Questions RGPD : Puis-je envoyer une enquête par e-mailing à mes contacts, sans leur Consentement ?

Si vous avez déjà eu l’occasion de réaliser une campagne e-mailing pour la diffusion d’un questionnaire en ligne auprès de vos clients et prospects (BtoC ou BtoB), dans le cadre d’une enquête de satisfaction par exemple, et que vous n’aviez pas préalablement recueilli leur consentement spécifique pour ce type de sollicitation, vous vous êtes sans doute posé des questions sur la conformité de votre démarche vis-à-vis du Règlement Général sur la Protection des Données (« RGPD », ou « General Data Protection Regulation » / « GDPR » en anglais).

D’autant plus si, pour réaliser cette enquête de satisfaction, vous avez fait appel à un prestataire et avez dû lui partager la liste de vos contacts (ou l’importer dans un logiciel de type SaaS) pour la gestion de la campagne e-mailing.

Dans cet article, nous allons vous apporter un maximum d’éclaircissements pour savoir comment procéder dans une telle situation, et quelles précautions prendre, afin de rester en totale conformité avec le RGPD.

1. Dans quels contextes réaliser une campagne e-mailing pour mon enquête ?

A titre d’illustration, si votre organisation n’a pas pleinement intégré l’évaluation de la satisfaction dans son parcours client, en envoyant par exemple de manière automatisée - peu de temps après un acte d’achat - un e-mail redirigeant vers un questionnaire de satisfaction, cela ne doit vous empêcher pour autant de prendre ponctuellement ou régulièrement le pouls de vos clients, de vérifier que vos produits et services leur conviennent, etc. Vous pourriez alors être amené à solliciter plusieurs dizaines, centaines ou milliers de clients en même temps, pour les inviter à répondre à votre enquête de satisfaction.

Après avoir conçu votre questionnaire en ligne, vient le moment de vous attaquer à l’e-mailing d’invitation (rédaction du contenu de l’e-mail et paramétrage de l’envoi). Pour ce faire, vous allez mettre en place une campagne e-mailing (avec un routage e-mailing) et allez ainsi programmer l'envoi en masse (et souvent simultané) de l'e-mail auprès de l'ensemble ou d'une partie ciblée de vos clients. Cette campagne e-mailing pourra être réalisée soit en interne parce que votre organisation dispose des compétences techniques nécessaires, soit via un intermédiaire / prestataire telle qu’une société d’études ou un logiciel de type SaaS (ex : Salesforce, Mailchimp, Sarbacane, Brevo, etc.).

Une campagne e-mailing est nécessairement associée à la création et/ou la manipulation d’une liste de diffusion (liste de contacts), contenant a minima les adresses e-mails des destinataires.

Remarques :

La réalisation de campagnes e-mailing ne se limite pas aux enquêtes de satisfaction.
Vous pouvez également être amené à réaliser une campagne e-mailing pour la diffusion d’un questionnaire en ligne auprès des prospects enregistrés dans votre CRM, visant à identifier leurs besoins / attentes par exemple.
Ou encore : pour la diffusion d’un questionnaire en ligne auprès de quelques-uns de vos clients et prospects visant à tester une nouveauté que votre organisation compte lancer (ex : nouveau produit / service, nouveau site internet, nouvelle identité visuelle, nouvelle campagne publicitaire, etc.), et à connaitre leurs avis, émotions et ressentis vis-à-vis de celle-ci.

2. Pourquoi suis-je soumis au RGPD lorsque je réalise une campagne e-mailing pour mon enquête ?

A elle seule, et indépendamment du questionnaire en ligne, la campagne e-mailing que vous êtes susceptible d’envoyer à vos contacts pour les inviter à répondre au questionnaire nécessite plusieurs opérations de traitement de données personnelles.

Le fait de créer / enregistrer une liste de diffusion (liste de contacts), que ce soit dans un fichier Excel sur son ordinateur ou dans un fichier informatique sur un serveur de base de données, constitue déjà une opération de traitement de données personnelles.

