Enveloppe bleue avec une icône en forme de bouclier sur le côté droit, à côté du titre « Comment envoyer des e-mails conformes au RGPD depuis WordPress » sur un fond bleu pâle (image principale).

Comment envoyer des e-mails conformes au RGPD depuis WordPress (guide complet)

Mise à jour : Divulgation des lecteurs
LinkedIn
Résumez :ChatGPTPerplexité

Si votre site WordPress accueille des visiteurs originaires de l'Union européenne, vous êtes soumis au RGPD, que vous en soyez conscient ou non, et que votre entreprise soit implantée en Europe ou non.

La plupart des guides consacrés au RGPD et à WordPress se concentrent sur les bannières de cookies et les politiques de confidentialité. Ces aspects sont certes importants, mais il existe tout un volet de la conformité qui retient beaucoup moins l'attention : les e-mails envoyés par votre site.

Chaque fois que WordPress envoie une demande de réinitialisation de mot de passe, une confirmation de commande WooCommerce ou une newsletter, il traite des données à caractère personnel. Cela signifie que le RGPD s'applique.

La bonne nouvelle, c'est que la plupart des démarches à effectuer sont simples une fois que l'on a compris les règles. Ce guide aborde tous les aspects : les exigences du RGPD en matière d'e-mails, la différence entre les e-mails transactionnels et marketing, le consentement, le traitement des données, le choix du service d'envoi d'e-mails, ainsi que la configuration technique nécessaire pour rester en conformité, y compris la manière de configurer WP Mail SMTP pour répondre à chaque exigence.

Remarque : ceci ne constitue pas un avis juridique. La conformité au RGPD dépend de votre situation particulière. Si vous avez des doutes, consultez un avocat qualifié.

Résumé rapide : les exigences du RGPD pour les e-mails sous WordPress

Les e-mails marketing nécessitent un consentement explicite et actif

Les e-mails transactionnels (confirmations de commande, réinitialisations de mot de passe) ne nécessitent pas de consentement — mais veillez à ce qu'ils ne contiennent aucun contenu promotionnel

Les adresses e-mail constituent des données à caractère personnel au sens du RGPD

Vous devez conclure un accord de traitement des données avec tout prestataire de services de messagerie tiers

Les e-mails doivent être envoyés via des connexions cryptées (TLS)

Vous devez être en mesure de répondre aux demandes de suppression de données dans un délai d'un mois

Les violations de données à caractère personnel doivent être signalées à votre autorité de contrôle dans un délai de 72 heures

Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial — les mesures de contrôle sont actives et se renforcent

Le RGPD s'applique-t-il à vos e-mails WordPress ?

En effet, si certains visiteurs de votre site résident dans l'UE ou l'EEE, le RGPD s'applique à la manière dont vous traitez leurs données, y compris leur adresse e-mail.

Cela ne concerne pas uniquement les entreprises de l'UE. Qu'il s'agisse d'une boutique WooCommerce aux États-Unis, d'un site d'adhésion en Australie ou d'une société de plugins au Canada : si vous avez des clients dans l'UE, le RGPD régit la manière dont vous traitez leurs données à caractère personnel.

Une adresse e-mail est considérée comme une donnée à caractère personnel au sens du RGPD. Il en va de même pour un nom ou une adresse IP. Lorsque votre site envoie un e-mail à un client ou à un abonné, il procède au traitement de ces données.

Cela dit, le RGPD ne vous empêche pas d'envoyer des e-mails. Cela signifie simplement que vous devez disposer d'une base légale pour le faire, et les règles varient en fonction du type d'e-mail que vous envoyez.

Les sanctions sont bien réelles et se multiplient. À elle seule, l’autorité espagnole chargée de la protection des données a infligé plus de 1 000 amendes depuis l’entrée en vigueur du RGPD, et les infractions en matière de marketing par e-mail constituent une cible récurrente. Google s’est vu infliger une amende de 50 millions d’euros en France pour des manquements en matière de consentement. Un service postal autrichien a été condamné à une amende de 9,5 millions d'euros pour ne pas avoir traité correctement les demandes relatives aux droits des personnes concernées. Il ne s'agit pas là de cas isolés, mais plutôt du type d'infractions qui surviennent lorsque le traitement des données n'est pas conforme aux règles.

Si vous êtes propriétaire d'un site web basé aux États-Unis, il est également utile de savoir que le RGPD est nettement plus strict que la loi CAN-SPAM, la loi fédérale américaine qui régit les e-mails commerciaux. La loi CAN-SPAM autorise le marketing par désabonnement (vous pouvez envoyer des e-mails aux destinataires jusqu'à ce qu'ils se désabonnent). Le RGPD exige quant à lui un consentement préalable avant tout envoi. Si vous avez des visiteurs originaires de l'UE, la conformité aux normes américaines ne suffit pas.

