Comment envoyer des emails conformes au RGPD depuis WordPress

Comment envoyer des emails conformes au RGPD depuis WordPress (Guide complet)

Mis à jour : Avis aux lecteurs
LinkedIn
Résumer :ChatGPTPerplexity
Voir Markdown

Si votre site WordPress a des visiteurs de l'UE, vous êtes soumis au RGPD que vous le sachiez ou non, et que votre entreprise soit basée en Europe ou non.

La plupart des guides sur le RGPD et WordPress se concentrent sur les bannières de cookies et les politiques de confidentialité. Ces éléments sont importants, mais il existe un aspect de la conformité qui retient beaucoup moins l'attention : les e-mails envoyés par votre site.

Chaque fois que WordPress envoie une réinitialisation de mot de passe, une confirmation de commande WooCommerce ou une newsletter, il traite des données personnelles. Cela signifie que le RGPD s'applique.

La bonne nouvelle est que la plupart de ce que vous devez faire est simple une fois que vous comprenez les règles. Ce guide couvre tout : ce que le RGPD exige pour les e-mails, la différence entre les e-mails transactionnels et marketing, le consentement, la gestion des données, le choix du service d'envoi, et la configuration technique qui vous maintient en conformité, y compris comment configurer WP Mail SMTP pour chaque exigence.

Remarque : Ceci n'est pas un conseil juridique. La conformité au RGPD dépend de votre situation spécifique. Si vous avez des préoccupations, parlez-en à un avocat qualifié.

Résumé rapide : ce que le RGPD exige pour les e-mails WordPress

Les e-mails marketing nécessitent un consentement explicite et actif (opt-in)

Les e-mails transactionnels (confirmations de commande, réinitialisations de mot de passe) n'ont pas besoin de consentement — mais évitez d'y inclure du contenu promotionnel

Les adresses e-mail sont des données personnelles selon le RGPD

Vous avez besoin d'un accord de traitement des données avec tout service d'envoi tiers

Les e-mails doivent être envoyés via des connexions cryptées (TLS)

Vous devez être en mesure de répondre aux demandes de suppression de données dans un délai d'un mois

Les violations de données affectant des données personnelles doivent être signalées à votre autorité de contrôle dans les 72 heures

Les amendes atteignent 20 millions d'euros ou 4 % du chiffre d'affaires mondial — l'application est active et croissante

Le RGPD s'applique-t-il à vos e-mails WordPress ?

Oui, si certains de vos visiteurs sont résidents de l'UE ou de l'EEE, le RGPD s'applique à la manière dont vous gérez leurs données, y compris leur adresse e-mail.

Ceci ne se limite pas aux entreprises de l'UE. Une boutique WooCommerce aux États-Unis, un site d'adhésion en Australie, une entreprise de plugins au Canada : si vous avez des clients de l'UE, le RGPD couvre la manière dont vous traitez leurs données personnelles.

Une adresse e-mail est une donnée personnelle selon le RGPD. Il en va de même pour un nom. Et pour une adresse IP. Lorsque votre site envoie un e-mail à un client ou à un abonné, il traite ces données.

Cela dit, le RGPD ne vous empêche pas d'envoyer des e-mails. Cela signifie que vous avez besoin d'une base légale pour le faire, et les règles diffèrent selon le type d'e-mail que vous envoyez.

La surveillance est réelle et s'intensifie. L'autorité espagnole de protection des données a à elle seule émis plus de 1 000 amendes depuis l'entrée en vigueur du RGPD, et les violations du marketing par e-mail sont une cible constante. Google a été condamné à une amende de 50 millions d'euros en France pour des défaillances de consentement. Un service postal autrichien a été condamné à une amende de 9,5 millions d'euros pour ne pas avoir traité correctement les demandes des personnes concernées. Il ne s'agit pas de cas isolés, mais plutôt du genre de violations qui se produisent lorsque la gestion des données n'a pas suivi les règles.

Si vous êtes propriétaire d'un site basé aux États-Unis, il est également bon de savoir que le RGPD est beaucoup plus strict que le CAN-SPAM, la loi fédérale américaine qui régit le courrier électronique commercial. Le CAN-SPAM autorise le marketing par désinscription (vous pouvez envoyer des e-mails aux personnes jusqu'à ce qu'elles se désinscrivent). Le RGPD exige un consentement préalable avant l'envoi. Si vous avez des visiteurs européens, la conformité aux États-Unis seule ne suffit pas.