De même, le simple fait de consulter cette liste constitue là aussi une opération de traitement de données personnelles.

Autrement dit, même si le questionnaire associé à votre campagne e-mailing permet de collecter les réponses de manière totalement anonyme, et que vous ne partagez pas la liste de diffusion avec un tiers (prestataire / logiciel), votre e-mailing – et donc l’ensemble de votre enquête - seront tout de même soumis au RGPD.

Schéma présentant des exemples d'opérations de traitement de données personnelles dans le cadre de la réalisation d'une campagne e-mailing

3. Comment puis-je réaliser une campagne e-mailing conforme au RGPD, sans le Consentement de mes contacts ?

3.1. La base légale de l’Intérêt légitime dans le cadre d’une enquête

Bonne nouvelle : lorsque vous souhaitez diffuser votre questionnaire en ligne auprès de vos contacts, à travers une campagne e-mailing, vous pouvez vous reposer sur la base légale de l’Intérêt légitime.

L’Intérêt légitime est l’une des six bases légales prévues par le RGPD (les autres bases légales étant : le Consentement, le Contrat, l’Obligation légale, la Sauvegarde des intérêts vitaux, l’Intérêt public). L’Intérêt légitime autorise le Responsable de traitement à mettre en œuvre des opérations de traitement de données personnelles (ex : créer et/ou partager une base de données contenant la liste des contacts, pour la gestion de la campagne e-mailing), sans le Consentement préalable des personnes concernées (les destinataires de l’e-mailing).

Cela signifie donc que, pour réaliser une campagne e-mailing afin d’inviter vos contacts à prendre part à l’enquête, vous n’êtes pas dans l’obligation d’avoir obtenu leur consentement préalable et spécifique pour ce type de traitement / sollicitation.

Toutefois, comme nous allons le voir un peu plus loin dans cet article (voir partie 4.1), le fait de vous reposer sur l’Intérêt légitime pour réaliser votre campagne e-mailing vous oblige à justifier la pertinence du traitement et à respecter certaines conditions, portant notamment sur la sélection des personnes qui seront sollicitées et les mentions légales à faire figurer dans le contenu de l’e-mail.

Remarques :

La base légale de l’Intérêt légitime peut aussi s’appliquer pour la réalisation de campagnes e-mailing à vocation publicitaire / de prospection commerciale. Mais ici, à l’inverse des e-mailings d’invitation à des enquêtes - qui peuvent se fonder sur l’Intérêt légitime aussi bien dans un cadre BtoB que BtoC - les contacts sollicités (destinataires des e-mailings publicitaires) doivent nécessairement être des contacts professionnels (BtoB) et non des particuliers (BtoC).

3.2. Se reposer sur l’Intérêt légitime pour partager la liste de contacts avec un prestataire

Le fait de pouvoir vous reposer sur la base légale de l’Intérêt légitime pour réaliser votre campagne e-mailing vous permet également de partager la liste de vos contacts avec un prestataire - sans en informer préalablement les contacts concernés – afin de confier à ce dernier la gestion de la campagne.
Le prestataire choisi agira alors en tant que « Sous-traitant » dans le cadre du RGPD.
Et vous, en qualités de propriétaire de la liste de contacts et de donneur d’ordre vis-à-vis du prestataire, agirez en tant que Responsable de traitement.

Remarques :

Retrouvez notre article complet sur la répartition des rôles de Responsable de traitement et de Sous-traitant dans le cadre du RGPD, ainsi que sur les étapes à suivre pour contrôler la conformité des Sous-traitants (qu’il s’agisse de sociétés de prestation de services comme des sociétés d’études, ou de sociétés éditrices de logiciels de type SaaS) :
Comment contrôler la conformité RGPD de mes Sous-traitants et Logiciels d'enquêtes ?

Le prestataire (Sous-traitant) peut par exemple être :

• une société d’études qui vous accompagne dans la réalisation de l’enquête et se charge de la campagne e-mailing (comme est amenée à le faire notre société d’études MIS Group – à travers ses Solutions d’études Quanti et Solutions d’études Quali - lorsqu’elle réalise des études en ligne sur des fichiers clients).


