De nombreuses personnes sont désorientées lorsqu'il s'agit de marketing et de législation européenne en matière de protection de la vie privée. Nous ne les blâmons pas, car les règles sont on ne peut plus compliquées.
En effet, le marketing direct relève de deux législations différentes : le GDPR et l'ancienne directive "vie privée et communications électroniques". Il ne suffit pas d'examiner chaque loi isolément : il faut comprendre comment elles interagissent.
Pour compliquer encore les choses, les États membres de l'UE ont mis en œuvre la directive de différentes manières, notamment en ce qui concerne les communications interentreprises (B2B). Par conséquent, certaines règles changent d'un pays à l'autre.
Ce blog ne peut qu'effleurer la question : pour vous assurer que votre marketing direct est conforme à 100 %, vous devez examiner la législation de chaque État membre. Ce n'est pas parce que vous êtes en conformité avec la loi néerlandaise que vous l'êtes en Italie ou en Croatie !
Plongeons dans le vif du sujet !
- Quelles sont les lois ?
- Quelle est la loi applicable ?
- Quelles sont les règles ?
- Entreprise à consommateur (B2C)
- Commerce interentreprises (B2B)
- Que dois-je savoir d'autre ?
- Conclusions
Quelles sont les lois ?
Le GDPR et la directive ePrivacy s'appliquent tous deux au marketing direct.
Vous avez probablement entendu parler du GDPR : il s'agit d'un règlement très important et du pilier central du cadre de protection des données de l'UE. Comme il s'agit d'un règlement, les règles sont les mêmes pour tous les États membres.
La directive "vie privée et communications électroniques" est une loi européenne plus ancienne, datant de 2002. En tant que directive, elle ne s'applique pas directement. Au lieu de cela, chaque État membre la met en œuvre par le biais de sa propre législation. C'est pourquoi les règles sont similaires mais pas identiques dans toute l'UE.
Quelle est la loi applicable ?
Les règles relatives au marketing direct dépendent de la loi applicable. C'est là que les choses se compliquent, car le GDPR et la directive utilisent des critères différents.
La directive établit une distinction entre les communications d'entreprise à consommateur (B2C) et d'entreprise à entreprise (B2B). Elle réglemente les communications B2C mais laisse aux États membres une certaine marge de manœuvre pour réglementer les communications B2B. Par conséquent, les règles applicables aux communications B2C sont (en grande partie) les mêmes dans toute l'Europe, mais les règles applicables aux communications B2B varient d'un État à l'autre.
D'autre part, l'applicabilité du GDPR dépend de la distinction entre les données personnelles et non personnelles. Le GDPR s'applique à tout le marketing B2C et à certains cas de marketing B2B.
En résumé, nous avons trois scénarios possibles :
- les communications B2C (telles que l'envoi d'un courriel à johndoe@emailprovider.com) relèvent à la fois du GDPR et de la directive
- les communications B2B (telles que l'envoi d'un courriel à purchases@business.com) relèvent de règles spécifiques adoptées par les États membres
- les communications B2B relèvent du GDPR et des règles des États membres lorsque les informations de contact sont des données personnelles (par exemple, en envoyant un courriel à johndoe@business.com).
Quelles sont les règles ?
Comme nous l'avons expliqué, les règles dépendent du type de communication. En voici un aperçu :
D'entreprise à consommateur:
est opt-in ou soft-opt-in pour la plupart des États membres (plus d'informations à ce sujet ultérieurement !)
lorsque le consentement n'est pas recueilli, l'intérêt légitime doit être correctement équilibré pour être conforme au GDPR. Si cela n'est pas possible, le consentement est de toute façon nécessaire !Données personnelles d'entreprise à entreprise :
Les règles varient d'un État à l'autre. Le consentement peut ou non être requis pour le marketing, en fonction de l'État et de la situation.
Lorsque le consentement n'est pas recueilli, l'intérêt légitime doit être correctement équilibré pour se conformer au GDPR. Si cela n'est pas possible, le consentement est de toute façon nécessaire !Commerce interentreprises sans données à caractère personnel:
Les règles varient d'un État à l'autre. Le consentement peut ou non être requis pour le marketing, en fonction de l'État et de la situation.
le GDPR ne s'applique pas. Par conséquent, aucune base juridique n'est nécessaire pour traiter les données.
Décortiquons tout cela !
