Si tu as une entreprise au Québec et que tu utilises le marketing par courriel pour rejoindre tes clients, tu sais déjà que tu dois te conformer à la loi canadienne antipourriel qui te demande trois choses : obtenir le consentement clair d’une personne, fournir un lien de désabonnement dans chaque courriel et identifier ton entreprise, nom et coordonnées.
Pourtant, beaucoup d’entreprises québécoises doivent également se conformer au Règlement général sur la protection des données, une loi de l’Union européenne. Mais pourquoi si ce n’est même pas notre pays? C’est ce que je t’explique dans cet article simplifié.
Partie 1 : C’est quoi le RGPD et dois-je m’y conformer?
Qu’est-ce que le RGPD?
Il s’agit d’une législation européenne en matière de protection des données personnelles pour les résidents de l’ensemble des pays de l’Union européenne.
Cette loi vient s’ajouter à la charte des droits fondamentaux de l’UE, qui existe depuis très longtemps. Cette loi fonctionne dans d’autres domaines que le marketing par courriel, comme un cabinet de médecin et les données de ses patients, mais nous nous en tiendrons aux courriels pour l’article.
Tu trouveras tous les textes de loi sur le site de la Commission européenne.
Le terme anglais, que tu as sans doute entendu est le GDPR, General Data Protection Regulation.
Le RGPD s’applique quand :
1. Une organisation ou entreprise traite des données personnelles et sensibles
2. Un résident de l’UE est directement touché par la collecte de ces données personnelles
3. Et ce, quelque soit la nature de l’organisation : entreprise publique ou privée, OBNL, ONG, association x, fondation y, etc.
Qu’est-ce qui est considéré comme une donnée personnelle et sensible?
Voici la liste des données à caractère personnel :
/ Les données sur l’origine raciale, ethnique, les opinions politiques, les convictions religieuses ou philosophiques;
/ L’appartenance syndicale;
/ Les données génétiques et biométriques;
/ Les données concernant la santé, la vie sexuelle ou l’orientation sexuelle.
Pense également que le prénom, nom, date de naissance, adresse, et courriel sont des informations personnelles sensibles pour tes abonnés.
Est-ce que mon entreprise est concernée?
Si tu collectes des données personnelles et sensibles sur des gens habitant sur le territoire de l’Union européenne, la réponse est oui, tu dois t’y conformer.
Si tu as des clients ou des fans en Europe et que tu leur partages du contenu dans une optique commerciale, tu es concernée.
Est-ce que je dois faire la même chose au Québec?
Je vais diviser la réponse en deux parties.
Premièrement, si tu mets en place ce qu’il faut pour respecter le RGPD, tu auras du mal à séparer la collecte des données selon les pays, ce serait plus compliqué que de tout uniformiser.
Deuxièmement, cette loi est très logique et garantit à tes abonnés qu’ils sont en sécurité entre tes mains, alors pourquoi ne pas permettre ce même sentiment en s’assurant du consentement de tes abonnés québécois ?
J’en reparlerai dans un autre article, mais peu importe d’où vient ton abonné, s’il se désabonne en cochant « je ne me suis jamais abonné » ou « ceci est du spam », cela peut faire très mal à ton infolettre, alors vaut mieux s’assurer que tes abonnés ont bien consenti à recevoir ton MARKETING par courriel.
Partie 2 : À quoi dois-je me conformer?
Il y a encore quelques points TRÈS importants à connaître qui facilitera ta compréhension de ce que tu dois faire et pourquoi…
Notion d’informations
Tu as l’obligation d’informer chaque nouvel abonné des points suivants :
1. L’auteur de la collecte
Tu dois, tout comme dans notre loi canadienne, présenter ton entreprise, nom et coordonnées. Tu dois également mentionner avec quel sous-traitant de collecte de données tu fais affaire, c’est-à-dire nommer la plateforme de marketing par courriel que tu utilises.