• ou encore une société éditrice d’un logiciel de type SaaS, permettant la gestion de campagnes e-mailing (ex : Salesforce, Mailchimp, Sarbacane, Brevo, etc.).

Bien entendu, le partage de la liste de contacts avec le Sous-traitant, et l’enregistrement et la conservation de cette liste sur les serveurs du Sous-traitant, doivent se faire de manière confidentielle et sécurisée, en totale conformité avec le RGPD.

Exemple de liste de contacts utilisée dans le cadre d'une campagne e-mailing

3.3. Les précautions à prendre en cas de partage de la liste de contacts avec un prestataire

Pour vous apporter des garanties sur les mesures techniques et organisationnelles mises en place par le prestataire (Sous-traitant), et ses engagements en termes de protection des données, il est recommandé de conclure avec lui, avant le début de la prestation, un contrat de sous-traitance intégrant un accord spécifique sur la protection des données personnelles.

Cet accord est appelé « Data Processing Agreement » (« DPA », ou « Accord de traitement des données » / « ATD » en français).

Les différentes clauses dans le « DPA », ainsi que les éventuels annexes / documents complémentaires qui accompagneront le contrat de sous-traitance, pourront vous permettre de valider que le Sous-traitant a mis en place des mesures appropriées et que votre liste de contacts se trouvera donc entre de bonnes mains.

Remarques :

Pour rédiger le « DPA », vous pouvez vous appuyer sur les modèles de clauses fournis par la CNIL (l’autorité de contrôle en France) : 
Voir les modèles de clauses de la CNIL

Toutefois, dans le cas des éditeurs de logiciels, il n’est pas toujours évident de les contacter pour leur faire signer un contrat de sous-traitance. Heureusement, la plupart d’entre eux incluent des clauses sur la protection des données personnelles directement dans leurs conditions générales de vente et d’utilisation. Dans ce cas, nous vous recommandons simplement d’enregistrer le(s) document(s) contenant les clauses, et de bien le(s) conserver au moins jusqu’à la fin des traitements.

A noter également, toujours au sujet des prestataires (Sous-traitants), que si vous ou votre Sous-traitant utilisez les services d’un hébergeur pour stocker vos fichiers / bases de données, et donc nécessairement la liste de diffusion pour la campagne e-mailing, alors l’hébergeur (ex : la société OVH) sera lui aussi considéré comme Sous-traitant (ou Sous-traitant ultérieur selon les cas) pour l’ensemble des traitements opérés sur ces fichiers. Veillez donc, là encore, à vérifier les mesures mises en place par l’hébergeur en question.

4. Quelles différences entre le Consentement et l’Intérêt légitime pour la gestion de ma campagne e-mailing ?

4.1. Consentement vs Intérêt légitime : devoir ou non justifier la pertinence du traitement

Le Consentement, lorsqu’il a été recueilli de manière valide, permet d’apporter à lui seul la « preuve » que les personnes qui ont été sollicitées étaient volontaires pour l’être. Il n’y a donc pas de justification particulière pour le Responsable de traitement à apporter en supplément de cette « preuve », en cas d’examen par une autorité de contrôle par exemple.

Pour faire simple : dans le cas d’un e-mailing d’invitation à une enquête, si le Consentement a été recueilli de manière valide - éclairée et spécifique - auprès des personnes à contacter (ex : au moment où elles se sont créées un compte client chez le Responsable de traitement, au moment où elles ont effectué un achat chez le Responsable de traitement, etc.), alors le Responsable de traitement peut solliciter chacune d’entre elles pour la diffusion de son e-mailing (sans avoir à justifier leur pertinence par rapport à l’objet de son e-mailing / enquête).

