1. Accueil
  2. Actualités
  3. L’impact du RGPD sur l'e-mailing

L’impact du RGPD sur l'e-mailing

À moins de trois mois de l’entrée en vigueur du RGPD, bon nombre d’entreprises ont entamé les démarches nécessaires à leur mise en conformité, mais se posent encore de nombreuses questions.

À cet égard, beaucoup s’interrogent sur le point de savoir si elles peuvent continuer à envoyer des courriers commerciaux aux personnes reprises dans leur base de données.

Comme nous l’avons vu précédemment, détenir une base de données d’adresses e-mails constitue bel et bien un traitement de données à caractère personnel, pour autant que les données reprises se rapportent à une personne physique identifiée ou identifiable. 

Par conséquent, la simple conservation d’adresses de courrier électronique reprenant le nom et prénom d’une personne constitue un traitement de données à caractère personnel.

Pour être conforme au RGPD, l'utilisation de ces adresses devra notamment reposer sur un des six fondements juridiques prévus par le règlement.

Dès lors, afin de déterminer si une société peut se prévaloir d'un fondement juridique pour envoyer des courriers commerciaux aux personnes reprises dans sa base de données, il conviendra de distinguer deux hypothèses : les données sont-elles relatives à des clients de cette société ou, au contraire, ont-elles été obtenues auprès de tiers ? 

gdpr-impact-emailing_artikel

1. Données des clients

Dans le premier cas de figure, si les données ont été recueillies directement auprès de ses clients, la société ne devra pas systématiquement leur demander leur consentement afin de leur adresser des courriers commerciaux.

 

  • Pour ses propres produits/services

    En effet, dans cette hypothèse particulière, la société pourra se baser sur un autre fondement juridique que le consentement, à savoir les intérêts légitimes qu’elle poursuit.

    En envoyant un e-mail contenant une offre promotionnelle à ses clients récents, la société poursuit en effet un intérêt légitime, à savoir maintenir le contact avec ses clients. Cela ne sera toutefois le cas que si l’offre est relative à ses propres produits ou services, voire éventuellement aux produits ou services de ses filiales.

    Dans cette hypothèse, la personne qui a été récemment en relation commerciale avec une société s’attend au traitement de ses données par cette dernière à cette fin d’ « autopromotion », et n’est pas surprise.

 

  • Pour les produits/services d’un partenaire

    Par contre, si la publicité porte sur les services fournis par un partenaire commercial, avec lequel les destinataires des e-mails n’ont aucune relation, l’intérêt légitime ne pourra pas être invoqué.

    Dans cette hypothèse, la société devra obligatoirement obtenir le consentement préalable de ses clients avant de leur envoyer des offres relatives à des services partenaires. À défaut, le traitement de données ne sera pas licite.

    À cet égard, notons que le RGPD renforce les exigences relatives au consentement de la personne concernée, dans la mesure où celui-ci devra être libre, spécifique, éclairé et univoque. Pour ce faire, la demande de consentement devra être adressée en des termes compréhensibles et impliquer une démarche active de la personne concernée, ce qui exclut la pratique courante de collecter des consentements via une case pré-cochée et de manière générale, toute démarche par laquelle le consentement est supposé d’une absence de réaction.

 

  • Transparence, droit d’opposition ou de retirer son consentement.

    Dans les deux hypothèses, Il faudra également remplir l’obligation de transparence envers les destinataires de la mailing list, en leur communiquant notamment les finalités du traitement, son fondement juridique et leurs droits.

    De même, la personne concernée aura toujours le droit de s’opposer pour l’avenir au traitement de ses données pour ce type d’envoi.

    Si l’envoi est fondé sur l’intérêt légitime de la société, le destinataire pourra s’y opposer, tandis que s’il est fondé sur le consentement du destinataire, celui-ci pourra toujours le retirer.

2. Données recueillies auprès de tiers

Dans cette hypothèse, vous l’aurez compris, l’entreprise ne peut pas envoyer des courriels promotionnels en se basant sur son intérêt légitime, puisqu’elle n’a pas encore de relation contractuelle avec les destinataires.

Elle ne peut le faire que si l’entreprise qui lui transmet les adresses a elle-même obtenu le consentement des destinataires pour que de tels e-mails lui soient envoyés par un tiers… et que ce consentement répond aux conditions renforcées fixées par le RGPD !

Dans le cas contraire, les deux entreprises violeront le RGPD et pourront se voir imposer de lourdes sanctions.

3. Conclusions

Il convient donc de se méfier des adresses reçues ou achetées et d’effectuer un tri dans sa base de données existante.

Si certaines adresses pourront peut-être être régularisées, d’autres devront être effacées. 

En cas de doute, la prudence s’impose…

 

 

Pauline LIMBREE

pauline-limbree

Pauline LIMBREE est avocate au sein du cabinet d’avocat LEXING et du barreau de Liège. Elle a suivi le master complémentaire en Droit des Technologies de l’Information et de la Communication de l’Unamur.  À cette occasion, elle a écrit en mémoire traitant de la protection des données à caractère personnel dans le cadre du hacking, travail pour lequel elle a reçu le deuxième prix de l’Internet Student Paper Award, décerné par l’ISPA.

 

 

  995