Les deux types d'e-mails envoyés par votre site

Votre site WordPress envoie deux types d'e-mails fondamentalement différents, et le RGPD les traite différemment.

E-mails transactionnels

Les e-mails transactionnels sont déclenchés par une action de l'utilisateur. Confirmations de commande, notifications d'expédition, réinitialisations de mot de passe, alertes de compte, réponses aux formulaires de contact. Ces e-mails sont attendus et les utilisateurs les souhaitent.

En vertu du RGPD, vous n'avez généralement pas besoin d'un consentement distinct pour envoyer des e-mails transactionnels. La base juridique est soit « l'exécution d'un contrat » (l'utilisateur a effectué un achat, vous menez donc cette transaction à bien), soit « l'intérêt légitime » (l'envoi d'un lien de réinitialisation du mot de passe est clairement dans l'intérêt de l'utilisateur).

Mais il y a un hic. Dès que vous ajoutez du contenu promotionnel, comme des recommandations de produits, des codes de réduction ou des rubriques du type « Vous aimerez peut-être aussi », vous modifiez la nature de l'e-mail et vous pourriez avoir besoin d'un consentement spécifique pour cette partie.

La meilleure approche consiste à limiter les e-mails transactionnels strictement à leur fonction initiale. Si vous souhaitez envoyer des messages marketing à vos clients après un achat, utilisez un e-mail distinct et veillez à obtenir leur consentement préalable.

Pour en savoir plus sur les règles relatives aux e-mails transactionnels, consultez notre guide complet des bonnes pratiques en matière de RGPD pour les e-mails transactionnels.

Conseil pour les utilisateurs de WooCommerce

WooCommerce intègre des paramètres RGPD qu'il vaut la peine de vérifier. Rendez-vous dans WooCommerce > Paramètres > Comptes et confidentialité pour configurer les durées de conservation des données à caractère personnel et des commandes en attente, activer les demandes de suppression de compte et ajouter des liens vers la politique de confidentialité sur les pages de paiement et d'inscription. Réglez ici les aspects de WooCommerce liés à la conformité avant de vous occuper de la configuration SMTP.

E-mails marketing

Les e-mails marketing, c'est différent. Si vous envoyez des newsletters, des campagnes promotionnelles ou tout autre e-mail dont l'objectif principal est de vendre ou de promouvoir un produit ou un service, vous devez obtenir le consentement explicite du destinataire avant de l'envoyer.

Les cases pré-cochées ne sont pas valables. Le consentement groupé (qui consiste à dissimuler l'autorisation de recevoir des e-mails marketing dans les conditions générales) n'est pas valable. Le consentement doit être donné librement, être spécifique et pouvoir être facilement retiré.

Si vous envoyez des e-mails marketing à des abonnés situés dans l'UE, obtenir leur consentement dès le départ est la base sur laquelle tout le reste repose.

L'abonné doit donner son consentement de manière active en cochant une case qui n'est pas cochée par défaut, et non une case pré-cochée. Ce consentement doit porter spécifiquement sur le marketing par e-mail et ne pas être noyé dans une politique de confidentialité générale. Il doit en outre être clairement expliqué : de qui proviendront les messages et quel type d'e-mails l'abonné recevra.

Vous devez également être en mesure de prouver que le consentement a bien été donné. Cela implique de consigner la date à laquelle il a été donné, le contenu du formulaire et l'endroit où l'abonné s'est inscrit. Si vous ne pouvez pas produire de traces de ce consentement lors d'un contrôle, c'est comme si ce consentement n'avait jamais existé.

Double confirmation

Le double opt-in n'est pas une obligation légale au titre du RGPD, mais c'est l'approche la plus sûre. Lorsqu'une personne s'inscrit, elle reçoit un e-mail de confirmation et n'est ajoutée à votre liste qu'après avoir cliqué pour confirmer. Cela permet de conserver une trace claire et d'écarter les adresses erronées ou saisies par erreur.

Il faut que la désinscription soit simple

Retirer son consentement doit être aussi simple que de le donner. Chaque e-mail marketing doit comporter un lien de désabonnement fonctionnel. Lorsqu'une personne se désabonne, traitez sa demande sans délai : tout retard constitue à la fois un risque en matière de conformité et un problème de confiance.

