Lawyerz

24/05/18 à 09:10 - Mise à jour à 09:09

"L'excuse bidon du GDPR pour renouveler le consentement à l'envoi de newsletters"

Les demandes visant à renouveler le consentement pour l'envoi de newsletters fleurissent en ce moment. Toutefois, la raison invoquée - le GDPR - est un non-sens. Pire, cette pratique serait illégale en vertu des lois européennes actuelles. En réalité, les entreprises brandissent le GDPR comme une excuse bidon pour nettoyer leurs bases de données marketing qu'elles géraient avec négligence jusqu'à présent.

"L'excuse bidon du GDPR pour renouveler le consentement à l'envoi de newsletters"

© Getty Images/iStockphoto

Nous avons tous reçu au cours des dernières semaines des emails étranges de la part de certaines entreprises nous demandant de rafraîchir notre consentement pour recevoir des newsletters.

La raison invoquée ? Le GDPR.

Le Règlement général sur la protection des données (GDPR) vise à mieux protéger les données personnelles en Europe. Le GDPR - qui entre en application le 25 mai - est devenu un sujet de discussion très à la mode et la source de beaucoup de confusion.

Petit rappel des règles : l'envoi de newsletters à des particuliers par e-mail est interdit, sauf si vous avez obtenu leur consentement préalable. Cette règle générale est appelée "opt-in" et est largement comprise par les professionnels du marketing. Cependant, il y a une exception (appelée "soft opt-in") : vous n'êtes pas tenu d'obtenir le consentement préalable de vos clients existants si :

  • Vous avez obtenu leur email dans le cadre de la vente d'un service ou d'un produit (une demande d'information ne sera pas admissible - les clients potentiels ou prospects sont donc hors course).
  • Votre message marketing concerne un service ou un produit similaire (fourni par vous et non par une autre entreprise).
  • Vous avez donné la possibilité à vos clients de se désinscrire de votre emailing au moment où vous avez recueilli leur email et vous offrez un mécanisme de désinscription dans chaque email envoyé (par exemple via un lien "désabonnez-moi").
  • Vous pouvez démontrer que vos clients ne se sont pas désinscrits jusqu'ici.

L'exception du "soft-opt-in" découle de la Directive "ePrivacy" (et non du GDPR). Il n'est pas facile pour les entreprises d'en bénéficier, notamment au regard de la quatrième condition.

"Affaire Honda : le casse-tête exposé"

La tristement célèbre affaire Honda illustre bien le casse-tête de l'application pratique du "soft opt-in".

En 2017, l'autorité britannique de protection des données a infligé une amende de 13.000£ au constructeur automobile Honda. Pour quel motif ? Honda avait envoyé un email intitulé "Souhaiteriez-vous avoir des nouvelles de Honda ?" à 289.790 adresses email qui se trouvaient dans une base de données où aucune information n'avait été renseignée sur le fait de savoir si les utilisateurs s'étaient ou non désinscrits. Les responsables du marketing chez Honda avaient alors supposément essayé de nettoyer leur base de données en invitant leurs utilisateurs à (re)donner leur consentement.

Dans cette affaire, l'autorité britannique de protection des données avait jugé que :

  • Un email demandant aux utilisateurs de reconfirmer leurs préférences marketing constitue en soi un message marketing.
  • Si vous ne savez pas si vos clients se sont désinscrits, alors vous ne pouvez pas compter sur le "soft opt-in" pour envoyer un message marketing.

L'affaire Honda expose de manière flagrante le casse-tête des règles tirées de la directive ePrivacy en matière d'email marketing.

Vous ne pouvez pas envoyer d'emails marketing à des utilisateurs pour lesquels vous ne savez pas s'ils se sont désinscrits. Or un email demandant aux utilisateurs de reconfirmer leurs préférences marketing est par nature un message marketing. Vous voilà donc coincés.

"L'excuse bidon du GDPR"

Les entreprises vous disent toutefois que le GDPR changerait la donne. Du moins, c'est ce qu'elle prétendent.

Rappelez-vous que les règles d'emailing à des fins de marketing découlent de la directive ePrivacy. Or le GDPR ne modifie pas la directive ePrivacy (pas d'une virgule). En réalité, la désinformation autour du GDPR vient ici au service des entreprises qui ont mal géré leurs bases de données de marketing. Tirant parti du buzz, ces entreprises brandissent le GDPR comme un prétexte pour légitimer leur demande de renouvellement du consentement, espérant ainsi repartir d'une page blanche.

Recevoir un e-mail du type "Souhaiteriez-vous avoir de nos nouvelles ?" peut paraître rassurant. En réalité, c'est un mauvais signe. Et il est à ce titre appréciable de constater le nombre d'entreprises qui ont formulé ce type de demandes maladroites au cours de ces dernières semaines.

L'excuse du GDPR n'est pas seulement bidon. L'envoi d'un email de confirmation d'envoi de newsletters est également contraire aux règles européennes actuelles, si l'on suppose que l'entreprise ne savait pas que les utilisateurs s'étaient peut-être déjà désinscrits.

Ce non-sens est en grande partie lié à la désinformation autour du GDPR. En Belgique et partout en Europe, nombreux sont ces alarmistes qui quotidiennement utilisent le GDPR comme une arme d'interdiction massive : "le GDPR interdit ceci", "le GDPR impose cela", ... Au lieu de céder à ces cris de sirène, les entreprises devraient examiner attentivement ce que le GDPR prévoit et concentrer leurs efforts sur la mise en oeuvre des aspects les plus pertinents des nouvelles règles en matière de protection des données.

Par Adrien van den Branden

Avocat au Barreau de Bruxelles (CMS DeBacker et Incubateur.legal)

L'auteur s'exprime à titre personnel

Nos partenaires