Assurer la conformité RGPD d’une newsletter n’est pas très compliqué. Il faut s’assurer d’acquérir le consentement des personnes, afficher des mentions légales, s’assurer d’utiliser un logiciel de gestion de la newsletter qui est conforme au RGPD, et mettre en place quelques précautions supplémentaires pour réduire ses risques juridiques. Voyons comment faire cela ensemble !
Et avant tout, voici un exemple de formulaire d’inscription à une newsletter qui est conforme :
Voyons donc l’ensemble des mesures à mettre en place, et les problématiques juridiques que l’on va rencontrer étape par étape.
1. Assurer que le consentement est bien acquis
La première chose sur laquelle on doit travailler est la base légale ; en fait le RGPD impose à tout responsable de traitement d’avoir une des 6 bases légales spécifiquement énumérées à l’article 6. La base légale que l’on va utiliser ici est le consentement :
- Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
1.1 Assurer l’acquisition du consentement
Pour comprendre les mesures à mettre en place pour s’assurer d’acquérir un consentement valable, il faut se référer à l’article 4 du RGPD qui définit précisément le consentement :
- «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
Nous avons un certain nombre de conditions juridiques qu’il va falloir implémenter en pratique :
- le consentement doit être une manifestation de volonté de la part de l’utilisateur qui repose sur un acte positif clair
- l’utilisateur doit accepter que ses données fassent l’objet d’un traitement
- il doit également être clairement informé de la manière dont on va traiter ses données
Contrairement à une opinion répandue, il n’est donc pas nécessaire d’avoir une case à cocher sur le formulaire d’inscription. L’utilisateur va indiquer son email lui-même et cliquer sur le bouton d’inscription, ce qui est suffisant pour caractériser le consentement.
A partir du moment où l’utilisateur entre lui-même ses données, et qu’il est informé clairement du traitement des données, on peut légitimement conclure que ces conditions sont réunies.
1.2 Assurer la transparence des opérations de traitement
Un second élément sur lequel il est nécessaire de travailler est la transparence (art. 5.1.a). Il faut pour cela indiquer clairement l’étendue du traitement des données personnelles de la personne en explicitant clairement comment ses données seront traitées.
Il faut pour cela expliciter le contenu de la newsletter et être totalement transparent à cet égard sur le formulaire de collecte, en cela l’utilisateur sait à quoi il s’attend clairement et les données ne sont pas exploitées autrement que ce qui est indiqué à l’utilisateur. S’il est indiqué “Inscrivez-vous à notre newsletter”, il ne sera pas possible de revendre les données de l’utilisateur, car il n’en a pas été informé préalablement.
Dans la majorité des cas les entreprises vont effectuer des communications commerciales sur leurs produits et leurs services, il est donc nécessaire de l’indiquer sur le formulaire de collecte.
1.3 Conserver la preuve du consentement
L’article 7 du RGPD impose au responsable de traitement d’être en mesure de démontrer que le consentement a bien été acquis :
- Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
En réalité il existe deux manières de réaliser cette preuve :
- conserver une trace du process par lequel la personne est passée pour donner son consentement
- conserver une trace du consentement lui-même
Les lignes directrices sur le consentement de l’EDPB rappellent à ce titre “les responsables du traitement doivent répondre de l’obtention d’un consentement valable de la part des personnes concernées et des mécanismes de consentement qu’ils ont établis. Par exemple, dans l’environnement en ligne, un responsable du traitement pourrait conserver des informations sur la session lors de laquelle le consentement a été donné, parallèlement à la documentation sur le flux de travail relatif au consentement à l’époque de la session et à une copie des informations fournies à l’époque à la personne concernée”.
Ici dans notre cas, collecter des données relatives à la session ne semble pas très utile pour deux raisons :
- cela impose un volume de données très importantes à collecter - et peut se révéler assez intrusif
- en outre les données collectées seront maîtrisées par le responsable du traitement qui pourrait les modifier à n’importe quel moment, ce qui n’apporte au fond que peu de garanties réelles en termes de preuve
Si la newsletter ne concerne aucune donnée sensible (art. 9 ou article 10), et que les données conservées sont bien minimisées - c’est-à-dire que seul l’email est collecté, il semble que conserver une trace du processus par lequel le consentement a été acquis devrait être amplement suffisant.