Les deux types d'e-mails envoyés par votre site

Votre site WordPress envoie deux types d'e-mails fondamentalement différents, et le RGPD les traite différemment.

E-mails transactionnels

Les e-mails transactionnels sont déclenchés par une action de l'utilisateur. Confirmations de commande, notifications d'expédition, réinitialisations de mot de passe, alertes de compte, réponses aux formulaires de contact. Ces e-mails sont attendus et les utilisateurs les souhaitent.

En vertu du RGPD, vous n'avez généralement pas besoin d'un consentement distinct pour envoyer des e-mails transactionnels. La base légale est soit « l'exécution d'un contrat » (l'utilisateur a acheté quelque chose, vous terminez donc cette transaction) soit « l'intérêt légitime » (l'envoi d'une réinitialisation de mot de passe est clairement dans l'intérêt de l'utilisateur).

Mais il y a un hic. Dès que vous ajoutez du contenu promotionnel tel que des recommandations de produits, des codes de réduction et des sections « vous aimerez peut-être aussi », vous avez changé la nature de l'e-mail et vous pourriez avoir besoin d'un consentement pour cette partie.

L'approche la plus sûre est de garder les e-mails transactionnels strictement transactionnels. Si vous souhaitez faire du marketing auprès des clients après un achat, utilisez un e-mail séparé avec un consentement approprié en place.

Pour un examen plus approfondi des règles relatives aux e-mails transactionnels, consultez notre guide complet des bonnes pratiques RGPD pour les e-mails transactionnels.

Conseil pour les utilisateurs de WooCommerce

WooCommerce dispose de paramètres RGPD intégrés qui méritent d'être vérifiés. Allez dans WooCommerce > Paramètres > Comptes et confidentialité pour configurer les périodes de conservation des données personnelles et des commandes en attente, activer les demandes d'effacement de compte et ajouter des liens vers la politique de confidentialité sur les pages de paiement et d'inscription. Gérez l'aspect conformité de WooCommerce ici avant de vous pencher sur votre configuration SMTP.

E-mails marketing

Les e-mails marketing sont différents. Si vous envoyez des newsletters, des campagnes promotionnelles ou tout e-mail dont le but principal est de vendre ou de promouvoir, vous avez besoin du consentement explicite du destinataire avant de l'envoyer.

Les cases pré-cochées ne comptent pas. Le consentement groupé (cacher la permission de marketing par e-mail dans les conditions générales) ne compte pas. Le consentement doit être donné librement, être spécifique et facile à retirer.

Si vous envoyez des e-mails marketing à des abonnés européens, obtenir le consentement dès le départ est la base de tout le reste.

L'abonné doit donner son consentement actif en cochant une case non pré-cochée, et non une case déjà cochée. Le consentement doit être spécifique au marketing par e-mail, et non noyé dans un accord général de confidentialité. Et il doit être clairement expliqué : de qui ils s'inscrivent pour recevoir des nouvelles et quel type d'e-mails ils recevront.

Vous devez également être en mesure de prouver que le consentement a été donné. Cela signifie enregistrer quand cela s'est produit, ce que le formulaire disait et où l'abonné s'est inscrit. Si vous ne pouvez pas produire les enregistrements de consentement lors d'un audit, c'est comme si le consentement n'avait jamais existé.

Double opt-in

Le double opt-in n'est pas légalement requis par le RGPD, mais c'est l'approche la plus défendable. Lorsqu'une personne s'inscrit, elle reçoit un e-mail de confirmation et n'est ajoutée à votre liste qu'après avoir cliqué pour confirmer. Cela crée une piste d'audit claire et filtre les adresses fausses ou mal saisies.

Se désabonner doit être facile

Le retrait du consentement doit être aussi facile que de le donner. Chaque e-mail marketing doit contenir un lien de désabonnement fonctionnel. Lorsqu'une personne se désabonne, traitez sa demande rapidement – les retards constituent à la fois un risque de conformité et un problème de confiance.

Formulaires sur votre site

Chaque formulaire qui collecte une adresse e-mail doit être clair quant à l'utilisation qui sera faite de cette adresse. Les formulaires de contact et les formulaires d'inscription à la newsletter ont des objectifs différents, ils nécessitent donc un langage de consentement différent.