A contrario, lorsque le traitement repose sur l’Intérêt légitime, le Responsable de traitement doit pouvoir justifier l’existence de cet intérêt légitime. Il doit plus précisément, sur la base de critères objectifs, pouvoir justifier à la fois :

• De la pertinence du traitement et de sa finalité pour l’organisation : l’objectif poursuivi par ce traitement doit être nécessaire à l’activité de l’organisation. Lorsque le traitement correspond à la réalisation d’une campagne e-mailing  pour inviter des clients à répondre à un questionnaire de satisfaction, la finalité poursuivie par ce traitement est tout simplement : obtenir des réponses / avis clients. Pour démontrer que ces réponses / avis sont nécessaires à son activité (et à la pérennisation de celle-ci), le Responsable de traitement peut s’appuyer sur le fait qu’ils lui permettent d’évaluer le niveau de satisfaction client par rapport à ses produits et services, d’identifier les éventuels besoins d’assistance, et d’améliorer in fine ses produits et services nécessitant de l’être.


• De la pertinence de ce traitement, par rapport aux autres traitements possibles pour atteindre la même finalité : les moyens utilisés (le choix de réaliser une campagne e-mailing) doivent être les mieux adaptés au regard de la finalité visée (obtenir des réponses au questionnaire en ligne). On entend par « mieux adaptés » le fait qu’il n’y ait aucun autre moyen – que ceux utilisés - qui permettraient d’atteindre la même finalité en traitant moins de données personnelles, et/ou en traitant des données personnelles d’une manière moins intrusive.


• De la pertinence des personnes concernées par le traitement (les destinataires de l’e-mailing) : chacune des personnes sélectionnées pour la campagne e-mailing doit présenter un réel intérêt pour l’enquête.
  Ainsi, pour une enquête de satisfaction, le Responsable de traitement doit ajouter dans sa liste de diffusion uniquement des clients « actifs » / récents (ex : il pourra s’agir des clients ayant effectué un achat il y a moins de 3 mois).


• Du fait que le traitement va également servir les intérêts / attentes des personnes concernées (ex : tenter de regagner la confiance des clients insatisfaits, d’apporter une assistance et/ou un geste commercial à ceux ayant rencontré des problèmes avec un produit ou un service, et améliorer in fine leur expérience avec le produit ou le service).
  C’est le principe de « balance » entre l’intérêt pour le Responsable de traitement et l’intérêt pour les personnes concernées.

Dans le cas de la création et/ou du partage de la base de données contenant la liste des contacts (pour la mise en place de la campagne e-mailing), il faut aussi penser – bien entendu – à respecter le principe de minimisation des informations : limiter au strict nécessaire le nombre de contacts dans la base de données, et limiter au strict nécessaire le nombre d’informations sur chaque contact.

Par exemple, les informations pourront la plupart du temps se limiter à l’adresse e-mail, et éventuellement à la civilité, au prénom et/ou au nom (pour personnaliser le contenu de l’e-mail avec une accroche de type « Bonjour Madame Dupont » par exemple).

Schéma récapitulant les conditions requises par les deux bases légales

4.2. Consentement vs Intérêt légitime : choisir la base légale la mieux adaptée

Si vous disposez déjà du consentement valide de vos contacts (qui ont déjà accepté - de manière éclairée et spécifique - de recevoir des e-mails d’invitation pour participer à vos enquêtes), ou s’il n’est pas contraignant pour vous de recueillir leur consentement avant d’envoyer vos invitations, vous pourrez de toute évidence vous reposer sur la base légale du Consentement.

A l’inverse, si vous n’êtes pas dans ce cas et que la réalisation de l’enquête s’avère nécessaire pour votre organisation, vous pouvez légitimement répertorier les adresses e-mails de vos contacts (ex : clients, mais aussi prospects dans le cas d’une étude des besoins / attentes par exemple) dans une nouvelle base de données, sans avoir à en informer les personnes concernées (mais en prenant bien sûr toutes les précautions nécessaires pour pouvoir justifier l’existence de l’intérêt légitime, comme vu ci-avant).