Entreprise à consommateur (B2C)
Opt-in et soft opt-it
En vertu de la directive "vie privée et communications électroniques", le consentement est obligatoire pour le marketing B2C. Ce système est généralement appelé " opt-in".
Il existe une exception pour les clients existants : la règle dite du soft opt-in. En vertu de cette règle, le consentement n'est pas nécessaire si cinq conditions cumulatives sont remplies :
- vous avez recueilli l'adresse électronique du consommateur dans le cadre d'une vente
- vous faites la promotion de votre propre produit ou service
- le service est similaire à celui qu'il a déjà acheté chez vous
- vous lui avez donné la possibilité de refuser le marketing lorsque vous avez recueilli son adresse électronique
- chaque courriel que vous envoyez comporte une option de refus.
Par exemple, John Doe achète un abonnement à votre journal en ligne et vous donne son adresse électronique. Au cours de la procédure d'abonnement, vous pouvez lui offrir la possibilité de refuser le marketing direct pendant la procédure d'abonnement. S'il ne le fait pas, vous pouvez le contacter ultérieurement à l'adresse johndoe@emailprovider.com pour faire de la publicité pour une autre de vos publications, mais vous devez inclure une option de refus dans chaque communication.
En outre, vous ne pouvez pas faire la publicité de votre ligne de shampooing, d'un journal d'un autre éditeur ou de votre publication par le biais d'appels téléphoniques ou de messages SMS.
Veuillez noter que cette explication s'applique à la plupart des pays, mais pas à tous. La mise en œuvre de la directive diffère d'un État membre à l'autre : par exemple, certains pays exigent des étapes supplémentaires pour qu'un "soft opt-in" soit valide, tandis que d'autres n'autorisent pas du tout les "soft opt-in".
La définition de la vente varie également d'un pays à l'autre. Dans certaines juridictions, un produit ou un service doit avoir été vendu, tandis que dans d'autres, il suffit d'avoir entamé une relation commerciale dans le cadre d'une vente, même si rien n'a été vendu en fin de compte.
Le GDPR : consentement et intérêt légitime
La directive ne représente que la moitié du tableau : le GDPR exige également une base juridique. En pratique, il peut s'agir du consentement ou de l'intérêt légitime.
Lorsque la directive exige le consentement, les choses sont relativement simples : la directive "l'emporte" sur le GDPR et vous ne pouvez utiliser que le consentement comme base juridique pour le marketing direct.
Lorsque la directive n'exige pas le consentement, vous pouvez choisir entre le consentement et l'intérêt légitime, et c'est là que les choses deviennent délicates.
L'intérêt légitime peut être utilisé pour le marketing direct, mais il y a certaines limites ; l'intérêt légitime exige de mettre en balance des intérêts et des droits contradictoires - dans ce cas, le droit à la vie privée d'un consommateur et l'intérêt d'une entreprise à promouvoir son produit ou son service.
La mise en balance est une évaluation complexe, au cas par cas, et il n'y a pas de réponse toute faite. Il peut y avoir des scénarios dans lesquels vous pouvez utiliser l'intérêt légitime et d'autres dans lesquels vous ne pouvez pas le faire. Dans ces cas, vous aurez besoin du consentement, que la directive l'exige ou non !
En d'autres termes, l'exigence de consentement pour le marketing direct est délicate car elle dépend à la fois de la directive et du GDPR. Si vous vous contentez de regarder la directive, vous ne comprenez pas la moitié du tableau !
Commerce interentreprises (B2B)
Le marketing interentreprises s'adresse directement aux entreprises ; par exemple, un courriel envoyé à purchases@business.com ou johndoe@business.com est considéré comme du marketing interentreprises.
Comme nous l'avons expliqué, la directive ne prévoit aucune règle pour le marketing interentreprises, mais laisse aux États membres la possibilité de réglementer la communication comme ils l'entendent.
Les règles sont entièrement du ressort de chaque État membre. Certaines juridictions exigent le consentement pour le marketing interentreprises, d'autres l'autorisent sans consentement, et d'autres encore exigent le consentement mais autorisent un "soft opt-in" dans certains scénarios. Enfin, certaines juridictions font une distinction entre le marketing de première ligne et le marketing de tiers.
Pour compliquer encore les choses, certaines communications B2B relèvent du GDPR, d'autres non.