Formulaire de consentement RGPD dans WPForms

Si vous utilisez WPForms, vous pouvez ajouter un champ de consentement RGPD directement à n'importe quel formulaire, désactiver le suivi IP et désactiver la collecte de cookies, le tout depuis les paramètres du formulaire, sans code requis.

Qu'en est-il de votre liste d'e-mails existante ?

Si vous avez constitué votre liste avant l'entrée en vigueur du RGPD en 2018 (ou collecté des adresses sans opt-in clair), vous pourriez avoir un problème. Le consentement collecté sans langage conforme au RGPD (case non cochée, explication claire de ce pour quoi les abonnés s'inscrivaient) ne compte pas.

Le chemin le plus sûr est une campagne de ré-autorisation : envoyez un e-mail à votre liste existante demandant aux gens de se ré-inscrire activement, et supprimez ceux qui ne le font pas. C'est inconfortable car votre liste va diminuer. Mais c'est mieux qu'une amende, et les personnes qui reconfirment sont beaucoup plus engagées que les contacts anciens qui se souviennent à peine de s'être inscrits.

Listes d'e-mails achetées

Ne les utilisez pas. Le consentement RGPD doit être spécifique à votre organisation et les personnes qui consentent à entendre parler d'une entreprise n'ont pas consenti à entendre parler de vous. Vous ne pouvez pas acheter votre chemin vers une liste de diffusion valide sous le RGPD.

Droits des personnes concernées et délais de réponse

En vertu du RGPD, vos abonnés et clients ont le droit d'accéder, de corriger ou de supprimer les données que vous détenez à leur sujet. Lorsqu'une personne fait une demande, vous avez un mois pour répondre. Documentez chaque demande et la manière dont elle a été traitée, car c'est le genre de chose qui apparaît lors des audits.

Qu'est-ce qui est considéré comme des données personnelles dans vos e-mails

En vertu du RGPD, les données personnelles sont toute information permettant d'identifier une personne, directement ou indirectement. À des fins d'e-mail, cela inclut :

  • Noms et adresses e-mail
  • Adresses IP
  • Historique d'achats lié à un compte
  • Détails du compte dans le corps de l'e-mail

Ces données existent dans vos journaux d'e-mails, votre base de données et potentiellement sur les serveurs de votre fournisseur de messagerie tiers. Tout cela relève du RGPD.

Minimisation des données

Le principe de minimisation des données du RGPD signifie que vous ne devez collecter et traiter que les données dont vous avez réellement besoin. Si votre formulaire de contact n'a pas besoin d'un numéro de téléphone, n'en collectez pas. En termes d'e-mails, n'incluez pas plus d'informations personnelles dans vos messages que ce que la transaction exige. Une confirmation de commande n'a pas besoin de répéter l'historique complet du compte du client.

Périodes de conservation

Vous ne pouvez pas conserver les données personnelles indéfiniment. Le RGPD exige que vous décidiez combien de temps vous conserverez les données et que vous les supprimiez lorsque vous n'en aurez plus besoin.

Pour les listes de marketing par e-mail, cela signifie examiner périodiquement les abonnés inactifs et supprimer les personnes qui n'ont pas interagi depuis longtemps. Pour les journaux d'e-mails, cela signifie ne pas les conserver plus longtemps que nécessaire pour vos objectifs commerciaux. (Plus d'informations à ce sujet dans la section journaux d'e-mails ci-dessous.)

Choisir un service d'envoi conforme au RGPD

C'est l'élément que la plupart des propriétaires de sites WordPress négligent. Lorsque vous envoyez des e-mails via un service externe tel que SendLayer, Amazon SES, Mailgun, Gmail ou tout autre fournisseur SMTP, vous partagez des données personnelles avec un tiers.

En vertu du RGPD, si vous transférez des données personnelles à un tiers pour traitement, vous avez besoin d'un accord de traitement des données (DPA) avec lui. Un DPA est un contrat qui définit comment le tiers gérera ces données, quelles mesures de sécurité il a mises en place et ce qui se passe en cas de violation.

La plupart des fournisseurs de services de messagerie réputés proposent des DPA, généralement dans leur documentation sur la confidentialité ou juridique. Si un fournisseur n'en propose pas, c'est un signal d'alarme à prendre au sérieux.

