Webinar “L’impact du RGPD sur vos campagnes emails”

Si vous souhaitez accéder au replay du webinar, suivez ce lien et connectez-vous à votre compte Webikeo.

Pour ceux qui n'ont pas eu la chance d'assister au webinar, une prochaine session est organisée le 15 mai 2018. Vous pouvez vous inscrire ici.

Impact du RGPD sur les envois en B2B :

A partir du moment où l’adresse email de votre prospect est une adresse pouvant être rattachée à une personne physique (prénom@entreprise.com), elle est considérée comme une donnée personnelle.

Cela ne veut pas dire que vous ne pouvez plus démarcher vos prospects ! A partir du moment où le message est en rapport avec la profession de la personne démarchée, vous n’avez aucunement besoin d’un opt-in (ou consentement préalable). Vous devez par contre respecter toutes les dispositions du RGPD: droit à l'information, désabonnement, protection des données ...

Personne physique ou morale :

Une donnée personnelle est une donnée relative à une personne physique identifiée ou pouvant être identifiée directement ou indirectement grâce à cette donnée. Le RGPD fait donc référence à une personne physique et non morale.

Champ d’application à la loi :

Toutes les entreprises qui ciblent le territoire européen :

  • B2B, B2C
  • Associations
  • Agences de création de site web
  • Sous-traitant (le sous-traitant est l’entité qui « processe » les données clientes d’une entreprise)
  • Plateformes de pétition
  • Une filiale US d'une holding basée en France si elle traite des données de citoyens européens. Etc.

Conservation des données :

Lorsque vous pouvez justifier la nécessité de conserver une donnée personnelle, vous êtes bien en conformité avec le RGPD.

Exemple :

  • Conserver le nom, prénom d’un client qui a passé une commande si elle est liée à une facture (le nom, prénom et potentiellement d’autres données qui figurent sur la facture).
  • Conserver uniquement l’adresse email d’un désinscrit pour s’assurer que la désinscription sera prise en compte ad vitam aeternam.

Rectification des données :

Vous devez donner la possibilité à vos utilisateurs de pouvoir modifier leurs données personnelles.

Exemple :

  • Modification de leurs informations personnelles directement depuis leur compte
  • Demande de modification via un formulaire de contact

Désinscription :

Un contact doit pouvoir avoir le choix de se désinscrire des différents envois que vous effectuez (newsletters, envois ciblés, etc.). Les emails purement transactionnels ne sont pas concernés puisqu’ils sont liés à une transaction (confirmation de commande, confirmation de pétition, etc.).

Blacklister vos contacts :

Vous pouvez conserver la donnée « adresse email » de vos contacts qui se désinscrivent de vos newsletters pour justifier de ne pas le réinscrire par la suite. 


Application de la loi :

La CNIL est l’entité responsable de faire appliquer ce règlement.

Puis-je continuer à communiquer à mes employés / franchisés / élèves, apprentis ?

En théorie, il vous faut effectuer une campagne de réengagement si vous ne pouvez pas justifier le consentement opt-in actif. Ceci-dit, il n’y a pas de raison pour que vos employés / franchisés / étudiants / apprentis se plaignent de vos envois à la CNIL ! 


Allègement pour TPEs / PMEs :

La nomination d’un Data Processing Officer n’est pas obligatoire, au même titre que la tenue d’un registre. Nous vous invitons à entrer en contact avec une entité juridique afin d’être conseillé pleinement sur l’impact global du RGPD sur votre entreprise. Les TPEs / PMEs sont contraintes aux mêmes règles d’opt-in que tout le monde. 



Qu’est-ce qu’une donnée personnelle ?

Toute donnée relative à une personne physique identifiée ou pouvant être identifiée directement ou indirectement grâce à cette donnée.

Exemple :

  • Nom, Prénom
  • Identifiant personnel
  • Photographie
  • Numéro de téléphone
  • Enregistrement vocal
  • Adresse IP

La raison sociale d’une entreprise n’est pas considérée comme une donnée personnelle. Les adresses email contact@ ou info@ ne peuvent pas être rattachées à une personne physique donc ne sont pas considérées comme des données personnelles.

Durée maximale de conservation des données personnelles :

8 ans pour le consentement (online & offline). 