Formulaires sur votre site

Tout formulaire qui recueille une adresse e-mail doit indiquer clairement à quelles fins cette adresse sera utilisée. Les formulaires de contact et les formulaires d'inscription à une newsletter ayant des objectifs différents, ils doivent comporter des mentions de consentement distinctes.

Formulaire de consentement RGPD dans WPForms

Si vous utilisez WPForms, vous pouvez ajouter un champ de consentement RGPD directement à n'importe quel formulaire, désactiver le suivi des adresses IP et désactiver la collecte des cookies, le tout depuis les paramètres du formulaire, sans avoir à écrire une seule ligne de code.

Et votre liste de diffusion actuelle ?

Si vous avez constitué votre liste avant l'entrée en vigueur du RGPD en 2018 (ou si vous avez collecté des adresses sans obtenir un consentement explicite), vous risquez d'avoir un problème. Un consentement obtenu sans respecter les exigences du RGPD (case non cochée, explication claire de ce à quoi les abonnés s'engageaient) n'est pas valable.

La solution la plus sûre consiste à mener une campagne de reconfirmation : envoyez un e-mail à votre liste actuelle pour demander aux destinataires de réaffirmer activement leur consentement, et supprimez tous ceux qui ne le font pas. C'est une démarche délicate, car votre liste s'en trouvera réduite. Mais c'est préférable à une amende, et les personnes qui réaffirment leur consentement sont bien plus engagées que les anciens contacts qui se souviennent à peine de s'être inscrits.

Listes d'adresses e-mail achetées

Ne les utilisez pas. Le consentement au titre du RGPD doit être spécifique à votre organisation, et les personnes qui ont accepté de recevoir des communications d'une autre entreprise n'ont pas pour autant donné leur accord pour recevoir les vôtres. Vous ne pouvez pas vous procurer une liste de diffusion valide en achetant des données, conformément au RGPD.

Droits des personnes concernées et délais de réponse

En vertu du RGPD, vos abonnés et vos clients ont le droit d'accéder aux données que vous détenez à leur sujet, de les rectifier ou de les supprimer. Lorsqu'une personne en fait la demande, vous disposez d'un mois pour y répondre. Consignez chaque demande et la manière dont elle a été traitée, car ce sont là des éléments qui sont souvent examinés lors des audits.

Qu'est-ce qui est considéré comme une donnée à caractère personnel dans vos e-mails ?

Au sens du RGPD, les données à caractère personnel désignent toute information permettant d'identifier une personne, directement ou indirectement. Dans le cadre des e-mails, cela comprend :

  • Noms et adresses e-mail
  • adresses IP
  • Historique des achats associé à un compte
  • Coordonnées bancaires dans le corps de l'e-mail

Ces données se trouvent dans vos journaux de messagerie, dans votre base de données et, éventuellement, sur les serveurs de votre fournisseur de messagerie tiers. Elles relèvent toutes du RGPD.

Réduction des données

Le principe de minimisation des données prévu par le RGPD implique que vous ne devez collecter et traiter que les données dont vous avez réellement besoin. Si votre formulaire de contact ne nécessite pas de numéro de téléphone, ne le demandez pas. En ce qui concerne les e-mails, n’incluez pas dans vos messages plus d’informations personnelles que ce qu’exige la transaction. Une confirmation de commande n’a pas besoin de reprendre l’historique complet du compte du client.

Délais de conservation

Vous ne pouvez pas conserver indéfiniment vos données à caractère personnel. Le RGPD vous oblige à déterminer la durée de conservation de ces données et à les supprimer lorsque vous n'en avez plus besoin.

En ce qui concerne les listes de marketing par e-mail, cela implique de passer régulièrement en revue les abonnés inactifs et de supprimer les personnes qui n'ont pas interagi depuis longtemps. Quant aux journaux d'e-mails, cela signifie ne pas les conserver plus longtemps que nécessaire pour vos besoins commerciaux. (Pour en savoir plus, consultez la section consacrée aux journaux d'e-mails ci-dessous.)

Choisir un outil d'envoi d'e-mails conforme au RGPD

C'est l'aspect que la plupart des propriétaires de sites WordPress négligent. Lorsque vous envoyez des e-mails via un service externe tel que SendLayer, Amazon SES, Mailgun, Gmail ou tout autre fournisseur SMTP, vous partagez des données personnelles avec un tiers.

En vertu du RGPD, si vous transmettez des données à caractère personnel à un tiers en vue de leur traitement, vous devez conclure avec lui un accord de traitement des données (ATD). Un ATD est un contrat qui définit la manière dont le tiers traitera ces données, les mesures de sécurité qu'il a mises en place et les dispositions prévues en cas de violation.