Où les données sont-elles stockées ?

Si vos données d'e-mails sont stockées sur des serveurs situés en dehors de l'UE ou du Royaume-Uni, le transfert doit être légalement couvert. Certains fournisseurs disposent de centres de données dans l'UE auxquels vous pouvez choisir de vous connecter. D'autres s'appuient sur des Clauses Contractuelles Types (CCT) pour légitimer les transferts de données. Vérifiez les options de résidence des données de votre fournisseur si cela préoccupe vos utilisateurs.

Quels expéditeurs conservent des journaux ?

De nombreux expéditeurs externes conservent des journaux des e-mails envoyés via leur service. Ces journaux contiennent des données personnelles. En vertu du droit à l'effacement du RGPD, si un utilisateur vous demande de supprimer ses données, vous devez être en mesure de le faire sur tous les systèmes, y compris votre expéditeur.

Sachez lesquels de vos expéditeurs conservent des journaux et comment les supprimer si nécessaire. Notre documentation sur la conformité RGPD de WP Mail SMTP couvre les principaux expéditeurs et leur comportement en matière de journalisation.

Exigences techniques : cryptage, authentification et notification de violation

Le RGPD exige que les données personnelles soient conservées en toute sécurité, y compris pendant leur transit. Pour les e-mails, cela signifie deux choses.

Chiffrement TLS

Vos e-mails doivent être envoyés via des connexions TLS (Transport Layer Security). Cela chiffre l'e-mail pendant le transit afin qu'il ne puisse pas être intercepté.

La fonction par défaut wp_mail() de WordPress ne garantit pas le chiffrement TLS. Lorsque vous utilisez WP Mail SMTP avec un expéditeur réputé, les e-mails sont envoyés via des connexions sécurisées et chiffrées par défaut.

Authentification des e-mails : SPF, DKIM et DMARC

L'authentification par e-mail n'est pas seulement une fonctionnalité de délivrabilité, c'est une fonctionnalité de sécurité et de conformité. Ces trois protocoles vérifient que les e-mails prétendant provenir de votre domaine proviennent réellement de vous, protégeant ainsi votre domaine contre l'usurpation.

  • SPF indique aux serveurs de messagerie récepteurs quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine.
  • DKIM ajoute une signature cryptographique à chaque e-mail, prouvant qu'il n'a pas été altéré pendant le transit.
  • DMARC définit une politique pour ce qui se passe lorsque les e-mails échouent aux vérifications SPF ou DKIM, et vous envoie des rapports afin que vous puissiez surveiller ce qui est envoyé en votre nom.

Sans authentification appropriée, quelqu'un pourrait envoyer des e-mails qui semblent provenir de votre domaine — usurpant l'identité de vos clients en utilisant votre marque. C'est une défaillance de sécurité et une violation potentielle du RGPD, car cela met les données de vos utilisateurs en danger.

Vérifier l'enregistrement DMARC

Pour un guide complet de configuration, consultez notre guide sur DMARC, SPF et DKIM.

Notification de violation de données

Si votre système de messagerie est compromis et que des données personnelles sont exposées, le RGPD vous oblige à notifier votre autorité de surveillance nationale dans les 72 heures suivant la prise de conscience de la violation. Si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées, vous devez également les en informer directement.

C'est pourquoi la sécurité technique n'est pas une option. Une authentification faible, des connexions non chiffrées et des plugins obsolètes créent des responsabilités, pas seulement des problèmes de délivrabilité. Maintenez WP Mail SMTP et votre service de messagerie choisi à jour, et utilisez le test d'e-mail intégré pour vérifier que votre authentification fonctionne correctement.

Pourquoi l'e-mail par défaut de WordPress échoue sur les deux points

WordPress utilise par défaut la fonction mail() de PHP. Celle-ci envoie les e-mails directement depuis votre serveur web, sans authentification garantie et souvent sans TLS. Les e-mails envoyés de cette manière n'arrivent pas aussi souvent que vous le pensez — ce qui signifie que vos e-mails transactionnels légalement requis (réinitialisations de mot de passe, commandes WooCommerce) pourraient ne jamais atteindre vos utilisateurs.