2. La finalité des données
La personne qui s’abonne à ton infolettre doit comprendre quelle est la finalité de la collecte de ses données, ce qui signifie, LE POURQUOI. Pourquoi lui demandes-tu son nom, prénom et adresse courriel? Que vas-tu faire de ces informations? En marketing par courriel, la réponse est souvent simple: c’est celle d’envoyer du contenu marketing à un public cible intéressé. Il est donc important de limiter ta collecte de données, certaines grandes compagnies demandent la date de naissance à leurs nouveaux abonnés, bien sûr, cela leur donne de belles informations marketing sur leurs clients, mais ils envoient généralement des rabais à l’anniversaire de chaque client, ce qui rend la question légitime aux yeux de l’abonné.
3. La durée de conservation des données
Tu dois expliquer clairement combien de temps seront conservées les données que tu récoltes. Tu dois fixer la durée selon la finalité d’utilisation; dès que la finalité n’est plus la même qu’au moment de la récolte, tu dois supprimer les données recueillies ou reconfirmer le consentement de tes abonnés (sans quoi elles devront être supprimées).
Par exemple, si tu as récolté 3000 adresses courriel au cours des 2 dernières années grâce à ton infolettre d’entreprise sur le jardinage et que tu cesses tes activités dans le domaine, tu ne peux pas transférer ta liste pour ta nouvelle entreprise de vêtements fabriqués à la main, ta finalité de vente n’étant plus la même. De même, si les gens se sont inscrits pour tes conseils de jardinage et que tu ajoutes un volet à ton entreprise et décide de leur envoyer du contenu sur le régime crudivore – tes abonnés ne t’ont pas donné leurs informations en connaissance de cause si tu modifies tes sujets.
Tu n’es pas obligé de donner une date de conservation précise, mais tu dois au moins indiquer que tu conserveras les données tant et aussi longtemps que le but (finalité) de chaque infolettre sera le même.
Notion de droits
Tu dois aussi être en mesure de respecter les droits fondamentaux suivants :
4. Les droits de l’utilisateur
Il existe quatre grands droits en protection des données :
Droits d’accès : Tes abonnés ont le droit de te demander quelles informations tu possèdes sur eux et comment tu en fais l’utilisation.
Droits d’opposition : Tous tes abonnés ont le droit de demander à ne plus recevoir d’information ou contenu marketing de ta part.
Droits de suppression : Ils ont également le droit de te demander de supprimer toutes les informations que tu as sur eux, et ainsi, de les retirer de tes listes de diffusion.
Droits à la portabilité : Tout abonné peut te demander un fichier contenant toutes les données qui lui sont reliées dans un format « portable », ce qui veut dire utilisable par eux ou une tierce compagnie. En marketing par courriel, si tu ne possèdes que nom, prénom, courriel, tu n’as pas grand-chose à craindre. Dans un autre domaine par exemple, cela signifie qu’une personne pourrait demander l’accès à son dossier chez son psychologue et choisir de poursuivre avec un autre médecin dans une firme concurrente.
Notion de collecte
En tant que collecteur de données, tu dois également :
5. Tenir un registre de traitement de données
C’est l’une des raisons pourquoi tu utilises un logiciel de marketing par courriel.
6. Être en mesure de répondre aux sollicitations de vos abonnés sur leurs données
Tu dois pouvoir leur dire ce que tu as et ce que tu connais d’eux.
7. Prévoir des causes de protection des données avec votre entreprise sous-traitante
C’est-à-dire les plateformes de logiciel de marketing par courriel, par exemple : quand tu as ouvert un compte et que tu as coché « je confirme avoir lu et j’accepte les termes d’utilisation », tes clauses de protections s’y trouvaient, c’est pourquoi tu dois faire affaire avec une plateforme reconnue en qui tu peux avoir confiance. Sache que les entreprises sous-traitantes sont tout aussi responsables des données personnelles que toi.