La plupart des fournisseurs de services de messagerie électronique réputés proposent des accords de traitement des données (DPA), généralement dans leur politique de confidentialité ou leurs conditions générales. Si un fournisseur n'en propose pas, c'est un signal d'alerte qu'il convient de prendre au sérieux.

Où sont stockées les données ?

Si vos données de messagerie sont stockées sur des serveurs situés en dehors de l'UE ou du Royaume-Uni, ce transfert doit être encadré juridiquement. Certains fournisseurs disposent de centres de données situés dans l'UE que vous pouvez choisir. D'autres s'appuient sur les clauses contractuelles types (SCC) pour légitimer les transferts de données. Vérifiez les options de localisation des données proposées par votre fournisseur si cela constitue une préoccupation pour vos utilisateurs.

Quels clients de messagerie conservent des journaux ?

De nombreux services de messagerie externes conservent des journaux des e-mails envoyés via leur plateforme. Ces journaux contiennent des données à caractère personnel. Conformément au droit à l'effacement prévu par le RGPD, si un utilisateur vous demande de supprimer ses données, vous devez être en mesure de le faire sur tous vos systèmes, y compris votre service de messagerie.

Sachez quels sont vos clients de messagerie qui enregistrent des journaux et comment les supprimer si nécessaire. Nos documents sur la conformité au RGPD de WP Mail SMTP traitent des principaux clients de messagerie et de leur comportement en matière de journalisation.

Exigences techniques : chiffrement, authentification et notification des violations

Le RGPD exige que les données à caractère personnel soient protégées, y compris lorsqu'elles sont en transit. En ce qui concerne les e-mails, cela implique deux choses.

chiffrement TLS

Vos e-mails doivent être envoyés via des connexions TLS (Transport Layer Security). Cela permet de chiffrer les e-mails pendant leur transit afin qu'ils ne puissent pas être interceptés.

La configuration par défaut de WordPress wp_mail() Cette fonction ne garantit pas le chiffrement TLS. Lorsque vous utilisez WP Mail SMTP avec un service de messagerie fiable, les e-mails sont envoyés par défaut via des connexions sécurisées et chiffrées.

Authentification des e-mails : SPF, DKIM et DMARC

L'authentification des e-mails n'est pas seulement une fonctionnalité liée à la délivrabilité, c'est aussi une question de sécurité et de conformité. Ces trois protocoles permettent de vérifier que les e-mails prétendant provenir de votre domaine ont bien été envoyés par vous, protégeant ainsi votre domaine contre l'usurpation d'identité.

  • Le SPF indique aux serveurs de messagerie destinataires quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine.
  • Le protocole DKIM ajoute une signature cryptographique à chaque e-mail, garantissant ainsi qu'il n'a pas été altéré pendant son acheminement.
  • DMARC définit une politique régissant la marche à suivre lorsque des e-mails échouent aux vérifications SPF ou DKIM, et vous envoie des rapports afin que vous puissiez surveiller les messages envoyés en votre nom.

Sans authentification adéquate, quelqu'un pourrait envoyer des e-mails donnant l'impression de provenir de votre domaine — et ainsi tenter de piéger vos clients en utilisant votre marque. Il s'agit là d'une faille de sécurité et d'une violation potentielle du RGPD, car cela met en danger les données de vos utilisateurs.

Vérifier l'enregistrement DMARC

Pour un guide complet de configuration, consultez notre guide sur DMARC, SPF et DKIM.

Notification de violation de données

Si votre système de messagerie électronique est piraté et que des données à caractère personnel sont exposées, le RGPD vous oblige à en informer votre autorité de contrôle nationale dans les 72 heures suivant la constatation de la violation. Si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées, vous devez également les en informer directement.

C'est pourquoi la sécurité technique n'est pas facultative. Une authentification insuffisante, des connexions non cryptées et des plugins obsolètes constituent des risques, et ne se limitent pas à de simples problèmes de délivrabilité. Veillez à maintenir à jour WP Mail SMTP et le client de messagerie de votre choix, et utilisez la fonction de test d'e-mail intégrée pour vérifier que votre authentification fonctionne correctement.

Pourquoi la fonctionnalité de messagerie par défaut de WordPress échoue sur ces deux points

WordPress utilise les balises PHP mail() fonction par défaut. Celle-ci envoie les e-mails directement depuis votre serveur web, sans authentification garantie et souvent sans TLS. Les e-mails envoyés de cette manière ne parviennent pas à leur destinataire plus souvent que vous ne le pensez — ce qui signifie que vos e-mails transactionnels obligatoires (réinitialisation de mot de passe, commandes WooCommerce) risquent de ne jamais parvenir à vos utilisateurs.

