Avez-vous entendu parler de la proposition de loi actuellement en discussion pour interdire le démarchage téléphonique non consenti ? Elle propose d’interdire le démarchage téléphonique des particuliers sans leur consentement préalable, pour un objectif et des modalités spécifiques auxquels ils auront donné leur accord.
Si elle est adoptée, cette loi sera applicable dès 2026. L’autorité de contrôle sera la DGCCRF et, en cas de manquements, les sanctions pourront s’élever à 20% du CA de l’entreprise.
Le consentement préalable, c’est ce que l’on appelle aussi l’opt-in. Autrement dit : « si ce n’est pas oui, c’est non ». L’opt-in est déjà une obligation pour les communications par sms ou e-mail auprès de particuliers.
L’opt-out, ou désengagement, s’applique dans les situations où le consentement préalable n’est pas nécessaire à la prise de contact. C’est le principe de : « si ce n’est pas non, c’est oui ». La personne peut signaler, après la prise de contact, qu’elle ne souhaite plus être contactée. L’opt-out s’applique notamment aux traitements de données personnelles dans le cadre professionnel (B2B).
Opt-in et opt-out sont des éléments clés de la gestion des données personnelles. Il est donc essentiel pour les entreprises de bien comprendre leurs obligations sur ce sujet, car les enjeux sont importants.
Enjeux règlementaires bien sûr, avec des risques de sanctions, d’une part de la CNIL en application du RGPD et d’autre part, potentiellement de la DGCCRF si l’infraction tombe sous le coup de la future loi.
Mais c’est aussi un levier important vis-à-vis de vos (futurs) clients. En respectant leur vie privée, vous créez un lien de confiance et une image positive pour votre entreprise, qui peut faire la différence face à un concurrent.
ALLIER PRIVACY vous propose un focus sur la mise en application de l’opt-in et l’opt-out dans le cadre du RGPD.
Retrouvez les conseils d’ALLIER PRIVACY pour vous aider dans votre mise en conformité.
OPT-IN
« Si ce n’est pas oui, c’est NON »
L’opt-in s’applique dans les relations commerciales avec des particuliers (B2C).
Le consentement doit être libre, spécifique, éclairé et univoque. C’est-à-dire que les personnes concernées doivent pouvoir :
comprendre le traitement qui sera fait de leurs données personnelles,
choisir sans contrainte d’accepter ou non le traitement de leurs données personnelles,
changer d’avis librement,
exprimer sans ambigüité leur accord.
Quelques cas courants où l’opt-in s’applique :
cookies sur votre site internet,
création d’une carte ou d’un compte fidélité,
prospection commerciale,
inscription à votre newsletter ou à des offres promotionnelles...
VOS OBLIGATIONS
Pour que le consentement préalable de vos prospects/clients (B2C) soit valable au regard du RGPD, vous devez :
mettre à disposition des personnes une information complète, claire et accessible sur le traitement de leurs données (page du site dédiée, feuillet remis en caisse).
vous assurer que le consentement n’est pas contraint. Par exemple, vous ne pouvez pas obliger un visiteur à accepter les cookies d’audience sous prétexte que « cela vous apporte des informations précieuses ». Une autre forme de consentement contraint est celui obtenu par un design trompeur (« dark pattern« ), très courant sur les bandeaux de cookies : la mention « accepter » est sur fond vert et « refuser » sur fond rouge (ce qui encourage à cliquer sur le vert par réflexe). Les cases précochées pour accepter les sollicitations sont également interdites.
proposer des consentements spécifiques. Par exemple, passer commande sur votre site ne vaut pas inscription à votre newsletter. Le client doit donner spécifiquement son accord pour être inscrit à la newsletter. De même, si vous proposez plusieurs types de communications, vous devez obtenir un consentement pour chacun d’entre eux.
ne pas oublier de mettre en place la gestion des retraits de consentements, qui doit être aussi facile que de donner son consentement.
gérer la traçabilité des consentements : c’est l’organisme qui traite les données personnelles qui a la charge de la preuve des consentements.
OPT-OUT
« Si ce n’est pas non, c’est OUI »
L’opt-out, ou désengagement, va s’appliquer dans vos relations avec les professionnels (B2B).
Vous pouvez ainsi inscrire automatiquement vos contacts professionnels à vos newsletters, informations commerciales, invitations à des événements…
Si vos contacts ne sont pas intéressés, ils vous demanderont de supprimer leurs coordonnées des base de données correspondantes.
VOS OBLIGATIONS
L’opt-out est plus facile à gérer au départ que l’opt-in, puisque vous avez, à ce stade, la liberté d’intégrer des contacts professionnels à vos fichiers de communication.
Néanmoins, vous devez être vigilants sur les points suivants :
N’oubliez pas que même dans un cadre B2B, les données de vos contacts sont des données personnelles. Vous devez donc respecter l’ensemble des exigences du RGPD.
Proposez un mode d’expression du désengagement visible et explicite (lien de désabonnement par exemple) par type de contenu.
Organisez le suivi des opt-out reçus.
Veillez à bien séparer les fichiers clients B2C et B2B. Par exemple, un client d’une banque ou d’une assurance peut être enregistré à titre personnel d’une part et comme représentant de la personne morale (dirigeant). Vous devrez donc avoir recours à l’opt-in ou à l’opt-out, selon la situation pour laquelle vous souhaitez prendre contact avec cette personne.
Les conseils d’ALLIER PRIVACY
Opt-in
Le consentement préalable est un sujet très sensible pour les particuliers, qui se sentent harcelés au quotidien les sollicitations commerciales. De plus, les particuliers sont de plus en plus informés de leurs droits sur leur données personnelles, et surtout sur comment les faire valoir en ayant recours à une plainte à la CNIL si nécessaire.
Soyez donc très attentif à la gestion de l’opt-in, c’est un élément important de votre stratégie de développement commercial :
Laissez toujours le libre choix à la personne. Forcer la main pour obtenir le consentement crée de la frustration et de la défiance.
Concentrez-vous sur une communication attractive avec de la valeur ajoutée, qui donnera envie au client ou au prospect de s’abonner ou d’accepter d’être contacté.
Tenez à jour votre suivi des consentements – et des retraits de consentements.
Vérifiez que tous les consentements recueillis sont bien conformes et que chaque personne inscrite dans vos fichiers a bien donné son consentement – en particulier pour les plus anciens. En cas de doute, soumettez une nouvelle proposition de consentement à la personne, qui sera libre de l’accepter… ou non.
Un retrait de consentement équivaut à une demande de suppression des données du ficher concerné. Soyez donc rigoureux sur la mise à jour des fichiers concernés et/ou de votre CRM. Cela évitera des plaintes éventuelles tout en contribuant à maintenir votre base de données à jour et de qualité.
Opt-out
Vous l’avez compris, l’opt-out dans le cadre des relations B2B est beaucoup plus souple. Pour autant, cela ne veut pas dire que tous les coups sont permis.
Soignez vos relations avec vos contacts professionnels, en répercutant leurs demandes de désinscription dans vos fichiers. Rien de plus désagréable que d’entamer sa journée par la suppression de mails ou de newsletters pour lesquelles on a déjà demandé le désabonnement.
Soyez particulièrement vigilants sur les risques de croisement de fichiers B2C/B2B. Non seulement vous exposez votre entreprise à une plainte à la CNIL, mais cela risque aussi de susciter des interrogations de vos clients sur la capacité de votre entreprise à gérer la sécurité des données de ses clients.