvez pas prospecter sans l’accord préalable (Opt-in). Ce qui signifie que si quelqu’un vous a envoyé une base, vous n’avez pas le droit de prospecter les personnes qui sont dans cette base de données. En effet, ces personnes ne vous connaissent pas. MAIS il y a une exception !

Si ces personnes ont donné leurs accords par l’intermédiaire d’une case à cocher qui donne l’autorisation d’envoyer les informations personnelles à des partenaires ou à des tiers, il n’y a pas de problème. La personne qui vous a vendu la base doit donc avoir recueilli le consentement préalable de tous les prospects contenus dans cette base et doit pouvoir le prouver.

Elle doit également s’engager à respecter le RGPD et de démontrer que ses sources de données sont conformes au RGPD. Quand vous faites de l’acquisition de base de données, vous devez vous assurer que celui qui vous a vendu la base de données respecte le RGPD et que la source de la base de données est conforme aux RGPD.

Prêt de base de données et partenariat en B2C

En B2C, il est possible de faire un prêt de base de données de prospects au même titre que la vente. Vous devez, pour cela, obtenir le consentement préalable des prospects. Cependant, attention à l’éthique : En B2C, les gens n’acceptent plus de recevoir un message ou un email de prospection sans leur consentement, et ils ne comprennent pas et sont mécontents.

Par ailleurs, en B2C, vous avez le droit de faire une communication commune ou un événement comme un webinar.

Mailing RGPD - Mise ne place d'une campagne de prospection commerciale - Dipeeo

Faire valoir les droits de vos prospects en B2B et en B2C

Tous les utilisateurs ont des droits spécifiques qu’ils peuvent utiliser à tout moment et gratuitement afin de contrôler l’usage de leurs données personnelles. Ces droits sont octroyés par la réglementation applicable en matière de protection des données.

Voici les droits dont dispose une personne lorsque vous faites du mailing RGPD :

Droit d’accès et de copie des données personnelles :

Chaque utilisateur a le droit de demander l’information de tous les traitements de ses données personnelles dès lors que cette demande n’est pas en contradiction avec le secret des affaires, la confidentialité, ou encore le secret des correspondances.

Selon la CNIL, Voici tous les éléments qui doivent être fournis à un utilisateur lorsqu’il fait une demande de droit d’accès

Droit de rectification des données personnelles :

Chaque utilisateur peut rectifier, compléter, actualiser, verrouiller ou effacer ses données personnelles qui seraient erronées, obsolètes ou incomplètes.

Droit de s’opposer aux traitements :

Droit de s’opposer aux traitements des données personnelles mis en œuvre à des fins de prospection commerciale : Chaque utilisateur a le droit de se désabonner d’une campagne de prospection commerciale (Opt-out).

Droit de demander l’effacement :

Droit de demander l’effacement (“droit à l’oubli”) des données personnelles qui ne seraient pas essentielles au bon fonctionnement des services d’une structure.

Droit à la limitation des données personnelles :

Droit à la limitation des données personnelles qui permet de photographier l’utilisation des données en cas de contestation sur la légitimité d’un traitement.

Droit à la portabilité des données :

Droit à la portabilité des données qui permet de récupérer une partie des données personnelles afin de les stocker ou les transmettre facilement d’un système d’information à un autre.

Droit de donner des directives sur le sort des données :

Droit de donner des directives sur le sort des données en cas de décès, soit par un intermédiaire, soit l’intermédiaire d’un tiers de confiance ou d’un ayant-droit.

Pour que les utilisateurs puissent faire valoir leurs droits, il faut mettre en place par exemple une adresse mail sur laquelle ils peuvent envoyer leurs demandes.       

Mailing RGPD - Mise ne place d'une campagne de prospection commerciale - Dipeeo

Mailing RGPD : Vous devez utiliser des outils conformes au RGPD

Une campagne d’emailing conforme au RGPD nécessite des outils conformes au RGPD. Contrôler ses prestataires techniques fait partie des grands principes du RGPD. Vous devez vous assurer que vos prestataires soient conformes au RGPD. C’est votre responsabilité !

Un prestataire technique, c’est une personne, une structure ou un outil qui traitent des données pour vous. Le contrôle de vos prestataires va réduire grandement les risques d’une violation de données.

Voici une liste d’outil conforme RGPD pour lancer votre première campagne d’email :

✨ Tips pour savoir si un outil est conforme RGPD ?✨

Si vous avez un outil de télétravail qui n’a pas de délégué la protection des données (DPO), cela signifie qu’il est fort probable que l’outil ne soit pas conforme RGPD.

La CNIL met en ligne la liste des DPO. Vous pouvez aller donc vérifier sur ce fichier si l’outil a un DPO. Si le DPO de l’outil ne figure pas dans cette liste, vous pouvez vous questionner sur la conformité RGPD de l’outil.

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Lire la vidéo sur Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.