Notion de responsabilité
Au sens de la loi, nous ne sommes pas propriétaires de nos listes, puisque ces informations ne nous appartiennent pas et nous n’avons pas tous les droits sur celles-ci (les vendre ou les rendre publics par exemple). Nous sommes légalement dépositaires de ces données, nous en sommes les gardiens, c’est comme si ton abonné te disais « tiens, peux-tu me tenir ça s’il te plaît ». Tu es propriétaire au sens où c’est ta liste de diffusion, mais son contenu ne t’est que prêté. Par contre, comme tu es le gardien de ton temple marketing, en cas de piratage des données, tu seras tenu responsable, tout comme le logiciel qui sous-traite tes données si elles sont piratées depuis celui-ci.
Notion de consentement
Pour pouvoir considérer qu’un abonné t’a donné son consentement éclairé, tu dois pouvoir CONFIRMER qu’il a compris qui est l’auteur de la collecte et comment cela s’effectuera et qu’il a accepté ta finalité et ta durée de conservation des données.
Pin l’article pour référence future!
Partie 3 : Comment m’y conformer? Ou comment obtenir un consentement éclairé?
Maintenant que tu comprends qu’est-ce que le RGPD, voici comment conformer tes boîtes de capture de courriel afin d’obtenir un consentement éclairé de la part de chacun de tes nouveaux abonnés.
Les deux méthodes les plus simples sont les suivantes. Note toutefois qu’il est très important dans les deux cas que ton abonné puisse COCHER une case qui confirme la lecture des conditions. Un texte simple ne prouvera pas que la personne a lu tes termes. En plus, chaque case cochée sera répertoriée par ton logiciel de marketing par courriel, ce qui te servira à prouver le consentement en cas de besoin.
1. Indiquer directement sous chaque boîte de capture
Sous chacune de tes boîtes de capture, tu peux ajouter une case à cocher où il est inscrit ta finalité et durée de conservation, ainsi que la plateforme de marketing par courriel utilisée. Tu pourrais également ajouter une case à cocher suivi du lien « J’ai lu et j’accepte la politique de confidentialité ».
Évidemment, ce n’est pas la façon la plus intéressante puisque c’est moins joli sur ton site web, c’est encombrant et pas spontané du tout pour une capture de courriel rapide.
2. Mentionner dans le double opt-in
Tu peux aussi choisir ma méthode préférée, celle de demander le consentement lors de la réception du courriel de confirmation en double opt-in.
Un double opt-in, c’est lorsque qu’une personne s’inscrit à ton infolettre sur ton site web en remplissant rapidement son courriel, parfois prénom et nom et que le premier courriel reçu est en fait un message pour confirmer que la personne souhaite bel et bien s’abonner à ton infolettre à l’aide d’un lien à cliquer ou à cocher qui agit comme consentement.
Le double opt-in était déjà monnaie courante, puisqu’il éliminait le risque que des robots spammeurs s’abonnent à ton infolettre, alors rien de nouveau ici. Toutefois, tu peux rajouter tout le texte que tu souhaites dans ce courriel de confirmation.
Après avoir entré ses informations, ton nouvel abonné reçoit un courriel comme celui-ci :
C’est donc le bon moment pour expliquer à ton presque nouvel abonné comment tu utiliseras ses informations, où elles seront conservées et combien de temps. La personne sera beaucoup plus réceptive pour lire ce type de contenu par courriel que sur un long paragraphe dans une boîte de capture.
Attention!
Un simple bouton qui invite à s’abonner en ne mentionnant rien de plus et qui n’a pas de courriel de confirmation ou bien un bouton qui indique simplement « confirme ton abonnement » ne sont pas des méthodes de consentement acceptables. Un bouton qui indique « clique ici pour recevoir ton cadeau et t’abonner à l’infolettre » non plus, tout simplement parce que tu n’as rien précisé concernant tes intentions.
Voilà! Tu fais maintenant partie des entreprises web québécoises bien informées sur le Règlement général sur la protection des données de l’Union européenne. Il faut avouer que même si ces règlements ne s’appliquent pas aux affaires québécoises internes, une fois qu’on les comprend, elles sont très logiques et permettent à ton entreprise d’être transparente et honnête envers ses clients.