Collecte emails et RGPD

Bonjour,

Juste une petite question car j’obtiens autour de moi plusieurs avis contraires…

Dans le cadre d’une fenêtre pop-up qui propose un coupon de réduction dans le cadre d’une inscription à la newsletter, est-ce bien RGPD-friendly ou pas ?

popup-newsletter-exemple-gdpr1516×1124 332 KB

Merci d’avance pour vos avis

Le RGPD est clair: toute info permettant de profiler ou info perso, doit être recueillie AVEC le consentement volontaire de l’internaute.
Donc le popup n’est pas bon.
Ceci dit, le RGPD n’est pas appliqué « judiciairement » pour l’instant (période d’éducation par les grands profs de la macronie :-)) ET de toutes façons, la CNIL n’a pas les moyens humains de vérifier les sites ou de prendre en compte les centaines de plaintes.
Concrètement, tu risques de recevoir le mail d’un vendeur de soupe qui se déclarera « citoyen responsable » et te feras ch… (il suffit de ne pas lui répondre ou de publier son mail après avoir cherché d’où il vient exactement (tu trouveras sans doute qu’il vient d’une « agence de conseil ») ou d’avoir un concurrent qui te dénonce à la CNIL (ce qui veut aussi dire que ton site marche bien) et donc dans ce cas de dire « excusez moi je ne savais pas » tout en montrant les xxxxx sites qui font pire (tels google, facebook, les navigateurs, et tous les gros sites de e-commerce)

Bonjour,

Je vais pas t’avancer car si Bazouni pense que c’est pas bon, je trouve que c’est bon de mon côté.

Le process que tu as mis en place donne:

• la popup s’ouvre
• si l’utilisateur veut s’abonner à la newsletter et profiter de l’offre, il entre explicitement son adresse et clique sur le bouton « Obtenir le bon de réduction » avec le lien sur l’utilisation des données persos bien visible en dessous.

Donc il donne son accord en toute connaissance de cause sur l’utilisation que tu feras de ses données et il s’inscrit de lui-même.

Le fait de préciser Femme / homme dans l’inscription est également une action explicite de l’utilisateur, qui d’une part permettra de lui proposer une sélection plus pertinente donc un intérêt pour lui, et d’autre part, tu lui laisses le choix de ne pas faire de précision avec le choix « Tout ».

Je me trompe peut être.

@Bazouni: tu écris « AVEC le consentement ». C’est bien le cas ici non ?

@kungfupanda je te conseille pour être dans les normes du RGPD de rajouter juste avant le CTA « Obtenir mon bon de réduction » une case à cocher qui dit « J’accepte de recevoir des emails ».

Je crois que c’est effectivement l’idée de la case à cocher qui permet à l’user d’être totalement proactif dans la démarche, et donc ça te rend RGPD-friendly. Maintenant peut-être que le call-to est un peu trop trompeur (ce n’est pas qu’obtenir son bon, mais c’est aussi s’inscrire à tes communications)

je ne pense pas car:

• est-ce que les personnes sont informées ? (cf https://www.cnil.fr/cnil-direct/question/reglement-europeen-de-quoi-les-personnes-doivent-elles-etre-informees?visiteur=pro) A priori non
• le consentement à être dans une base de données n’est pas clair (même en supposant que le site par ailleurs déclare tout ce qu’il faut pour le rgpd)
  Voir https://www.sarbacane.com/blog/2018/05/18/rpgd-emailing-consentement/ où tout est bien expliqué
  "Le formulaire doit être transparent et explicite quant à l’utilisation qui sera faite des données personnelles de l’utilisateur.

Cela signifie qu’il doit contenir :

• Des champs à remplir (qui peuvent être pré-remplis)
• Une case à cocher (non pré-cochée) stipulant que l’utilisateur vous autorise à lui envoyer des emails (préciser le type)
• Les mentions définissant le cadre de l’utilisation que vous ferez de leurs données (voir les recommandations de la CNIL : ). Ces mentions étant propres à chaque entreprise et à chaque type de collecte, nous ne pouvons pas vous proposer un exemple type. Sachez que si vous souhaitez demander l’email du contact ainsi que son numéro de téléphone, ces mentions doivent être adaptées à chaque donnée collectée.
• Une phrase stipulant que l’utilisateur pourra se désinscrire à tout moment, et comment faire
• Facultatif : Un lien vers votre politique de confidentialité et vos mentions légales"

Merci pour les précisions. Je comprends.

Je vais devoir reprendre qq formulaires pour être plus explicites sur le traitement des données.

Questions subsidiaires: est ce qu’il faut être aussi exhaustif quand c’est un site B2B ?

Le B2B est encore + flou en ce qui concerne le RGPD. Normalement un professionnel n’est pas une personne donc tout est comme avant MAIS comme la jurisprudence considère que parfois, un mail pro EST une donnée personnelle … Ceci dit, encore une fois, vu le bazar à la cnil, tu ne risques pas grand chose.
Une astuce et un truc à ne pas oublier: le rôle des SOUS TRAITANTS… Il faut s’assurer que l’hébergeur, et autres RESPECTENT le rgpd en ce qui concerne les données qui pourraient passer par eux. Bien entendu, aucun ne le fait . Il suffit de leur envoyer un mail ou une lettre recommandée pour les gros projets, en leur demander d’assurer qu’ils sont « rgpd » ok. Ensuite il faut garder ces échanges et en cas de contrôle, ils serviront à montrer qu’au moins on a fait des efforts pour être conforme, donc qu’on est mignon :-))

Hello @kungfupanda
Je travaille pour une solution de pop-up. On s’est posé la même question au moment de l’implémentation de la GDPR. On a écrit cet article avec notre avocat spécialité en protection des données pour y répondre: https://wisepops.com/email-popups-gdpr/.

Je rejoins @Bazouni . A part si on découvre un énorme gisement de pétrole en France, la CNIL n’aura jamais assez d’argent pour employer assez de personnes pour vérifier ca
Un seul cas à investiguer couter des milliers d’euros…

Avant RGPD, les sites francais avaient l’obligation de déclarer à la CNIL pour avoir un numéro CNIL, sinon il y avait une pénalité.
Je serais curieux de savoir combien de personnes ont récu cette amende sur les millions de site FR

Il suffit de voir aussi à quoi à servi la loi Hadopi