WP Mail SMTP remplace cela par une connexion SMTP en bonne et due forme via le client de messagerie de votre choix, avec un cryptage et une authentification correctement configurés.

Corrigez vos emails WordPress dès maintenant

Les journaux de messagerie électronique et le droit à l'effacement

Le RGPD confère aux personnes le droit de faire supprimer leurs données à caractère personnel : le « droit à l'oubli ».

Si un utilisateur demande la suppression de ses données, vous devez prendre en compte cette demande dans l'ensemble de votre configuration de messagerie :

  • Votre base de données WordPress (comptes clients, données saisies dans les formulaires, historique des commandes)
  • Votre liste de diffusion
  • Journaux d'e-mails enregistrés par WP Mail SMTP
  • Journaux conservés par votre service de messagerie

WP Mail SMTP Pro intègre un journal des e-mails qui consigne ce qui a été envoyé, à quel moment et à qui. Cette fonctionnalité est utile pour la documentation de conformité, car elle permet de créer une piste d'audit, mais cela implique également que vous devez mettre en place une politique de conservation pour les données du journal elles-mêmes.

Vous pouvez configurer WP Mail SMTP pour qu'il efface automatiquement les journaux après une période définie, ou supprimer manuellement les enregistrements lorsque vous traitez des demandes d'effacement individuelles.

Comment configurer WP Mail SMTP pour se conformer au RGPD

Voici un guide détaillé des paramètres de WP Mail SMTP essentiels pour la conformité au RGPD.

Les étapes 1 et 2 ci-dessous, qui concernent la configuration d'un client de messagerie et l'envoi d'un e-mail de test, sont disponibles dans la version gratuite de WP Mail SMTP. Les étapes 3 à 6 (journalisation des e-mails, suppression des données, contrôles des e-mails et routage intelligent) nécessitent WP Mail SMTP Pro.

Obtenir WP Mail SMTP Pro

Étape 1 : Connecter un outil d'envoi d'e-mails conforme au RGPD

Si vous utilisez encore le service de messagerie PHP par défaut de WordPress, la première étape consiste à configurer un service de messagerie adapté. WP Mail SMTP prend en charge tous les principaux fournisseurs : SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook, et bien d'autres encore.

Dans votre tableau de bord WordPress, rendez-vous dans WP Mail SMTP > Paramètres > Général.

Choisir un outil d'envoi d'e-mails conforme au RGPD

Dans la section « Connexion principale », sélectionnez votre service de messagerie et suivez les étapes de configuration. Chaque service de messagerie se connecte via une API ou des identifiants SMTP, et WP Mail SMTP vous guide tout au long du processus.

Une fois connecté, vos e-mails transitent par une connexion SMTP authentifiée, et non plus via PHP Mail.

Avant de choisir votre service d'envoi d'e-mails : vérifiez que votre fournisseur propose un accord de traitement des données. C'est le cas de la plupart des principaux fournisseurs (SendLayer, Amazon SES, Mailgun, Brevo). Si vous utilisez Gmail ou Google Workspace, ce sont les conditions de traitement des données de Google qui s'appliquent.

Étape 2 : Envoyez un e-mail de test et vérifiez votre configuration

Une fois votre client de messagerie configuré, rendez-vous dans WP Mail SMTP > Outils > Test d'e-mail et envoyez un e-mail de test à votre propre adresse e-mail.

onglet courriel de test

Vérifiez que l'e-mail vous est bien parvenu, puis ouvrez les en-têtes de l'e-mail (dans Gmail : les trois points > Afficher l'original ; dans Outlook : Fichier > Propriétés) et recherchez :

  • Signature DKIM — confirme que le test DKIM est réussi
  • spf=pass — confirme que le SPF est valide
  • dmarc=pass — confirme que DMARC est validé

Si l'un de ces éléments manque ou ne fonctionne pas correctement, la page des résultats du test d'e-mail de WP Mail SMTP signalera le problème et vous indiquera comment y remédier.

Étape 3 : Configurer la journalisation des e-mails

Fonctionnalité de WP Mail SMTP Pro. La journalisation des e-mails est disponible dans les formules Pro et supérieures. Passer à la formule Pro →

Le journal des e-mails de WP Mail SMTP Pro vous fournit un historique complet de tous les e-mails envoyés par votre site, ce qui est indispensable pour la documentation relative à la conformité.