Justificatif du consentement :

Vous devez pouvoir prouver le consentement. Un consentement écrit doit donc être archivé (avec la date du consentement).

Vous ne pouvez pas abonner vos prospects à votre newsletter s’ils vous ont uniquement donné leur carte de visite lors d’un salon. Il vous faut un consentement (et une preuve de ce consentement !) 


Nous vous recommandons de redemander le consentement de votre base actuelle si vous n'avez pas de preuve du consentement.

Vous pouvez créer vos formulaires d’inscription avec SendinBlue et le consentement sera stocké sur la plateforme SendinBlue.

Achat de base de données à des tiers :

Non, les contacts dans ces bases de données n’ont pas donné leur consentement pour recevoir des newsletters de votre entité. A moins que cela soit explicitement stipulé dans le formulaire d’inscription du partenaire (avec votre nom). 


Envoyer des recommandations de produits à ses clients :

S’ils ont exprimé leur consentement de recevoir des offres privilégiées / ciblées, oui. 


Rétroactivité du RGPD :

Oui, le RGPD est rétroactif, vous devez ainsi pouvoir justifier le consentement de vos bases de données existantes. Si ce n’est pas le cas, vous devrez effectuer des campagnes de réengagement pour capturer à nouveau l’inscription de vos contacts existants. Si vos contacts ne répondent pas à cette campagne de réengagement, vous pouvez les « blacklister ».

Mise à jour des CGV :

Le formulaire d'inscription doit contenir une mention explicite de l'opt-in et de l'utilisation des données qui sera effectuée. Une mention dans les CGV/CGU ne suffit pas.

Prenons l'exemple de Webikeo, avons-nous le droit de rajouter les participants de nos webinars à nos campagnes newsletters ?

Non, vous ne pouvez pas les inscrire à une liste de diffusion sans leur consentement. Vous pouvez cependant leur envoyer la présentation à la suite du webinar puisque cela fait partie du service rendu comme un email de confirmation de commande (Merci d’avoir commandé, voici un récap' de votre commande vs. Merci d’avoir participé, voici le support de la présentation).

Inciter vos visiteurs à s’inscrire à votre newsletter :

Oui, vous pouvez inciter les contacts à s'inscrire mais cela ne peut pas être une obligation. Par exemple, s'inscrire à la newsletter ne doit pas être obligatoire pour télécharger un livre blanc. 


Logs Automation / Cookies :

Vous devrez mettre à jour vos CGVs pour stipuler que vous suivez les visites de pages et données de navigation de vos visiteurs. En revanche, pour pouvoir leur envoyer des emails ciblés, vous devrez obtenir leur consentement en amont. 


Est-ce que l'envoi d'un email via serveur SMTP (Outlook ou 4xchange) tombe dans le cadre du RGDP ?

Non, si c’est votre boîte de messagerie interne. 


Pop-up et RGPD :

Le pop-up est légal s’il n’est pas obligatoire pour continuer à naviguer sur un site internet.

Zapier et SendinBlue :

Si vous utilisez Zapier pour synchroniser vos contacts d’une solution tierce à SendinBlue, vous devez vous assurer que votre solution tierce, Zapier et SendinBlue sont conformes au RGPD.

Nous vous conseillons de mettre en place une inscription double opt-in avec notre plateforme de Marketing Automation pour pouvoir stocker le consentement dans SendinBlue. 


SendinBlue et la fonctionnalité multi-utilisateur :

C’est une fonctionnalité qui va sortir très bientôt et vous permettra d’avoir plusieurs accès à un même compte avec des logins/mots de passe différents. La gestion des rôles est prévue dans un second temps.

Risques et amendes encourues :

En cas de non-respect de la réglementation, les entreprises pourront se voir infliger des amendes allant de 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Attestation de conformité au RGPD par SendinBlue :

Le RGPD n’est pas une certification donc il n’y a pas d’attestation officielle. Cependant, nous mettons à votre disposition notre Data Processing Agreement (DPA) qui justifie de notre conformité au RGPD. 


Gestion multi-listes sur SendinBlue

Vous pouvez avoir plusieurs listes de diffusion en fonction des préférences de vos utilisateurs (newsletters hebdomadaires, newsletters mensuelles, offres ciblées, etc.) et gérer la désinscription par liste de diffusion.