A cause du RGPD, les entreprises envoient des millions d’e-mails pour rien
Technologie
Les internautes reçoivent de nombreux emails d'entreprises leur demandant si elles peuvent conserver leurs coordonnées dans leurs bases de données. Cette mesure, en lien avec le Règlement général sur la protection des données (RGPD), risque de se retourner contre les sociétés
Et si les millions d’e-mails envoyés par les entreprises à leurs clients ces derniers jours ne servaient à rien? Pire, et si ces messages se retournaient contre leurs expéditeurs? Depuis plusieurs semaines, des milliers d’entreprises, dont des suisses, demandent à leurs contacts s’ils veulent rester dans leurs bases de données. Or cette démarche, en lien avec Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai dans l’Union européenne, pourrait s’avérer nocive.
Lire aussi: Données personnelles: ce qui va changer en Suisse aussi avec le RGPD
Prenons l’exemple de Logitech. Le 16 mai, l’entreprise basée à Lausanne écrit un premier e-mail à ses clients les incitant à confirmer, d’un clic, qu’ils souhaitent toujours recevoir des offres par e-mail. Le 22 mai, la société de périphériques informatiques insiste avec un nouveau message. Le lendemain, un e-mail alarmiste de la société, intitulé «URGENT – Ce courrier électronique sera peut-être le dernier que vous recevrez de la part de Logitech». L'International Institute for Management (IMD) de Lausanne ou l’agence de communication zurichoise PRfact ont envoyé des messages similaires.
«Une avalanche de messages»
Mais les entreprises, européennes et suisses, ont-elles vraiment besoin de demander à tous leurs contacts un feu vert explicite (dit «opt-in») pour les conserver dans leurs bases de données? «Nous avons ressenti l’avalanche de tels messages ces derniers jours comme un vent de panique des entreprises, explique Lê-Binh Hoang, de l’étude spécialisée Id Est avocats à Lausanne. Ces sociétés sentaient le besoin de faire quelque chose vis-à-vis de leurs clients et/ou utilisateurs, à tout le moins pour pouvoir continuer à leur envoyer des newsletters.»
Notre crainte est que les entreprises, une fois le consentement obtenu via ces e-mails, croient qu’elles pourraient faire ou faire à nouveau ce qu’elles veulent des données personnelles récoltées
Cette panique est infondée. Si le client a, dans le passé, valablement donné son feu vert pour recevoir des e-mails marketing, ce consentement est toujours valable et l’entreprise n’a nul besoin de le rechercher à nouveau. «Avant le 25 mai, l’exigence d’un consentement donné librement, de manière éclairée, spécifique et univoque existait déjà de manière identique ou quasi identique tant en droit européen qu’en droit suisse», poursuit l’avocat. Il suffit même d’indiquer, dans l’e-mail, un lien pour se désinscrire pour être conforme à la loi. «Aux yeux des entreprises émettrices de ces récents e-mails opt-in, cette avalanche avait sûrement et également pour vocation d’apporter la preuve technique de ce consentement. Mais même dans ce scénario, il n’était probablement pas nécessaire de solliciter autant les contacts de l'entreprise», complète Michel Jaccard, avocat associé de la même étude.
Logitech s’explique
Le risque pour les entreprises, c’est bien sûr que 80 à 90% des personnes qui reçoivent des e-mails de confirmation les effacent directement. Et en profitent ainsi pour se désinscrire de ces newsletters. Dans le cas de Logitech, la société a-t-elle vraiment pris le risque de perdre le contact avec une part importante de ses clients? «Les e-mails que nous envoyons à nos clients cherchent à informer nos consommateurs sur leurs droits à ce niveau et à obtenir de nouveau leur accord, explique un porte-parole. Conformément à la loi, selon le souhait exprimé par nos consommateurs et la nature de notre rapport avec eux, soit nous détruisons leurs données, soit nous les isolons, soit nous les anonymisons.» L’entreprise ne précise pas comment elle procédera.
Lire également: RGPD: des médias américains renoncent à l'Europe
Logitech estime qu’elle ne fait pas de zèle et assume le risque. De son côté, Marc Schlittler, directeur de PRfact, reconnaît qu’il «n’a pas d’obligation légale» à l’envoi de tels e-mails et que ce sera au final l’occasion «de mieux conseiller nos clients». L’IMD n’a pas été en mesure de répondre à nos questions.
Des e-mails… non conformes
Selon Michel Jaccard, les e-mails envoyés posent en eux-mêmes problème. «Nous avons constaté que dans de nombreux cas, ces e-mails n’étaient eux-mêmes pas conformes aux exigences du RGPD… Ils n’indiquaient pas par exemple quelles étaient nos données personnelles en possession des entreprises, ne nous informaient pas clairement sur les buts d’utilisation, la durée de conservation de nos données, etc.»
Des e-mails inutiles, le risque de perdre des contacts… Mais aussi celui de faire ensuite des erreurs. «Notre crainte est que les entreprises, une fois le consentement obtenu via ces e-mails, croient qu’elles pourraient faire ou faire à nouveau ce qu’elles veulent des données personnelles récoltées, alors qu’en réalité cette prise de conscience n’est que le début de l’effort. Il convient d’avoir un véritable projet de mise en conformité», avance Lê-Binh Hoang.