Dans notre exemple, les communications à l'adresse purchases@business.com ne relèvent pas du GDPR car le bureau d'achat de Business n'est pas une personne. En revanche, les communications à l'adresse johndoe@business.com relèvent du GDPR parce que l'adresse électronique de l'entreprise fait référence à un membre du personnel de l'entreprise, M. Untel. Cela peut également être le cas lorsque vous utilisez l'adresse électronique d'une entreprise unipersonnelle.
Si le GDPR s'applique, vous aurez besoin d'une base juridique pour le traitement des données. Et si vous souhaitez utiliser l'intérêt légitime, vous devez évaluer l'équilibre, comme expliqué ci-dessus. Si l'intérêt légitime ne peut être mis en balance, vous devez obtenir le consentement si la directive l'exige.
Que dois-je savoir d'autre ?
Attention à l'analyse des données !
Les entreprises impliquées dans le marketing direct analysent souvent des données personnelles telles que l'âge, l'adresse, les centres d'intérêt et l'historique d'achat afin de déterminer qui pourrait être intéressé par une offre.
Toutes ces données tombent sous le coup du GDPR et nécessitent une base légale pour être traitées. Ce n'est pas parce que le système de soft opt-in de la directive vous permet de traiter les informations de contact sans consentement que vous pouvez également traiter d'autres données sans consentement !
En pratique, il est utile de penser à deux opérations distinctes de traitement des données:
- dans un premier temps, vous analysez certaines données personnelles concernant votre public afin de mieux cibler vos efforts de marketing. Cette étape doit être conforme au GDPR.
- dans un deuxième temps, vous envoyez les communications marketing en utilisant les informations de contact. Cette étape doit être conforme au GDPR et à la directive ePrivacy.
Identifiez votre entreprise dans les courriels
Que votre marketing soit basé sur le consentement ou non, la directive exige que vos courriels identifient votre entreprise en tant qu'expéditeur.
En outre, le GDPR exige que vous fournissiez des informations à des fins de transparence. Supposons que vous souhaitiez garder vos courriels en ordre. Dans ce cas, vous pouvez renvoyer à un avis de confidentialité (à condition qu'il contienne des informations spécifiques au marketing direct - ne renvoyez pas les utilisateurs à l'avis de confidentialité du site web de votre entreprise ou à quoi que ce soit de ce genre).
Dans ce cas, nous vous suggérons d'identifier clairement votre entreprise en tant qu'expéditeur dans l'e-mail afin de vous assurer que vous n'enfreignez pas la directive.
Opt-outs et consentement
Sachez que le consentement peut être révoqué et qu'en vertu du GDPR, il doit être aussi facile de révoquer le consentement que de le donner.
Pour se conformer au GDPR, fournir un lien pour révoquer le consentement dans vos courriels est probablement une bonne idée.
En pratique, cela signifie que toutes les communications adressées à des personnes doivent comporter une option permettant de mettre fin définitivement aux communications, qu'il s'agisse de l'option de refus requise par la directive ou de l'option de révocation du consentement prévue par le GDPR.
Conclusions
Lesrègles relatives au marketing direct sont confuses et fragmentées. Le GDPR et la directive ePrivacy peuvent être un point de départ pour comprendre les règles, mais en fin de compte, dans la plupart des cas, il n'y a pas vraiment de réponse universelle pour toutes les juridictions de l'UE.
Ce document PDF du site web de l'Association internationale des professionnels de la protection de la vie privée (International Association of Privacy Professionals) offre une vue d'ensemble pratique des règles applicables. Vous pouvez parfois trouver des informations plus détaillées sur une législation spécifique sur le site web des autorités nationales chargées de la protection des données.
Même avec ces ressources, il peut être difficile de comprendre toutes les règles. Vous pouvez vous adresser à un professionnel du droit ayant des connaissances spécifiques sur les juridictions dans lesquelles vous exercez vos activités, d'autant plus si vous faites du marketing sans consentement, ce qui rend la conformité au GDPR encore plus délicate.
Pourquoi nous en soucions-nous ?
Nous croyons en une manière éthique de faire des affaires. C'est pourquoi nous avons créé Simple Analytics, une alternative à Google Analytics respectueuse de la vie privée. Simple Analytics vous donne toutes les informations dont vous avez besoin sans utiliser de cookies, de traceurs ou d'empreintes digitales des utilisateurs. Nous ne suivons pas vos visiteurs et ne collectons pas la moindre donnée personnelle !
Si cela vous convient, n'hésitez pas à nous essayer !