Accédez à WP Mail SMTP > Journal des e-mails pour consulter le journal. Dans WP Mail SMTP > Paramètres > Journaux, vous pouvez configurer :

  • Enregistrer les e-mails — activez cette option pour commencer l'enregistrement
  • Enregistrer le contenu des e-mails — enregistre l'intégralité du corps du message (utile à des fins de conformité, mais tenez compte de vos obligations en matière de limitation des données)
  • Durée de conservation — définissez le nombre de jours pendant lesquels les journaux sont conservés avant leur suppression automatique
WP Mail SMTP email logs

Définissez une durée de conservation qui corresponde à vos besoins réels. La conservation indéfinie des journaux n'est pas conforme : choisissez une durée, mentionnez-la dans votre politique de confidentialité et respectez-la.

Étape 4 : Traiter les demandes de suppression de données

Nécessite l'enregistrement des e-mails (version Pro). Vous ne pouvez rechercher et supprimer des enregistrements d'e-mails que si l'enregistrement est activé.

Lorsqu'un utilisateur exerce son droit à l'effacement, vous devrez supprimer ses enregistrements d'e-mails du journal de WP Mail SMTP.

Dans WP Mail SMTP > Journal des e-mails, recherchez l'adresse e-mail de l'utilisateur, sélectionnez ses entrées, puis utilisez l'option de suppression groupée pour les supprimer.

Suppression groupée des journaux de messagerie

Veillez également à gérer la suppression au niveau de votre client de messagerie. Consultez la documentation de votre client de messagerie pour savoir comment supprimer les enregistrements des e-mails envoyés.

Étape 5 : Vérifiez vos paramètres de messagerie

Fonctionnalité de WP Mail SMTP Pro. Les options de gestion des e-mails sont disponibles dans les formules Pro et supérieures. Passer à la formule Pro →

La fonctionnalité « Email Controls » de WP Mail SMTP Pro vous permet de gérer les types d'e-mails que WordPress envoie depuis votre site, ainsi que la connexion utilisée.

Accédez à WP Mail SMTP > Paramètres > Contrôles des e-mails pour consulter la liste des types d'e-mails générés par les extensions et le cœur de WordPress : e-mails de commande WooCommerce, notifications de commentaires, inscription d'utilisateurs, etc.

Commandes de messagerie

Cela présente deux avantages en matière de conformité :

  1. Vous pouvez désactiver les types d'e-mails dont votre site n'a pas besoin (principe de minimisation des données : en d'autres termes, si vous n'utilisez pas une fonctionnalité, n'envoyez pas les e-mails qui s'y rapportent).
  2. Vous pouvez acheminer différents types d'e-mails via différents services de messagerie ; par exemple, les e-mails transactionnels de WooCommerce via SendLayer les notifications relatives aux comptes via une autre connexion.

Étape 6 : Configurer une connexion de secours

Fonctionnalité de WP Mail SMTP Pro. Le routage intelligent et les connexions de secours sont disponibles dans les formules Pro et supérieures. Passer à la formule Pro →

La fonctionnalité « Smart Routing » de WP Mail SMTP Pro vous permet de configurer une connexion de secours qui se déclenche automatiquement en cas de défaillance de votre serveur de messagerie principal. C'est un aspect important au regard du RGPD, car si l'e-mail de réinitialisation du mot de passe n'arrive pas, les utilisateurs ne peuvent pas accéder à leur compte — ce qui constitue une défaillance du service ayant des implications en matière de confidentialité.

Accédez à WP Mail SMTP > Paramètres > Connexions pour ajouter une connexion de secours et configurer le routage intelligent.

Configuration d'une connexion de sauvegarde SMTP pour WP Mail

Étape 7 : Consultez la documentation relative au RGPD de votre fournisseur de messagerie

Une fois que votre fournisseur de messagerie est connecté, prenez 10 minutes pour trouver et consulter sa documentation relative au RGPD/à la loi sur la protection des données. Vous devez vérifier les points suivants :

  • Un accord de traitement des données est disponible (veuillez l'accepter si nécessaire)
  • Vous savez où les données sont stockées et si elles quittent l'UE/le Royaume-Uni
  • Vous comprenez leurs paramètres de conservation des journaux et savez comment supprimer ces journaux si nécessaire

Les fournisseurs les plus populaires et où trouver leur documentation relative à la DPA :

FournisseurDocumentation DPA
SendLayerDisponible dans leur documentation relative à la confidentialité
Amazon SESAvenant relatif au traitement des données AWS
Arme à feuDisponible dans les conditions générales de Sinch/Mailgun
BrevoDisponible dans leur documentation relative au RGPD
Espace de travail GooglePolitique de protection des données (DPA) de Google Workspace (acceptée automatiquement avec les conditions d'utilisation de Workspace)

Liste de contrôle pour la conformité des e-mails au RGPD

Utilisez cet outil pour vérifier votre configuration actuelle.