Puis vous pouvez partager la base de données avec le Sous-traitant en charge de la campagne e-mailing, toujours sans en informer au préalable les personnes concernées. Vous pouvez aussi bien entendu gérer vous-même cette campagne e-mailing, sans recours à un Sous-traitant, si votre organisation dispose des compétences techniques nécessaires en interne.

Quoi qu’il en soit, l’e-mail d’invitation qui sera envoyé aux contacts devra faire apparaitre quelques mentions - comme nous allons le voir un peu plus loin dans cet article (voir partie 6.1) - et notamment la base légale sur laquelle il repose : le Consentement ou l’Intérêt légitime.

5. Mes contacts peuvent-ils s’opposer à recevoir l’e-mailing, même lorsque je me repose sur l’Intérêt légitime ?

5.1. Le droit d’opposition : la possibilité de se désinscrire de l’e-mailing

Comme pour toute campagne e-mailing reposant sur la base légale de l’Intérêt légitime (e-mailings d’invitation à des enquêtes en BtoC et BtoB, e-mailings de prospection commerciale en BtoB, etc.), à défaut de Consentement, les personnes concernées (les destinataires de l’e-mailing) disposent d’un droit d’opposition. Ce droit permet, à toute personne qui en fait la demande, de s’opposer à la réception de l’e-mailing.

Sauf exception, pour l’organisation ou le prestataire qui expédie l’e-mailing, la prise en compte du droit d’opposition se traduira par l’ajout d’un lien de désinscription dans le contenu de l’e-mail (le plus souvent en pied de page de l’e-mail). Ainsi, toute personne cliquant sur ce lien devra être sortie de la « boucle » (exclue de la liste de diffusion), et ne devra plus recevoir d’autres sollicitations du même type de la part de l’organisation ou de son prestataire.

Bien entendu, dans le cas où vous confiez la gestion de la campagne e-mailing à un prestataire, comme vu précédemment, il faudra bien veiller à ce que ce droit d’opposition soit respecté et que les personnes en ayant fait la demande soient bien exclues de la liste de diffusion chez le prestataire.

Remarques :

Dans le cas d’un e-mailing d’invitation à une enquête, la prise en compte du droit d’opposition, lorsque celui-ci est exercé, ne pourra prendre effet qu’à l’issue de l’envoi du premier e-mailing (et donc réellement s’appliquer sur les éventuels e-mailings de relance pour cette enquête, voire sur de futurs e-mailings d’invitation pour d’autres enquêtes similaires).

5.2. Les droits d’effacement, d’accès et de rectification des données personnelles

Au-delà du droit d’opposition, les personnes concernées disposent également d’un droit d’effacement, pour que leurs données personnelles soient totalement supprimées de tous vos fichiers / bases de données (et donc pas uniquement de la liste de diffusion associée à la campagne e-mailing). Le plus souvent, une procédure claire et simple sera communiquée dans le contenu de l’e-mail, pour pouvoir exercer le droit d’effacement, tel que : contacter le référent RGPD au sein de l’organisation.

Également, les droits d’accès et de rectification peuvent s’appliquer aux e-mailings d’invitation à des enquêtes, pour permettre aux personnes qui le demandent de savoir précisément quelles sont les données personnelles les concernant dont dispose l’organisation, et de pouvoir le cas échéant les corriger / mettre à jour. Là encore, pour exercer ces droits, les personnes seront invitées à prendre contact avec le référent RGPD au sein de l’organisation.

Sauf cas particuliers, le référent RGPD sera la personne remplissant les fonctions de « Data Protection Officer » (« DPO », ou « Délégué à la Protection des Données » / « DPD » en français). Souvent, une adresse e-mail de type dpo@company.com, rgpd@company.com ou encore cnil@company.com est créée par l’organisation et communiquée pour l’exercice des droits (droit d’effacement, droit d’accès, droit de rectification, etc.).