Les lignes directrices relatives au consentement rappellent à ce titre que “Les responsables du traitement sont libres de développer des méthodes adaptées à leurs opérations quotidiennes pour se conformer à cette disposition. Parallèlement, l’obligation qu’a le responsable du traitement de démontrer qu’un consentement valable a été obtenu ne devrait pas en elle-même entraîner des volumes de traitement supplémentaire excessifs”.
2. Afficher les mentions légales
L’article 13 du RGPD impose au responsable de traitement de fournir un certain nombre d’informations à la personne concernée au moment où les données à caractère personnel sont obtenues. Ces informations incluent notamment :
Les informations à dispenser aux personnes dont on collecte les données personnelles sont les suivantes:
- l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
- le cas échéant, les coordonnées du délégué à la protection des données;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent;
- le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition
En outre, les informations complémentaires suivantes :
- la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
- l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
- lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle;
- des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
- l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Ces informations doivent être fournies de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, ce qui implique forcément d’afficher les mentions légales en plusieurs niveaux pour éviter de noyer l’utilisateur dans un texte juridique trop important.
A ce titre on peut donc indiquer les éléments essentiels en premier lieu (finalités, identité du responsable du traitement et droits des personnes), et renvoyer vers une page dédiée pour l’ensemble des mentions légales.
Voici un exemple de mention pour un blog d’apprentissage du japonais :
En vous inscrivant à notre newsletter, vous acceptez que vos données soient utilisées pour vous envoyer des astuces pour apprendre le japonais, des ressources gratuites et des offres spéciales sur nos cours de langue. Vos données seront conservées jusqu’à ce que vous vous désabonniez. La newsletter est éditée par ApprendreLeJaponais SARL. Vous pouvez retirer votre consentement à tout moment en cliquant sur le lien de désinscription présent dans chaque email. Pour plus d’informations sur vos droits, consultez notre politique de confidentialité en suivant ce lien
3.Conclure un contrat art. 28
L’organisation qui met en place la newsletter va utiliser un logiciel pour ce faire. Or, lorsqu’un responsable de traitement fait appel à un sous-traitant pour traiter des données à caractère personnel, le RGPD impose une série d’obligations à ce titre :
Parmi ces obligations, le responsable de traitement doit alors s’assurer que ce sous-traitant présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (art. 28).
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique qui lie le sous-traitant à l’égard du responsable du traitement. Ce contrat doit notamment définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Vous trouverez un modèle type de contrat sous-traitant RGPD ici que vous pouvez l’utiliser gratuitement.
4. Vérifier le retrait du consentement (lien de désinscription)
Le RGPD impose également des obligations relativement au retrait du consentement :
- La personne concernée a le droit de retirer son consentement à tout moment(…) Il est aussi simple de retirer que de donner son consentement.
A ce titre, il doit être aussi simple de retirer son consentement que de le donner : " lorsque le consentement est obtenu par voie électronique uniquement par un clic, une frappe ou en balayant l’écran, les personnes concernées doivent, en pratique, pouvoir retirer ce consentement par le même biais." (lignes directrices sur le consentement).
En pratique, cela signifie qu’il faut inclure un lien de désinscription dans chaque email de newsletter. Lorsqu’une personne se désinscrit, le traitement de ses données doit cesser et ses données doivent être supprimées si elles avaient été collectées sur la base du consentement.
Il est essentiel de vérifier le fonctionnement de cette procédure, car à défaut, cela va entraîner des plaintes à la CNIL qui risque de délencher un contrôle.
5. Ajouter les mentions légales dans les emails d’envoi de la newsletter
Un dernier conseil : ajouter un rappel des mentions légales au bas de chaque email. Ce n’est pas à strictement parler une obligation légale, car le RGPD impose d’informer les personnes qu’une fois.
Cependant en pratique, une fois que les mentions légales on été rédigées, il n’y a aucun coût supplémentaire à les ajouter dans le modèle d’envoi des emails de la newsletter. Et cela permet, en cas de conflit, de montrer que le responsable de traitement a bien respecté à de nombreuses reprises ses obligations légales. Il devient donc particulièrement difficile pour les personnes concernées - certaines étant parfois de mauvaise foi - de remettre en cause la légalité des opérations de traitement.
En effet, des conflits peuvent émerger de personnes qui se sont inscrites elles-mêmes à la newsletter et ne se rappellent plus, quelques mois plus tard, avoir effectué cette action. Dans de tels cas, il est toujours bien de pouvoir montrer que les mentions légales étaient présentes sur chaque email. Cela permet de montrer très rapidement que les obligations ont été respectées.