WP Mail SMTP remplace cela par une connexion SMTP appropriée via votre service de messagerie choisi, avec chiffrement et authentification correctement configurés.

Réparez vos e-mails WordPress maintenant

Journaux d'e-mails et droit à l'effacement

Le RGPD donne aux personnes le droit de faire supprimer leurs données personnelles : le « droit à l'oubli ».

Si un utilisateur demande la suppression de ses données, vous devez la gérer dans l'ensemble de votre configuration de messagerie :

  • Votre base de données WordPress (comptes clients, entrées de formulaire, enregistrements de commandes)
  • Votre liste de marketing par e-mail
  • Les journaux d'e-mails stockés par WP Mail SMTP
  • Les journaux conservés par votre service de messagerie

WP Mail SMTP Pro inclut un journal d'e-mails qui enregistre ce qui a été envoyé, quand et à qui. Ceci est utile pour la documentation de conformité car il crée une piste d'audit, mais cela signifie également que vous avez besoin d'une politique de rétention pour les données du journal elles-mêmes.

Vous pouvez configurer WP Mail SMTP pour purger automatiquement les journaux après une période définie, ou supprimer manuellement les enregistrements lors du traitement des demandes d'effacement individuelles.

Comment configurer WP Mail SMTP pour la conformité au RGPD

Voici un guide étape par étape des paramètres de WP Mail SMTP qui sont importants pour la conformité RGPD.

Les étapes 1 et 2 ci-dessous pour connecter un expéditeur et envoyer un e-mail de test sont disponibles dans la version gratuite de WP Mail SMTP. Les étapes 3 à 6 (journalisation des e-mails, suppression des données, contrôles des e-mails et routage intelligent) nécessitent WP Mail SMTP Pro.

Obtenir WP Mail SMTP Pro

Étape 1 : Connecter un expéditeur conforme au RGPD

Si vous utilisez toujours la fonction mail() par défaut de WordPress, la première étape consiste à connecter un expéditeur approprié. WP Mail SMTP prend en charge tous les principaux fournisseurs : SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook, et plus encore.

Depuis votre tableau de bord WordPress, allez dans WP Mail SMTP > Paramètres > Général.

Choisir un service d'envoi conforme au RGPD

Sous Connexion principale, sélectionnez votre expéditeur et suivez les étapes de configuration. Chaque expéditeur se connecte via API ou identifiants SMTP, et WP Mail SMTP vous guide tout au long du processus.

Une fois connecté, vos e-mails passent par une connexion SMTP appropriée et authentifiée au lieu de la fonction mail() PHP.

Avant de choisir votre expéditeur : Vérifiez que votre fournisseur propose un accord de traitement des données. La plupart des principaux fournisseurs (SendLayer, Amazon SES, Mailgun, Brevo) le font. Si vous utilisez Gmail ou Google Workspace, les conditions de traitement des données de Google s'appliquent.

Étape 2 : Envoyer un e-mail de test et vérifier votre configuration

Après avoir connecté votre expéditeur, allez dans WP Mail SMTP > Outils > Test d'e-mail et envoyez un test à votre propre adresse e-mail.

onglet e-mail de test

Vérifiez que l'e-mail arrive, puis ouvrez les en-têtes de l'e-mail (dans Gmail : trois points > Afficher l'original ; dans Outlook : Fichier > Propriétés) et recherchez :

  • DKIM-Signature — confirme que DKIM réussit
  • spf=pass — confirme que SPF réussit
  • dmarc=pass — confirme que DMARC réussit

Si l'un de ces éléments est manquant ou échoue, la page des résultats du test d'e-mail de WP Mail SMTP signalera le problème et vous indiquera quoi corriger.

Étape 3 : Configurer la journalisation des e-mails

Fonctionnalité WP Mail SMTP Pro. La journalisation des e-mails est disponible dans les plans Pro et supérieurs. Mettre à niveau vers Pro →

Le journal d'e-mails de WP Mail SMTP Pro vous donne un enregistrement complet de chaque e-mail envoyé par votre site, essentiel pour la documentation de conformité.

