Si vous avez un site Web, un formulaire de contact/d’inscription et que vous utilisez Mailchimp pour gérer votre newsletter par e-mail, vous vous demandez sans doute si vous devez le mentionner dans votre politique de confidentialité (peut-être vous demandez-vous même si vous avez besoin d’une politique de confidentialité).
La réponse est OUI : vous êtes tenu d’avoir une politique de confidentialité contenant les informations nécessaires, et ce tant pour des raisons légales que pour les tiers.
Dans ce guide, nous vous montrons comment créer une politique de confidentialité pour Mailchimp. En bonus, nous vous expliquons les autres étapes que vous pourriez avoir à respecter pour garantir la conformité de votre liste de diffusion et de vos activités liées à la newsletter.
Mailchimp prévoit explicitement à la section 20 de ses Conditions d’utilisation que vous devez être en conformité avec toute les législations applicables. Il s’agit en général des législations sur la protection de la vie privée de votre pays et des pays de vos utilisateurs.
Il vous incombe de déterminer si vous pouvez utiliser le Service au regard de vos obligations au titre de réglementations comme les lois HIPAA et GLB, les législations de l’UE relatives à la protection de la vie privée (dont le RGPD) (collectivement, les « Lois de l’UE sur la protection de la vie privée »), les lois et réglementations des États-Unis sur le contrôle des exportations et sur les sanctions économiques (« les lois et réglementations américaines sur le contrôle des exportations), ou d’autres législations applicables.
Si vous ou une personne de votre liste de diffusion êtes situés dans l’EEE (y compris le Royaume-Uni et la Suisse), vos obligations sont encore plus explicites.
Si vous êtes situé dans l’Espace économique européen, au Royaume-Uni ou en Suisse (collectivement, l’« EEE ») et/ou si vous diffusez des Campagnes ou d’autres Contenus au moyen du Service auprès de personnes situées dans l’EEE (chacun de ces Membres étant un « Membre de l’EEE »), lorsque vous créez la liste pour votre Campagne de distribution, envoyez des Campagnes via le Service, et/ou collectez des informations résultant de la création ou de l’envoi de Campagnes, vous déclarez et garantissez à Mailchimp que :
- Vous publierez de manière visible, tiendrez à jour et respecterez une déclaration de confidentialité accessible publiquement. Cette déclaration portera sur les propriétés numériques à partir desquelles vous collectez les données sous-jacentes, et doit satisfaire les exigences des législations applicables relatives à la protection des données, décrire votre utilisation du Service, et inclure un lien vers la Politique de Confidentialité de Mailchimp.
- Vous obtiendrez et tiendrez à jour toutes les autorisations nécessaires et tous les consentements valables requis pour pouvoir transférer des données à Mailchimp de manière légale et pour permettre la collecte, le traitement, et le partage de ces données par Mailchimp en toute légalité, aux fins de fournir le Service ou pour toute autre finalité indiquée par vous.
- Vous vous conformerez à toutes les législations et les réglementations applicables aux Campagnes envoyées via le Service, y compris celles portant sur (a) la collecte de consentements (si nécessaire) permettant d’envoyer des Campagnes de manière légale, (b) le Contenu des Campagnes, et (c) vos pratiques de déploiement de Campagne.
- …
En outre, si vous êtes Membre de l’EEE, vous reconnaissez nous avoir donné l’autorisation préalable écrite de répondre, à notre discrétion, aux demandes d’accès des personnes concernées reçues de vos contacts au titre des Lois de l’UE sur la protection de la vie privée, ou de vous adresser ces personnes pour que vous puissiez répondre à leur demande de manière adéquate.
Maintenant que nous avons montré comment Mailchimp requiert que vous vous conformiez à toute la législation applicable, voyons quelles sont ces obligations.
Les législations de la plupart des pays requièrent que vous ayez en place une politique de confidentialité valide. Cette politique de confidentialité doit détailler de manière claire et exacte qui réalise le traitement et pour quelle finalité. À défaut de ces précisions, vous vous exposez à de lourdes amendes et sanctions.
Si vous êtes soumis à des législations telles que le RGPD, voir la loi PIPEDA au Canada, le consentement que vous recueillez doit, pour être considéré comme valable, satisfaire des exigences particulières, notamment celle d’informer de manière complète et exacte vos utilisateurs des finalités et des méthodes du traitement de leurs données, ainsi que des tiers impliqués dans ce traitement.