Schéma présentant des exemples de procédures à suivre pour gérer les demandes d'exercice de droits

6. Quelles mentions légales dois-je ajouter dans l’e-mailing, lorsque je me repose sur l’Intérêt légitime ?

6.1. Les mentions légales dans l’e-mailing : la liste complète des informations à communiquer dans l’e-mail

Même si vous avez pu « outrepasser » le recueil du Consentement auprès de vos clients et prospects pour réaliser la campagne e-mailing et diffuser votre questionnaire en ligne (directement ou par l’intermédiaire d’un prestataire / logiciel), en vous reposant sur la base légale de l’Intérêt légitime, cela ne signifie pas pour autant que vous ne devez pas faire preuve d’un maximum de transparence pour expliquer votre démarche et préciser pourquoi elle est fondée sur la base légale de l’Intérêt légitime.

Le contenu de votre e-mail d’invitation devra donc faire figurer toutes les informations suivantes :

• Votre identité, en tant que Responsable de traitement (votre raison sociale) ;
• L’identité du Sous-traitant (l’expéditeur de l’e-mailing), si vous avez confié la gestion de la campagne e-mailing à un prestataire ;
• Les finalités de la campagne e-mailing (ex : invitation à participer à une enquête de satisfaction) ;
• La base légale du traitement (ex : l’Intérêt légitime) ;
• Le caractère facultatif de la participation à l’enquête (pas d’obligation de participation) ;
• Le rappel des droits des personnes concernées (les destinataires de l’e-mailing / de l’enquête) sur leurs données personnelles ;
• Les coordonnées à contacter pour exercer ces droits (ex : l’adresse e-mail de votre référent RGPD, comme vu précédemment) ;
• Le rappel du droit, pour les personnes concernées, d’introduire une réclamation auprès de la CNIL (ou une autre autorité de contrôle si ces personnes ne sont pas en France), si elles estiment – après avoir contacté votre référent RGPD – que leurs droits sur leurs données personnelles n’ont pas été respectés (vous pouvez également leur communiquer le lien vers le service de plaintes en ligne de la CNIL :  www.cnil.fr/fr/plaintes)

De surcroît, lorsque la campagne e-mailing repose sur la base légale de l’Intérêt légitime, il conviendra d’expliquer précisément les intérêts légitimes poursuivis :

• D’abord, le fait que la réalisation d’une campagne e-mailing est nécessaire pour inviter les personnes concernées à venir participer à l’enquête et à répondre au questionnaire en ligne (ex : car il n’existe aucun autre moyen de sollicitation pour partager le questionnaire en ligne auprès de vos contacts, impliquant le traitement de moins de données personnelles) ;
• Ensuite, le fait que cette campagne e-mailing entre dans une démarche d’enquête - telle qu’une enquête de satisfaction - nécessaire pour maintenir l’activité pérenne de votre organisation (ex : car elle vous permet de suivre la satisfaction de vos clients, d’identifier les éventuels besoins d’assistance, et d’améliorer in fine vos produits et services nécessitant de l’être).

Remarques :

Vous pouvez également intégrer dans le contenu de l’e-mail d’invitation les mentions légales liées aux traitements qui seront cette fois-ci opérés sur le questionnaire en ligne, lorsque des données personnelles vont directement être collectées / enregistrées à partir de celui-ci (autrement dit : lorsque les réponses au questionnaire ne seront pas collectées de manière totalement anonyme).

Il va notamment s’agir des cas où, sur le questionnaire (et dans les fichiers de réponses associés), seraient automatiquement reportées des informations de contact provenant de la liste de diffusion (adresses e-mails, prénoms/noms, numéros clients ou autres identifiants). Ou encore des cas où des adresses IP seraient automatiquement collectées sur le questionnaire, où certaines réponses pourraient contenir des informations personnelles identifiantes (PII) / nominatives, où le regroupement de plusieurs réponses pourrait permettre d’en déduire l’identité de certains répondants, etc.

Les mentions légales concernant le questionnaire pourraient alors être les suivantes :

• Les finalités des réponses au questionnaire (c’est-à-dire : à quoi vont servir les réponses) ;
• Les destinataires des réponses au questionnaire (c’est-à-dire : les sociétés qui auront accès aux réponses) ;
• La durée de conservation des réponses au questionnaire (qui doit être limitée au strict nécessaire).