Allez dans WP Mail SMTP > Journal d'e-mails pour voir le journal. Depuis WP Mail SMTP > Paramètres > Journaux, vous pouvez configurer :

  • Journaliser les e-mails — activez pour commencer l'enregistrement
  • Contenu du journal d'e-mails — enregistre le corps complet de l'e-mail (utile pour la conformité, mais tenez compte de vos obligations de minimisation des données)
  • Période de rétention — définissez combien de jours les journaux sont conservés avant la suppression automatique
journaux d'e-mails WP Mail SMTP

Définissez une période de rétention qui reflète vos besoins commerciaux réels. Conserver les journaux indéfiniment n'est pas conforme — choisissez une période, documentez-la dans votre politique de confidentialité et respectez-la.

Étape 4 : Gérer les demandes de suppression de données

Nécessite la journalisation des e-mails (Pro). Vous ne pouvez rechercher et supprimer des enregistrements d'e-mails que si la journalisation est activée.

Lorsqu'un utilisateur exerce son droit à l'effacement, vous devrez supprimer ses enregistrements d'e-mails du journal de WP Mail SMTP.

Dans WP Mail SMTP > Journal des e-mails, recherchez l’adresse e-mail de l’utilisateur, sélectionnez ses enregistrements et utilisez l’option de suppression en masse pour les supprimer.

Supprimer en masse les journaux d'e-mails

Assurez-vous également de gérer la suppression au niveau de votre service d’envoi. Consultez la documentation de votre service d’envoi pour savoir comment supprimer les enregistrements d’e-mails envoyés.

Étape 5 : Vérifiez vos contrôles d’e-mails

Fonctionnalité WP Mail SMTP Pro. Les contrôles d’e-mails sont disponibles dans les plans Pro et supérieurs. Mettre à niveau vers Pro →

La fonctionnalité de contrôles d’e-mails de WP Mail SMTP Pro vous permet de gérer les types d’e-mails que WordPress envoie depuis votre site, et via quelle connexion.

Accédez à WP Mail SMTP > Réglages > Contrôles d’e-mails pour voir une liste des types d’e-mails par plugin et par WordPress natif — e-mails de commande WooCommerce, notifications de commentaires, inscription d’utilisateur, et plus encore.

Contrôles des e-mails

Ceci est utile pour la conformité de deux manières :

  1. Vous pouvez désactiver les types d’e-mails dont votre site n’a pas besoin (minimisation des données, c’est-à-dire si vous n’utilisez pas une fonctionnalité, n’envoyez pas ses e-mails).
  2. Vous pouvez router différents types d’e-mails via différents services d’envoi, par exemple, les e-mails transactionnels WooCommerce via SendLayer et les notifications de compte séparées via une connexion différente.

Étape 6 : Configurez une connexion de secours

Fonctionnalité WP Mail SMTP Pro. Le routage intelligent et les connexions de secours sont disponibles dans les plans Pro et supérieurs. Mettre à niveau vers Pro →

Le routage intelligent de WP Mail SMTP Pro vous permet de définir une connexion de secours qui s’active automatiquement si votre service d’envoi principal échoue. Ceci est important pour le RGPD car si votre e-mail de réinitialisation de mot de passe n’arrive pas, les utilisateurs ne peuvent pas accéder à leur compte — et c’est une défaillance de service avec des implications sur la confidentialité.

Accédez à WP Mail SMTP > Réglages > Connexions pour ajouter une connexion de secours et configurer le routage intelligent.

Définir une connexion de sauvegarde WP Mail SMTP

Étape 7 : Consultez la documentation RGPD de votre service d’envoi

Une fois votre service d’envoi connecté, prenez 10 minutes pour localiser et consulter leur documentation RGPD/DPA. Vous devez confirmer :

  • Un accord de traitement des données est disponible (et acceptez-le si nécessaire)
  • Vous savez où les données sont stockées et si elles quittent l’UE/le Royaume-Uni
  • Vous comprenez leurs paramètres de conservation des journaux et comment supprimer les journaux si nécessaire

Les fournisseurs les plus populaires et où trouver leur documentation DPA :

FournisseurDocumentation DPA
SendLayerDisponible dans leur documentation sur la confidentialité
Amazon SESAddendum de traitement des données AWS
MailgunDisponible dans les conditions légales de Sinch/Mailgun
BrevoDisponible dans leur documentation RGPD
Google WorkspaceDPA Google Workspace (accepté automatiquement avec les conditions d’utilisation de Workspace)

Liste de contrôle de conformité RGPD pour les e-mails

Utilisez ceci pour auditer votre configuration actuelle.

