RGPD & MARKETING : OPT-IN, OPT-OUT, DOUBLE OPT-IN : QUAND LES UTILISER ?

Par Guillaume PERS
Consultant Juriste RGPD

L’entrée en application du RGPD (règlement général pour la protection des données), le 25 mai 2018, a été l’occasion pour de nombreuses sociétés de revoir leurs pratiques en termes de campagnes marketing et notamment de gestion des campagnes de mailing.

Avec cet engouement créé autour du RGPD, le respect du choix de la personne de recevoir ou non la newsletter de tel organisme, les « bons plans » ou les « offres personnalisées » de son enseigne préférée ont pris une plus grande importance.

Il est tout de même important de préciser que le RGPD a finalement peu influencé le cadre juridique de la prospection électronique, et que les règles posées par la directive e-privacy, principalement transposées à l’article L34-5 du code des postes et des communications électroniques, sont actuellement en cours de discussion au niveau européen.

Quelle pratique est la plus adaptée à chaque campagne marketing ? Le recueil du consentement est-il toujours obligatoire ? Allez-vous utiliser l’opt-in ? L’opt-out ? Le double opt-in ?

L’Opt-in

En matière de prospection électronique, l’opt-in est la pratique selon laquelle la personne concernée exerce une action explicite pour signaler qu’elle souhaite intégrer un programme marketing (abonnement à une newsletter, à un programme de fidélité). Cette action explicite prend généralement la forme d’une case à cocher à la suite d’un formulaire, ou d’un mail.

Juridiquement, lorsqu’un organisme met en place un mécanisme d’opt-in, le traitement de données se base sur le fondement légal du consentement de la personne concernée. Pour que ce consentement soit valable il doit être :

  • Libre : le choix doit être réel. Si la prestation est subordonnée au traitement des données, le consentement n’est alors pas donné librement. La personne ne doit pas être obligée de consentir à un traitement qui n’est pas nécessaire à l’exécution de la prestation.
  • Spécifique : un consentement est requis pour chaque objectif (finalité) de la collecte des données. La personne doit pouvoir accepter par exemple que ses données soient traitées dans le cadre de l’envoi de la newsletter et refuser qu’elles soient transférées à des partenaires.
  • Eclairé : le consentement est valable seulement si la personne a été informée de la façon dont vont être traitées ses données, conformément aux articles 12 à 14 du RGPD (par qui seront-elles traitées, pour quel objectif, quelles seront les données utilisées, combien de temps elles pourront être utilisées, à qui elles seront transmises, ainsi que de l’existence de la possibilité de retirer son consentement.)
  • Univoque : le consentement doit être donné par un acte positif clair, ce qui exclue les pratiques telles que les cases pré-cochées, l’inaction valant consentement ou les phrases ambigües
  • Rétractable à tout moment, sans justification à apporter et de façon simple et équivalente à celle utilisée pour le recueil du consentement. Ainsi, si le consentement a été donné en ligne, il doit pouvoir être retiré en ligne.

Le RGPD impose désormais aux organismes d’être en capacité de prouver la réalité de ce consentement et sa validité.

Le consentement via opt-in est clairement devenu un standard en matière de traitement de données personnelles et prospection électronique, qu’il s’agisse d’une domaine BtoB ou BtoC, l’opt-in est un moyen juridiquement sûr et relativement simple à mettre en œuvre.

Le Double Opt-in

Bien que l’opt-in soit un moyen efficace et légal pour recueillir le consentement des personnes, la pratique du double opt-in connait un essor considérable.

Le double opt-in consiste à donner une première fois son consentement, comme pour l’opt-in simple, via une case à cocher à la fin d’un formulaire par exemple. Ce consentement devra ensuite être renouvelé, le plus souvent en cliquant sur un lien présent dans un e-mail de confirmation.

Le recueil du consentement via double opt-in est soumis aux mêmes conditions de validité que pour l’opt-in simple.

Cette pratique a plusieurs intérêts. Elle permet :

  • D’une part, de s’assurer que l’adresse renseignée par la personne est valide et que cette personne est réellement intéressée par le contenu ou l’offre proposée (puisqu’elle aura pris la peine de franchir l’étape supplémentaire que représente la validation du consentement).
  • D’autre part, de répondre à l’obligation de traçabilité du consentement du RGPD. En effet,l’envoi du mail et le clic de confirmation peuvent constituer des éléments permettant de tracer le consentement de la personne.

Il est important de préciser qu’aujourd’hui ni le RGPD ni la législation Française n’évoquent l’obligation de mise en place du double opt-in.

La pratique du double opt-in est donc un choix avant tout stratégique et éthique, visant à construire des listes moins importantes, mais dont la qualité et le taux d’engagement sera plus conséquent.

L’Opt-out :

L’opt-out est le principe selon lequel la personne est automatiquement abonnée au programme commercial ou à une liste de diffusion. Si elle ne souhaite pas y participer, elle devra en faire la demande ou cocher une case précisant qu’elle ne souhaite pas consentir à l’utilisation de ses données.

Contrairement à l’idée répandue, la pratique de l’opt-out n’est pas strictement interdite, mais elle est considérablement encadrée.Juridiquement, le traitement ne sera pas basé sur le consentement de la personne mais sur l’intérêt légitime de l’entreprise.

Conformément à la législation française et aux recommandations de la CNIL, l’opt-out peut être utilisé pour :

  • Une communication relative à des produits ou services analogues à ceux déjà fournis par l’entreprise, lorsque la personne a elle-même communiquée ses données de contact.
  • Un démarchage professionnel, lorsque ce démarchage est en relation avec la profession de la personne contactée.

La personne contactée doit tout de même être informée au moment de la collecte de ses données du fait que ces dernières pourront être utilisées à des fins de prospection et de la possibilité de s’y opposer. Cette possibilité d’opposition doit se manifester dans chaque communication, par exemple via un lien permettant de se désinscrire de la liste de diffusion.

Sources :

https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000006465787&dateTexte=20090330

https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes


Actualité du Groupe

accueil Blog Actu-CIL