Toutefois, les mentions légales liées spécifiquement au questionnaire sont la plupart du temps intégrées au début du questionnaire (ex : dans l’introduction), plutôt que dans l’e-mail, afin notamment de ne pas trop « alourdir » le contenu de l’e-mail.

6.2. Les mentions légales dans l’e-mailing : nos modèles de contenus à ajouter en pied de page de l’e-mail

Toujours dans l’objectif de ne pas trop « alourdir » le contenu pour les lecteurs, tout ou partie des mentions légales spécifiques à la campagne e-mailing sont souvent insérées :

• à la fin du corps de l'e-mail (en pied de page) ;
• ou - comme le préconise la CNIL (et comme elle le pratique pour ses propres enquêtes) - dans une page web à part. Dans ce cas, un lien redirigeant vers cette page web est alors intégré dans le corps de l'e-mail et/ou le pied de page de l'e-mail.

Nos modèles de contenus ci-dessous illustrent ces deux cas de figure. Il s’agit d’exemples de contenus pour des pieds de pages d’e-mails, intégrant les différentes mentions légales nécessaires lorsque la campagne e-mailing repose sur la base légale de l’Intérêt légitime (comme vu précédemment).

Dans ces deux exemples, la société Company représente le Responsable de traitement, et notre société MIS Group représente le Sous-traitant auquel a été confiée la gestion de la campagne e-mailing.

Exemple N°1 : Modèle exhaustif

Modèle de pied de page reprenant l'intégralité des mentions légales spécifiques à la campagne e-mailing.

---

Cet e-mail vous a été envoyé par notre société MIS Group pour le compte de la société Company.

Vous avez reçu cet e-mail car vous avez récemment effectué un achat auprès de Company.
Votre adresse e-mail, votre civilité et votre nom nous ont été communiqués par Company, sur la base légale de l’intérêt légitime, avec pour seule finalité de vous contacter afin de vous inviter à participer à l’enquête de satisfaction. Nous avons enregistré ces informations dans une liste de diffusion (fichier informatique), que nous conservons sur un serveur sécurisé en Europe (société OVH) pendant la durée nécessaire à la réalisation de l’enquête.

La réalisation de cette enquête, et l’envoi des invitations par e-mail, sont nécessaires pour Company afin de suivre la satisfaction de ses clients, d’identifier les éventuels besoins d’assistance, et d’améliorer en fine ses produits et services nécessitant de l’être. Votre participation à cette enquête est facultative.

Si vous souhaitez exercer votre droit d’opposition et vous désinscrire de cette liste de diffusion, cliquez ici.
Si vous souhaitez exercer vos droits d’accès, de rectification ou d’effacement de vos données personnelles auprès de la société Company, veuillez contacter le Délégué à la protection des données de Company à cette adresse : dpo@company.com.
Si vous estimez, après avoir contacté Company, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

Exemple N°2 : Modèle simplifié

Modèle de pied de page reprenant une partie des mentions légales (identité du Responsable de traitement et modalités d'exercice du Droit d'opposition).

---

Cet e-mail vous a été envoyé par notre société MIS Group pour le compte de la société Company.

Vous avez reçu cet e-mail car vous avez récemment effectué un achat auprès de Company, et nous avons donc estimé que votre participation à cette enquête de satisfaction était pertinente.

Pour vous désinscrire et ne plus être sollicité(e) dans le cadre de cette enquête, cliquez ici.

Pour en savoir plus sur le traitement de vos données personnelles en lien avec le présent e-mail et l'enquête, consultez les Mentions légales relatives à cette enquête.

A noter que dans le deuxième exemple (modèle simplifié), le lien « Mentions légales » redirigera nécessairement vers une page web à part, dans laquelle le reste des mentions légales spécifiques à l'e-mailing et au questionnaire seront détaillées.