Consentement et listes

  • ☐ Les e-mails marketing ne sont envoyés qu’aux personnes qui ont explicitement consenti
  • ☐ Les enregistrements de consentement sont stockés (quand, où, à quoi ils ont consenti)
  • ☐ Chaque e-mail marketing contient un lien de désinscription fonctionnel
  • ☐ Les désinscriptions sont traitées rapidement
  • ☐ Les abonnés inactifs sont examinés périodiquement

Gestion des données

  • ☐ La politique de confidentialité est à jour et liée dans vos e-mails
  • ☐ Vous ne collectez que les champs de données dont vous avez réellement besoin
  • ☐ Vous avez une politique de conservation des données définie et vous la respectez
  • ☐ Vous pouvez répondre aux demandes d'accès et d'effacement des données dans un délai d'un mois

Configuration technique

  • ☐ Les e-mails WordPress passent par WP Mail SMTP (pas par PHP mail)
  • ☐ Les e-mails sont envoyés via un cryptage TLS
  • ☐ Les enregistrements SPF, DKIM et DMARC sont configurés et valides
  • ☐ La conservation des journaux d'e-mails est configurée dans WP Mail SMTP
  • ☐ Vous savez quels expéditeurs conservent des journaux et comment supprimer des enregistrements

Expéditeurs tiers

  • ☐ Vous avez un DPA avec votre fournisseur de services d'e-mail
  • ☐ Vous savez où votre expéditeur stocke les données et si elles quittent l'UE/le Royaume-Uni
Obtenir WP Mail SMTP

FAQ

Le RGPD s'applique-t-il si je ne suis pas basé dans l'UE ?

Oui. Si vous avez des visiteurs ou des clients résidant dans l'UE ou l'EEE, le RGPD s'applique à la manière dont vous gérez leurs données, quel que soit l'endroit où se trouve votre entreprise.

Non, pas habituellement. Les e-mails transactionnels tels que les confirmations de commande, les réinitialisations de mot de passe et les notifications d'expédition sont couverts par les « intérêts légitimes » ou « l'exécution d'un contrat ». Vous n'avez pas besoin d'un consentement marketing distinct pour ceux-ci. Mais gardez-les strictement transactionnels, car l'ajout de contenu promotionnel change la donne.

Une adresse e-mail est-elle une donnée personnelle selon le RGPD ?

Oui. Une adresse e-mail qui peut identifier un individu est une donnée personnelle. Il en va de même pour un nom, une adresse IP et tout historique d'achat associé à un compte.

Qu'est-ce qu'un accord de traitement des données ?

Un DPA est un contrat entre vous et tout tiers traitant des données personnelles en votre nom. Si vous utilisez un service SMTP externe ou une plateforme d'e-mail pour envoyer des e-mails, vous avez besoin d'un DPA avec eux. La plupart des fournisseurs réputés proposent ces accords dans leur documentation juridique ou de confidentialité.

WP Mail SMTP stocke-t-il des données personnelles sur les serveurs d'Awesome Motive ?

Non. WP Mail SMTP stocke toutes les données du plugin sur votre propre site. Awesome Motive ne détient pas vos données d'e-mail.

Que se passe-t-il si je ne me conforme pas au RGPD ?

Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En pratique, l'application commence généralement par un avertissement ou un blâme avant d'aboutir à des sanctions financières. Le risque le plus immédiat pour la plupart des petites entreprises est une atteinte à la confiance des clients.

Strictement pas requis pour les e-mails purement transactionnels, car ils ne sont pas envoyés sur la base du consentement. Il est recommandé d'inclure un lien vers votre politique de confidentialité dans tous les pieds de page des e-mails.

Puis-je utiliser Gmail comme mon service d'envoi d'e-mails WordPress ?

Oui, mais vérifiez les conditions de traitement des données de Google si vous avez des utilisateurs européens. Gmail et Google Workspace traitent les données sur les serveurs de Google. Pour un envoi à haut volume, un service d'e-mails transactionnels dédié comme SendLayer est plus fiable et plus facile à documenter pour le RGPD.

Le RGPD s'applique-t-il aux e-mails B2B ?