En vertu de législations comme le RGPD, si vous n’avez pas de registre à jour des consentements collectés, ces derniers pourraient être considérés comme non valables — dans certains cas, vous devriez les demander de nouveau. Votre registre des consentements doit préciser les détails pertinents de chaque consentement, notamment sa méthode de collecte, les preuves relatives à la forme elle-même, et la politique de confidentialité en vigueur au moment de la collecte. Cliquez ici pour en savoir plus sur le registre des consentements
*Toutes nos politiques sont conçues par des avocats, sous le contrôle de nos propres juristes et sont hébergées sur nos serveurs pour nous assurer qu’elles respectent en permanence les obligations légales les plus récentes, tout comme celles des tiers.
Mailchimp propose depuis longtemps une fonctionnalité appelée « champs RGPD » : Ces formulaires adaptés au RGPD incluent des cases à cocher pour le consentement actif, et des sections à compléter pour expliquer pourquoi et comment vous utilisez les données. Attention : l’activation des champs RGPD dans vos formulaires d’inscription ne suffit pas à vous mettre en conformité.
Voici comment procéder :
Pour en savoir plus sur la façon d’utiliser ces fonctionnalités, rendez-vous sur mailchimp.com/help.
L’activation de ces fonctionnalités ne vous met pas automatiquement en conformité. N’oubliez pas que le consentement doit être collecté conformément à la législation qui vous est applicable. Les listes de diffusion doivent être également gérées en toute conformité. Certaines de ces exigences dépendent fortement de la manière dont vous présentez vos formulaires et votre newsletter elle-même. Vous trouverez une présentation complète de vos obligations, avec des exemples visuels de mise en pratique, dans notre Guide de conformité des e-mails et des newsletters.
Mailchimp propose deux options de consentement actif pour vos listes : le consentement simple et le double consentement. Avec le consentement simple, l’utilisateur doit simplement donner ses informations personnelles pour être ajouté à votre liste de diffusion. Avec le double consentement, il doit en outre valider son adresse e-mail avant de pouvoir être ajouté à la liste. La validation est terminée lorsque l’utilisateur clique sur un lien spécifique inclus dans un message de confirmation envoyé à son adresse e-mail.
Selon les besoins de votre organisation, vous pouvez essayer la procédure de double consentement, qui comporte une étape de confirmation supplémentaire pour vérifier chaque adresse e-mail. Cette méthode d’inscription est considérée comme la meilleure pratique dans de nombreux pays. Dans certains, elle peut même être obligatoire (p. ex. en Allemagne).
Comme indiqué dans ses conditions d’utilisation (section 20.5), si vous ou une personne de votre liste de diffusion êtes situés dans l’EEE (y compris le Royaume-Uni et la Suisse), vous devez signer un DPA avec Mailchimp.
Vous signerez et retournerez l’addendum relatif au traitement des données (Data Processing Addendum ou DPA) de Mailchimp, qui précise nos obligations réciproques concernant la protection et la sécurité des données lors du traitement d’informations personnelles. Une fois signé, l’addendum relatif au traitement des données sera automatiquement rattaché au contrat qui vous lie et en sera partie intégrante. Vous pouvez accéder à notre contrat de traitement des données ici. Vous serez invité à vous connecter à votre compte et pourrez signer le contrat en ligne.
– Conditions d’utilisation de Mailchimp
Si vous êtes soumis au RGPD (ce qui est probablement le cas), vous devez tenir à jour un registre des consentements collectés. Le registre doit inclure :
Bien entendu, cela peut représenter un défi sur le plan technique.
La Consent Solution simplifie ce processus en vous aidant à conserver facilement la preuve du consentement et à gérer le consentement et les préférences en matière de vie privée de chacun des consentements. Ainsi, vous pouvez suivre chaque aspect du consentement collecté.
Il vous suffit d’activer la Consent Solution et de récupérer la clé API. Installez-la ensuite via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les tenir à jour.
Pour plus d’informations sur notre outil Consent Solution, lisez le guide général Consent Solution ici. Vous pouvez également voir concrètement comment cette solution peut être utilisée sur un site WordPress dans notre guide Comment utiliser l’outil Consent Solution avec Contact Form 7.
Pour commencer, il vous suffit de :
