La CNIL a publié un guide complet qui clarifie comme beaucoup l'espéraient les règles qui encadrent le démarchage et la prospection, dans le détail les e-mails et SMS commerciaux envoyés aux prospects et clients.
La règle en matière de démarchage commercial en France, c'est qu'il n'est pas question d'envoyer un e-mail ou un SMS promotionnel à quelqu'un sans son accord préalable… ou presque. Dans un guide publié cette semaine, la Commission nationale de l'informatique et des libertés (CNIL) a rappelé que les règles varient selon la nature du message. Un courrier électronique publicitaire, un simple récapitulatif de commande ou un conseil d'utilisation n'obéissent pas aux mêmes obligations légales. Savoir dans quelle case ranger son message, c'est là que beaucoup d'entreprises trébuchent.
La CNIL fixe des règles strictes pour les e-mails et SMS promotionnels
En matière de prospection commerciale par courrier électronique, le principe est que sans consentement préalable, il n'y a pas d'envoi toléré. Avant d'adresser le moindre e-mail ou SMS promotionnel à un particulier, l'entreprise doit avoir obtenu son accord « libre, spécifique et éclairé ». L'article L.34-5 du code des postes et des communications électroniques prévoit cela, et il ne laisse pas vraiment de place au doute.
Une exception existe toutefois, mais elle est strictement encadrée. Si la personne est déjà cliente, l'entreprise peut lui adresser, sans redemander son accord, des offres portant sur des produits ou services similaires à ceux déjà achetés, et uniquement ceux proposés par la même entreprise. La personne doit avoir été informée dès la collecte et pouvoir s'y opposer facilement. Autrement dit, les offres de partenaires nécessitent, elles, un consentement à part entière.
Entre professionnels, le régime est un peu plus souple. Le consentement préalable n'est pas systématiquement requis, à condition que le message soit en lien avec l'activité professionnelle du destinataire, que ce dernier soit informé de l'origine de ses données et de la finalité du message, et qu'il puisse s'y opposer simplement. Un cadre dérogatoire, certes, mais pas sans garde-fous.
Confirmation de commande, alerte de sécurité, newsletter : tous les e-mails ne se valent pas
Certains e-mails n'ont rien à voir avec de la publicité, puisqu'ils sont juste là pour faire tourner le service. On parle ici des messages directement liés à un service demandé ou à une transaction, comme la confirmation d'une commande, une alerte de compte, une réinitialisation de mot de passe ou une notification d'expédition. Ces messages, qu'on appelle « communications transactionnelles », sontd envoyés parce que vous avez vous-même déclenché une action. Pas besoin que vous ayez coché une case : votre contrat avec l'entreprise suffit à les justifier.
Il existe une autre catégorie de messages qui échappe également aux règles de la prospection. Il s'agit des communications dites relationnelles. Leur objectif n'est pas de vendre, mais d'accompagner, avec des conseils pour mieux utiliser un produit, des recommandations personnalisées et des alertes de sécurité sur votre compte. L'entreprise n'a pas besoin de votre consentement pour vous les envoyer, mais elle ne peut pas en abuser, car trop fréquents ou trop intrusifs, ces messages perdraient leur justification légale.
La CNIL revient tout de même sur un point souvent négligé. Un message peut sembler purement informatif tout en relevant de la prospection commerciale, si son vrai objectif est d'inciter le lecteur à consommer davantage ou à souscrire une offre. Une newsletter qui présente des articles, un e-mail de conseils qui glisse vers une offre d'abonnement... peu importe la forme, c'est l'intention qui compte. Et si un contenu commercial s'incruste dans un e-mail transactionnel ou relationnel, même de façon discrète, le message peut être requalifié. La frontière est mince, vous l'aurez compris, et un message mal qualifié peut basculer dans le régime de la prospection, avec toutes les obligations qui s'y attachent. La CNIL ne plaisante plus avec ces requalifications.
Données personnelles et conformité CNIL, les bonnes pratiques que les entreprises doivent appliquer
Chose intéressante à savoir pour toute entreprise qui collecte ou tente de collecter vos données, il faut que celle-ci vous dise clairement qui elle est, pourquoi elle récupère vos informations, et ce que vous pouvez faire pour les contrôler. Que vous souhaitiez consulter vos données, retirer votre consentement, ou demander leur suppression grâce au droit à l'effacement, ces droits doivent vous être expliqués de façon lisible, au moment même où vous renseignez vos informations. Ils n'ont pas à être enfouis en page 38 de conditions générales que personne ne lit.
Autre possibilité incontournable, la désinscription. La CNIL rappelle que se désinscrire doit être aussi simple que de s'inscrire. Il s'agit bien d'une obligation, pas d'une option. Concrètement, il ne faut pas qu'il y ait de cases pré-cochées à l'inscription, et on doit avoir un lien de désinscription bien visible, qui fonctionne vraiment. La CNIL va même plus loin en ce qu'elle recommande aux entreprises de tenir une liste interne des personnes qui ont demandé à ne plus être contactées, pour s'assurer qu'elles ne reçoivent plus jamais de sollicitations, même accidentellement.
La dernière exigence notable, et non des moindres, est que tout doit être tracé. Les entreprises doivent documenter leurs pratiques et conserver les preuves que le consentement a bien été recueilli. Les procédures internes, les prestataires d'envoi et les durées de conservation des données doivent l'être également. En cas de contrôle, les bonnes intentions ne pèsent pas lourd face au RGPD et ses amendes. Ce qui compte, c'est ce que l'entreprise est capable de prouver, pas forcément ce qu'elle affirme.