Oui. Les adresses e-mail professionnelles comme [email protected] identifient un individu, elles sont donc considérées comme des données personnelles. Les règles sont légèrement plus nuancées pour le B2B. L'intérêt légitime est plus défendable lors de l'envoi d'e-mails à des contacts professionnels concernant des produits ou services pertinents, mais le consentement reste l'approche la plus sûre. En cas de doute, obtenez un opt-in explicite.

Puis-je utiliser une liste d'e-mails achetée ?

Non. Le consentement RGPD doit être spécifique à votre organisation et les personnes qui consentent à recevoir des e-mails d'une autre entreprise n'ont pas consenti à recevoir des e-mails de votre part. Vous ne pouvez pas acheter une liste de diffusion valide en vertu du RGPD.

Que dois-je faire d'une ancienne liste d'e-mails collectée avant le RGPD ?

Si votre liste a été constituée sans consentement conforme aux normes du RGPD (case à cocher non cochée, explication claire de ce à quoi les gens s'inscrivaient), vous êtes en territoire incertain. L'option la plus sûre est une campagne de re-permissionnement : envoyez un e-mail à la liste en expliquant ce que vous envoyez et en demandant aux gens de se réinscrire activement, puis supprimez toute personne qui ne répond pas. Votre liste diminuera, mais les contacts restants seront conformes et nettement plus engagés.

Quelle est la différence entre le RGPD et le CAN-SPAM ?

CAN-SPAM est la loi fédérale américaine régissant les e-mails commerciaux. Elle autorise le marketing par opt-out : vous pouvez envoyer jusqu'à ce que quelqu'un vous demande d'arrêter. Le RGPD exige un consentement par opt-in avant d'envoyer votre premier e-mail marketing. Si vous avez des visiteurs européens, la conformité américaine seule ne suffit pas. Le RGPD s'applique en plus.

Que se passe-t-il si mon fournisseur d'e-mails est piraté ?

Si une violation expose des données personnelles, le RGPD vous oblige à notifier votre autorité de contrôle nationale dans les 72 heures. S'il y a un risque élevé pour les personnes concernées, vous devez également les informer directement. C'est pourquoi il est important de maintenir votre plugin et votre service d'envoi à jour, et d'avoir un accord de traitement des données (DPA) en place avec votre fournisseur, le DPA devrait définir les obligations de chaque partie en cas de violation.

Ce guide couvre l'aspect envoi d'e-mails de la conformité RGPD. Pour une conformité RGPD complète de WordPress, y compris les cookies, l'analyse et les politiques de confidentialité, consultez le guide ultime de WPBeginner sur WordPress et la conformité RGPD.

Ensuite, maximisez la délivrabilité de vos e-mails

Se conformer au RGPD pour vos e-mails n'est qu'une partie de l'équation. L'autre partie consiste à s'assurer qu'ils parviennent effectivement dans la boîte de réception. La même configuration technique qui assure votre conformité (authentification appropriée, un expéditeur réputé, des connexions cryptées) a également un impact majeur sur la question de savoir si vos e-mails atterrissent dans la boîte de réception ou dans le dossier spam. Si vous souhaitez aller plus loin, notre guide des bonnes pratiques de délivrabilité des e-mails WordPress couvre tout, de la réputation de l'expéditeur et de l'hygiène de la liste à la segmentation et aux sous-domaines.

Prêt à réparer vos e-mails ? Commencez dès aujourd'hui avec le meilleur plugin SMTP WordPress. Si vous n'avez pas le temps de réparer vos e-mails, vous pouvez obtenir une assistance complète de configuration "White Glove" moyennant un supplément, et il y a une garantie de remboursement de 14 jours pour tous les plans payants.

Si cet article vous a aidé, suivez-nous sur Facebook et Twitter pour plus de conseils et tutoriels WordPress.

Divulgation : Notre contenu est soutenu par nos lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Découvrez comment WPForms est financé, pourquoi c'est important et comment vous pouvez nous soutenir.

Rachel Adnyana

Rachel écrit sur WordPress depuis une décennie et crée des sites Web depuis beaucoup plus longtemps. Parallèlement au développement Web, elle est fascinée par l'art et la science du référencement et du marketing numérique. En savoir plus

Essayez notre plugin gratuit WP Mail SMTP

Utilisez votre fournisseur SMTP préféré pour envoyer de manière fiable vos e-mails WordPress.