Opt-in et opt-out : les règles de consentement à respecter

Opt-in et opt-out : les règles de consentement à respecter

L’opt in et l’opt out correspondent à des méthodes utilisées par un professionnel sur son site internet en vue de recueillir par exemple l’adresse email ou le numéro de téléphone de l’utilisateur en vue de le contacter par la suite à des fins de prospection commerciale.

L’opt in et l’opt out doivent être distingués : en cas de opt in, si l’utilisateur n’a pas dit « oui », c’est « non ». Inversement en cas de opt out, si l’utilisateur n’a pas dit « non », c’est « oui ». Le nouveau règlement général sur la protection des données (RGPD) dont l’entrée en vigueur est prévue au 25 mai 2018 vient modifier en substance les règles du consentement préalable à la collecte et au traitement des données personnelles.

Opt-in, opt-in passif et opt-out : de quoi s’agit-il ?

La pratique de l’opt-in consiste à obtenir l’accord exprès du destinataire de la publicité préalablement à son envoi. Les sites internet mettent en place dans ce cadre diverses solutions :

  • L’opt-in actif oblige l’internaute à cocher une case qui autorise l’éditeur du site à le contacter par email ou par sms à des fins marketing.
  • L’opt-in passif utilise cette même case, à la différence près qu’elle est pré-cochée. Pour manifester son refus de recevoir les offres de l’entreprise, la personne intéressée doit décocher la case.
  • Le double opt-in vise à renforcer le recueil du consentement en utilisant une case à cocher dans un premier temps, en exigeant du destinataire qu’il clique sur un lien contenu dans un email à son adresse afin de confirmer ses coordonnées électroniques dans un deuxième temps.

A l’inverse, la pratique de l’opt-out autorise le professionnel à envoyer des contenus à visée prospective sans le consentement préalable du destinataire, considéré comme acquis par défaut. Là encore, 2 cas de figure peuvent être observés :

  • L’utilisateur peut cocher une case pour faire part de son désaccord à la réception d’emails et sms marketing : il s’agit de l’opt-out actif.
  • La personne est automatiquement inscrite sur la liste de diffusion de l’entreprise commerciale : pour ne plus recevoir de publicités, elle doit en formuler la demande.

Emailing : comment obtenir le consentement des destinataires ?

Newsletters, emails ou sms publicitaires, le professionnel n’est pas libre d’adresser des contenus à visée marketing à ses prospects : il doit obligatoirement respecter la réglementation en vigueur édictée par la CNIL. En pratique, il s’agit de distinguer la nature du destinataire de la publicité : les règles de l’opt-in et de l’opt-out diffèrent selon que la personne est un particulier ou un professionnel.

Messages publicitaires B2C : le principe de l’opt-in renforcé par le RGPD

En l’état actuel de la réglementation, l’article L34-5 du Code des postes et des communications électroniques impose au professionnel l’obligation d’obtenir le consentement préalable du destinataire du contenu mail ou sms à visée prospective. La loi précise que le consentement consiste en une « manifestation de volonté libre, spécifique et informée » : le prospect doit être informé que ses coordonnées vont être utilisées par l’entreprise ou ses partenaires, à des fins promotionnelles, et donner son autorisation par le biais d’un acte positif. La pratique de l’opt-in est ainsi consacrée, le professionnel doit mettre en place sur son site internet un système de case à cocher – pas d’opt-in passif par le biais d’une case pré-cochée – avec information préalable des modalités d’utilisation des coordonnées du particulier.

Si l’opt-in actif gouverne la prospection par email et sms marketing, une exception est admise : la prospection est autorisée sans consentement express préalable si le consommateur a déjà acheté les produits ou les services de l’entreprise et que le message publicitaire fait la promotion de produits ou services similaires.
En tout état de cause, le consommateur doit pouvoir être en mesure de faire cesser la prospection par email ou par sms. Pour cela, le professionnel met à disposition dans les emails un lien de désinscription, dans les sms la possibilité de renvoyer « STOP » aux messages prospectifs.

A noter : la règle de l’opt-in se s’applique qu’aux contenus commerciaux. La prospection à des fins caritatives, par exemple, n’est pas subordonnée à l’obtention de l’accord préalable du destinataire.