Consentement et listes

  • ☐ Les e-mails marketing ne sont envoyés qu'aux personnes qui se sont expressément inscrites
  • ☐ Les enregistrements relatifs au consentement sont conservés (date, lieu, objet du consentement)
  • ☐ Chaque e-mail marketing comporte un lien de désabonnement fonctionnel
  • ☐ Les désabonnements sont traités rapidement
  • ☐ Les abonnés inactifs font l'objet d'un examen périodique

Traitement des données

  • ☐ La politique de confidentialité est à jour et un lien vers celle-ci figure dans vos e-mails
  • ☐ Vous ne collectez que les champs de données dont vous avez réellement besoin
  • ☐ Vous disposez d'une politique de conservation des données bien définie et vous la respectez
  • ☐ Vous pouvez répondre aux demandes d'accès aux données et de suppression dans un délai d'un mois

Configuration technique

  • ☐ Les e-mails WordPress passent par WP Mail SMTP (et non par PHP Mail)
  • ☐ Les e-mails sont envoyés via un cryptage TLS
  • ☐ Les enregistrements SPF, DKIM et DMARC sont configurés et validés
  • ☐ La conservation des journaux d'e-mails est configurée dans WP Mail SMTP
  • ☐ Vous savez quels clients de messagerie conservent des journaux et comment supprimer ces enregistrements

Services de messagerie tiers

  • ☐ Vous avez conclu un accord de traitement des données (DPA) avec votre fournisseur de services de messagerie électronique
  • ☐ Vous savez où votre fournisseur de messagerie stocke les données et si celles-ci quittent l'UE/le Royaume-Uni
Obtenir WP Mail SMTP

FAQ

Le RGPD s'applique-t-il si je ne suis pas établi dans l'UE ?

Oui. Si vous avez des visiteurs ou des clients résidant dans l'UE ou l'EEE, le RGPD s'applique à la manière dont vous traitez leurs données, quel que soit le lieu d'implantation de votre entreprise.

Non, en général non. Les e-mails transactionnels, tels que les confirmations de commande, les réinitialisations de mot de passe et les notifications d'expédition, relèvent de l'« intérêt légitime » ou de l'« exécution d'un contrat ». Vous n'avez pas besoin d'un consentement distinct à des fins de marketing pour ces e-mails. Veillez toutefois à ce qu'ils restent strictement transactionnels, car l'ajout de contenu promotionnel change la donne.

Une adresse e-mail constitue-t-elle une donnée à caractère personnel au sens du RGPD ?

Oui. Une adresse e-mail permettant d'identifier une personne constitue une donnée à caractère personnel. Il en va de même pour un nom, une adresse IP et tout historique d'achats associé à un compte.

Qu'est-ce qu'un accord de traitement des données ?

Un accord sur le traitement des données (DPA) est un contrat conclu entre vous et tout tiers chargé de traiter des données à caractère personnel pour votre compte. Si vous utilisez un service SMTP externe ou une plateforme de messagerie électronique pour envoyer des e-mails, vous devez conclure un DPA avec ce prestataire. La plupart des prestataires réputés proposent ce type d'accord dans leur documentation juridique ou relative à la confidentialité.

WP Mail SMTP stocke-t-il des données personnelles sur les serveurs d'Awesome Motive ?

Non. WP Mail SMTP stocke toutes les données du plugin sur votre propre site. Awesome Motive ne conserve pas vos données de messagerie.

Que se passe-t-il si je ne respecte pas le RGPD ?

Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Dans la pratique, les mesures coercitives commencent généralement par un avertissement ou une réprimande avant de déboucher sur des sanctions financières. Pour la plupart des petites entreprises, le risque le plus immédiat réside dans la perte de confiance de la clientèle.

Ce n'est pas strictement obligatoire pour les e-mails purement transactionnels, car ceux-ci ne sont pas envoyés sur la base d'un consentement. Il est toutefois recommandé d'inclure un lien vers votre politique de confidentialité dans tous les pieds de page de vos e-mails.

Puis-je utiliser Gmail comme service de messagerie pour WordPress ?

Oui, mais consultez les conditions de traitement des données de Google si vous avez des utilisateurs dans l'UE. Gmail et Google Workspace traitent les données sur les serveurs de Google. Pour les envois en masse, un service dédié aux e-mails transactionnels comme SendLayer plus fiable et facilite la mise en conformité avec le RGPD.

Le RGPD s'applique-t-il aux e-mails B2B ?

