RGPD: Les e-mails de consentement sont-ils indispensables?
Les entreprises bombardent actuellement les boîtes mail de leurs contacts de messages leur demandant leur consentement pour continuer de communiquer avec eux de manière conforme au RGPD. Est-ce vraiment nécessaire?
Il n’est pas facile ces derniers jours de joindre un avocat spécialisé dans le droit numérique. Alors que le Règlement européen sur la protection des données entre en vigueur, nombre d’entreprises se dépêchent d’entrer en conformité. «Il y a un vent de panique, constate Nicolas Capt du cabinet Capt & Wyss. Beaucoup d’entreprises souhaiteraient que tout soit prêt, alors que le 25 mai n’a rien d’une date couperet, comme l’a souligné récemment la Présidente de la CNIL. L’essentiel étant d’avoir démarré un plan de mise en conformité». Un sentiment partagé par son confrère Sylvain Métille de l’étude HDC, qui explique être pressé par des clients demandant des rendez-vous de toute urgence.
Tempête d’e-mails réclamant un opt-in
Manifestation de ce vent de panique, les boîtes mail sont submergées ces derniers temps de messages d’entreprises sollicitant notre consentement pour continuer à nous envoyer leur courriels. J’en ai personnellement reçu une trentaine en une semaine et je n’ai donné mon accord qu’à une poignée d’entre eux, profitant de l’aubaine pour alléger quelque peu ma boîte de réception.
Une situation problématique pour les entreprises, qui peuvent voir leur base de contacts marketing se réduire comme peau de chagrin. Sandrine Szabo, responsable de l’agence digitale Netinfluence, peut en témoigner. Profitant du RGPD pour faire le tri dans sa base de données, elle a envoyé un message à ses 2’800 contacts. Résultat, seul 67 destinataires ont fait un opt-in actif l’autorisant à continuer de leur envoyer des informations.
Le consentement est-il obligatoire?
De fait, les entreprises n’envoient pas toutes les mêmes messages. Alors que certaines sociétés réclament le simple ou double consentement explicite de leurs contacts, d’autres se contentent d’indiquer où et comment les destinataires peuvent désormais gérer leurs données personnelles conformément au RGPD. Nous avons donc posé la question à Nicolas Capt et Sylvain Métille, tous deux experts dans le domaine, de savoir si l’opt-in est vraiment nécessaire.
Pas toujours répondent-ils, car les entreprises disposent d’autres méthodes que le consentement pour légitimer leurs communications. Comme des obligations légales, des questions vitales ou l’intérêt public. Mais aussi lorsqu’il existe un intérêt légitime, une notion un peu vague, mais qui pourrait justifier qu’une entreprise communique à ses clients au sujet des produits qu’ils ont achetés ou à des contacts avec lesquels elle interagit régulièrement.
Dans les autres cas, l’entreprise n’a d’autre choix que de passer par la case consentement. Soit via un nouvel opt-in, soit en s’appuyant sur un opt-in obtenu précédemment, conforme à la règlementation, et qu’elle peut prouver. Mais le diable est dans les détails: si l’entreprise recourt à l’opt-in, elle ne pourra pas ensuite expliquer qu’elle communique sur la base de son intérêt légitime - c’est soit l’un, soit l’autre.
Différencier les contacts
Dans la réalité, les contacts d’une entreprise proviennent souvent de sources très diverses: des clients, des contacts achetés à un intermédiaire, des utilisateurs s’étant inscrits à une newsletter en ligne, des prospects ayant remis leur carte de visite lors d’un événement ou encore des profils collectés sur les réseaux sociaux.
Dès lors, deux choix s’offrent aux entreprises. Première option, envoyer un message d’opt-in à l’ensemble de leurs contacts. Avantage: la solution est plus simple et la base de contacts sera purgée et propre. Désavantage: les entreprises risquent de perdre ainsi le droit de communiquer avec une grande partie des destinataires et ne pourront plus justifier d’envoi d’une autre façon.
Deuxième option: trier les contacts en trois groupes. Un groupe avec les contacts pour lesquels l’entreprise peut justifier d’un intérêt légitime de communiquer, un groupe avec les contacts ayant déjà fait un opt-in conforme, et un dernier groupe réunissant tous les autres contacts auxquels elle enverra un message d’opt-in.