Puis-je envoyer un email personnel sous GDPR?
Je lance une application avec environ 10 000 utilisateurs. Lorsque les utilisateurs s'inscrivent, nous leur indiquons une case à cocher indiquant "Envoyez-moi des astuces et des mises à jour occasionnelles", qui est décochée par défaut. Si les utilisateurs ne le consultent pas, nous ne leur envoyons pas de courrier marketing.
Je voudrais envoyer un e-mail à environ 20 utilisateurs personnellement, un e-mail sur mesure de mon propre compte, pour leur poser une question à propos de quelque chose qu'ils ont fait sur l'application.
Je voudrais aussi envoyer un sondage à un plus grand nombre d’utilisateurs, en utilisant Mailchimp.
Tous les deux seront dans le but d'améliorer le produit.
En vertu du RGPD, ai-je le droit de faire l'un ou l'autre ou les deux? Je ne suis pas sûr non plus que cela tombe dans le champ d'application du RGPD; et si oui, si l'un de mes utilisateurs serait perçu comme ayant consenti à ce type de recherche.
Je ne suis pas un avocat, cependant, je n’envisagerais pas d’utiliser des informations que l’utilisateur aurait fournies librement de la manière attendue relèveraient des activités restreintes par le RGPD.
Pour confirmer, consultez le GDPR :
L’objectif du GDPR est de protéger tous les citoyens de l’UE des atteintes à la vie privée et aux violations de données dans le monde d’aujourd’hui axé sur les données.
Comme vous pouvez le constater dans la déclaration d'intention, le GDPR concerne principalement la collecte de données et les violations de données - bien qu'il existe des dispositions concernant le stockage/l'utilisation des données:
Droit d'être oublié
Également connu sous le nom d'effacement de données, le droit d'être oublié autorise la personne concernée à faire effacer ses données personnelles par le responsable du traitement, à cesser toute diffusion ultérieure des données et, éventuellement, à ce que des tiers arrêtent le traitement des données.
Si vous envoyez un e-mail à un utilisateur et qu'il vous demande de ne plus l'envoyer par e-mail (ou ne supprimez pas tous les enregistrements de son utilisation de votre système), c'est alors que la conformité GDPR entre en jeu.
Lois spécifiques
Chaque pays de l'UE peut avoir ses propres lois et appliquer ensuite le RGPD. Par exemple, en Espagne, nous avons une loi plus restrictive que le GDPR, la loi 34/2002 sur les services de la société de l'information et le commerce électronique, qui indique clairement que vous pouvez envoyer un e-mail à une personne dans les circonstances suivantes:
- Obtenir leur consentement d'abord, via un formulaire d'abonnement ou similaire
- NE PAS utiliser une case cochée pour obtenir le consentement du client afin de lui envoyer un courriel
- Honorer les demandes de désinscription dans les 10 jours ouvrables
- Inclure un lien de désabonnement
- Utilisez une ligne "De" précise qui identifie le courrier électronique.
- Indiquez votre adresse postale
L'Allemagne (Gesetz gegen den unauteren Wettbewerb) et le Royaume-Uni (Privacy and Electronic Communications Regulations 2003) ont des politiques similaires avec moins de conditions que la version espagnole.
GDPR - common law
Après mai 2018, le règlement général sur la protection des données a ajouté des règles communes à tous les pays de l'UE:
- Obtenir le consentement clair et éclairé du client avant d'envoyer un courrier électronique
- Ne pas utiliser l'adresse électronique d'une entreprise ou d'une personne sans son consentement (c'est-à-dire que vous ne pouvez pas utiliser les e-mails collectés achetés dans une liste)
- Ne pas utiliser les cases cochées sur les formulaires pour obtenir le consentement
- Le consentement du client s’applique également UNIQUEMENT au type de courrier électronique auquel il s’est inscrit.
Vous devez connaître la loi spécifique à chaque pays afin de prévenir les problèmes juridiques. Le GDPR devrait être valide, mais je voudrais appliquer les conditions les plus restrictives avant d'envoyer les courriels.