Oui. Les adresses e-mail professionnelles telles que [email protected] permettent d'identifier une personne, elles sont donc considérées comme des données à caractère personnel. Les règles sont un peu plus nuancées dans le cadre du B2B. L'intérêt légitime est plus facile à justifier lorsqu'il s'agit d'envoyer des e-mails à des contacts professionnels au sujet de produits ou de services pertinents, mais le consentement reste l'approche la plus sûre. En cas de doute, obtenez un consentement explicite.

Puis-je utiliser une liste d'adresses e-mail achetée ?

Non. Le consentement au titre du RGPD doit être spécifique à votre organisation, et les personnes qui ont accepté de recevoir des e-mails d'une autre entreprise n'ont pas donné leur consentement pour recevoir des e-mails de votre part. Vous ne pouvez pas acheter de liste de diffusion valide au regard du RGPD.

Que dois-je faire de l'ancienne liste de diffusion constituée avant l'entrée en vigueur du RGPD ?

Si votre liste a été constituée sans consentement conforme au RGPD (case d'adhésion non cochée, explication claire de ce à quoi les personnes s'inscrivaient), vous vous trouvez en terrain glissant. La solution la plus sûre consiste à mener une campagne de reconfirmation du consentement : envoyez un e-mail à votre liste pour expliquer ce que vous envoyez et demander aux destinataires de réactiver activement leur consentement, puis supprimez tous ceux qui ne répondent pas. Votre liste s'amenuisera, mais les contacts restants seront en conformité et nettement plus engagés.

Quelle est la différence entre le RGPD et la loi CAN-SPAM ?

La loi CAN-SPAM est la loi fédérale américaine régissant les e-mails commerciaux. Elle autorise le marketing par désabonnement : vous pouvez envoyer des e-mails jusqu'à ce qu'un destinataire vous demande d'arrêter. Le RGPD exige un consentement préalable avant l'envoi de votre premier e-mail marketing. Si vous avez des visiteurs de l'UE, la conformité aux normes américaines ne suffit pas. Le RGPD s'applique en plus.

Que se passe-t-il si mon fournisseur de messagerie est piraté ?

Si une violation entraîne la divulgation de données à caractère personnel, le RGPD vous oblige à en informer votre autorité de contrôle nationale dans un délai de 72 heures. Si le risque pour les personnes concernées est élevé, vous devez également les informer directement. C'est pourquoi il est essentiel de maintenir à jour votre plugin et votre outil d'envoi d'e-mails, et d'avoir conclu un accord de traitement des données (DPA) avec votre fournisseur : ce DPA doit définir les obligations de chaque partie en cas de violation.

Ce guide traite des aspects liés à l'envoi d'e-mails dans le cadre de la conformité au RGPD. Pour une conformité totale de WordPress au RGPD, y compris en matière de cookies, d'outils d'analyse et de politiques de confidentialité, consultez le guide complet de WPBeginner sur WordPress et la conformité au RGPD.

Ensuite, optimisez la délivrabilité de vos e-mails

Mettre vos e-mails en conformité avec le RGPD n'est qu'une partie du travail. L'autre partie consiste à s'assurer qu'ils parviennent bien dans la boîte de réception. La configuration technique qui garantit votre conformité (authentification correcte, service de messagerie fiable, connexions cryptées) a également une grande influence sur le fait que vos e-mails atterrissent dans la boîte de réception ou dans le dossier des spams. Si vous souhaitez aller plus loin, notre guide des meilleures pratiques en matière de délivrabilité des e-mails sous WordPress couvre tous les aspects, de la réputation de l'expéditeur et de l'hygiène des listes aux sous-domaines et à la segmentation.

Prêt à réparer vos emails ? Commencez dès aujourd'hui avec le meilleur plugin WordPress SMTP. Si vous n'avez pas le temps de réparer vos emails, vous pouvez obtenir une assistance complète de White Glove Setup en tant qu'achat supplémentaire, et il y a une garantie de remboursement de 14 jours pour tous les plans payants.

Si cet article vous a aidé, n'hésitez pas à nous suivre sur Facebook et Twitter pour d'autres conseils et tutoriels WordPress.

Divulgation: Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons recevoir une commission. Voyez comment WPForms est financé, pourquoi c'est important, et comment vous pouvez nous soutenir.

Rachel Adnyana

Rachel écrit sur WordPress depuis une dizaine d'années et construit des sites web depuis bien plus longtemps. Outre le développement web, elle est fascinée par l'art et la science du référencement et du marketing numérique.

Essayez notre plugin gratuit WP Mail SMTP

Utilisez votre fournisseur SMTP favori pour envoyer vos emails WordPress de manière fiable.