Vous pouvez consulter un exemple de page web « Mentions légales », rédigé dans le cadre d'une enquête menée par notre société MIS Group pour le compte d'un de nos clients, avec campagne e-mailing (le nom du client a été remplacé par « Company ») : Voir l'exemple de page web de MIS Group

7. Quelles autres bonnes pratiques dois-je adopter pour ma campagne e-mailing et mon enquête ?

Au-delà de la base légale, de la pertinence du traitement et des mentions légales spécifiques à votre campagne e-mailing, pensez aussi de manière plus générale à :

•  Limiter le nombre d’enquêtes que vous allez envoyer à vos clients et prospects, pour ne pas « sur-solliciter » les personnes : si l’activité de votre organisation nécessite de réaliser beaucoup d’enquêtes, veillez peut-être à segmenter vos clients et prospects en plusieurs groupes, pour ainsi solliciter les groupes les plus pertinents selon l’objet et les finalités de chacune des enquêtes (et ne pas viser trop large à chaque enquête). De même, si vous jugez qu’une centaine de répondants suffira pour une enquête, et que votre taux de complétion habituel se situe autour de 10%, limitez-vous à 1000 destinataires environ pour l’e-mailing d’invitation à cette enquête (quitte à le renvoyer ensuite à d’autres contacts si vous n’avez pas obtenu la centaine de répondants visée).


• Limiter le nombre de relances pour chaque enquête : une fois l’e-mailing d’invitation envoyé (e-mailing initial), vous pouvez prévoir d’envoyer 2 à 3 e-mailings de relance maximum, avec un intervalle de 2 à 3 jours minimum entre chaque vague. Bien entendu, pour chaque e-mailing de relance, il faudra penser à exclure des destinataires les contacts s’étant précédemment désinscrits (à partir du lien de désinscription dans l’e-mailing d’invitation ou dans le(s) précédent(s) e-mailing(s) de relance).

Également, il faut être vigilent sur la façon dont sont manipulées et conservées les listes de diffusion (listes de contacts) associées à vos campagnes e-mailing, au sein de votre organisation et chez vos éventuels Sous-traitants, afin de garantir la confidentialité et la sécurité des données personnelles qu’elles contiennent. Il faut notamment penser à sécuriser et limiter l’accès aux ordinateurs et/ou aux serveurs sur lesquels elles sont stockées, ou encore à supprimer les fichiers / bases de données dès qu’il n’est plus nécessaire d’envoyer des e-mailings d’invitation (ou de relance) sur ces listes de diffusion.

Enfin, pour chaque nouvelle enquête, en plus de l’e-mailing d’invitation (et des éventuels e-mailings de relance), il faudra bien entendu veiller à mettre en conformité l’ensemble des autres étapes de l’enquête, notamment en :

• Informant votre référent RGPD / DPO avant de lancer la nouvelle enquête ;
• Déterminer les rôles de chaque acteur impliqué dans l’enquête (Responsable de traitement et Sous-traitants) ;
• Contrôler la conformité des Sous-traitants (et des Sous-traitants ultérieurs selon les cas) ;
• Vérifier qu’aucune information « sensible » n’est collectée / enregistrée à partir du questionnaire en ligne, associé à l’enquête ;
• Ajouter les mentions légales au début du questionnaire (en plus de celles figurant déjà dans votre e-mail d’invitation), spécifiques au questionnaire cette fois-ci ;
• Recueillir le consentement des répondants avant de commencer à collecter / enregistrer des réponses et autres informations dans le questionnaire ;
• S’assurer qu’il sera possible de répondre aux demandes d’exercice des droits des répondants, à l’issue de leurs réponses au questionnaire ;
• Vérifier que le principe de « minimisation des données collectées » est respecté dans le questionnaire ;
• Tenir un registre des traitements de données spécifique à l’enquête.

 Bon à savoir :
Pour la réalisation de vos enquêtes Quanti, et aussi de vos études Quali, en totale conformité avec le RGPD, notre société d’études MIS Group – à travers ses pôles Made in Surveys (Quanti) et Made in Studios (Quali) – peut vous accompagner.