Le 25 mai 2018, le règlement européen relatif à la protection des données personnelles va modifier les règles applicables à la prospection commerciale. Dans le cadre des relations B2C, le RGPD se contente de renforcer le principe de l’opt-in actif en évoquant un « acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ». Cette formulation écarte l’inactivité du consommateur dont le consentement est demandé, et le texte consacre par écrit l’interdiction de la pratique de l’opt-in passif au moyen d’une case cochée par défaut. La nouvelle réglementation prévoit en sus de durcir les sanctions en cas de non-respect des dispositions relatives au consentement.

Prospection commerciale : la protection renforcée des mineurs de moins de 16 ans

Si la réglementation en vigueur ne traite pas le cas particulier du mineur en l’état actuel du droit, le RGPD s’y attèle. A compter du mois de mai prochain, les mineurs de moins de 16 ans bénéficient d’un régime de protection spécifique :

  • Les informations fournies préalablement à l’obtention de leur consentement doivent être formulées de manière à être comprises par un enfant.
  • L’autorisation du tuteur légal devient obligatoire pour l’envoi aux mineurs de sms et d’emails à des fins de prospection commerciale.

Recommandations de la CNIL en matière d’email marketing B2B : la pratique de l’opt-out en question

En l’état actuel de la réglementation, la CNIL admet le recours à l’opt-out sur un site internet à l’adresse de professionnels dans le cadre de relations commerciales B2B. Concrètement, l’entreprise est autorisée à envoyer des messages publicitaires aux professionnels sans avoir récolté leur consentement préalable :

  • L’entreprise informe le prospect professionnel que ses coordonnées vont être utilisées à des fins promotionnelles.
  • Le destinataire des contenus publicitaires doit pouvoir s’y opposer.

La CNIL consacre ainsi la pratique de l’opt-out actif : la case est cochée par le prospect s’il refuse de recevoir de la publicité.

A noter : cette règle ne vaut que si le contenu à visée prospective est en lien avec la profession de son destinataire.

Plus libre encore, l’entreprise a l’autorisation d’envoyer des emails marketing de toutes natures aux personnes morales. Sont concernées les adresses email génériques de type « info@… » ou « contact@… ». Cette tolérance de la part de la CNIL admet ainsi l’usage de l’opt-out passif.
Comme dans les relations B2C, il est néanmoins obligatoire de laisser la possibilité au destinataire quel qu’il soit de se désinscrire de la liste à tout moment.
Si la pratique de l’opt-out est actuellement admise et largement utilisée sur les sites internet destinés aux professionnels, le RGPD risque de bouleverser les règles. En effet, le nouveau règlement général sur la protection des données ne distingue pas les professionnels des consommateurs : en renforçant le principe de l’opt-in actif sans évoquer le sort de l’emailing B2B, il fait craindre à une obligation de recueil du consentement des professionnels… Pour le moment, l’interprétation du règlement européen est source de controverse : s’appliquera-t-il sans distinction des personnes ou les recommandations de la CNIL resteront-elles en vigueur ? La position de la CNIL est très attendue sur ce sujet.

Les sanctions en cas de non-respect des règles d’opt-in et d’opt-out.

Au moment de l’édition du contenu de son site internet, le professionnel doit être attentif à respecter les règles de l’opt-in et de l’opt-out en vue de la collecte et de l’exploitation des données des internautes. A défaut, il risque des sanctions importantes :

  • Une amende administrative d’un montant pouvant aller jusqu’à 15 000 € (3 000 € pour les personnes physiques).
  • En cas de refus de mise en conformité du système d’opt-in, et si la protection des consommateurs le justifient : une suspension du site internet et des sanctions pécuniaires lourdes – jusqu’à 10 % du CA ou 375 000 € (article L36-11 du Code des postes et des communications électroniques).

Illustration : la CNIL a sanctionné d’une amende de 20 000 € la société de diagnostic immobilier qui envoyait des sms prospectifs sans consentement préalable des destinataires.

A compter de l’entrée en vigueur du RGPD, les entreprises devront veiller à se mettre en conformité avec la nouvelle réglementation en matière d’opt-in. A défaut, la CNIL sera habilitée à prononcer des sanctions – amendes administratives jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros.