Les Obligations de la politique de délivrabilité Emarsys sont une combinaison supérieure des obligations FAI et légales pertinentes, qui permettent à nos clients d'envoyer en confiance à n'importe quel destinataire dans le monde.
Notre affiliation à des organisations telles que M3AAWG, CSA et Return Path, et notre expérience des FAIs qui opère au niveau mondial (et ont intégré les réglementations locales à leurs obligations) nous permettent de bénéficier de leurs efforts pour assurer la conformité des envois au niveau mondial et de transmettre cette expertise à nos clients.
Voici certaines des nombreuses lois et obligations auxquelles les expéditeurs doivent se conformer. Nous avons essayé de vous en présenter le contenu aussi logiquement que possible ci-dessous, en incluant aussi des liens vers les sources pertinentes.
Veuillez noter que ces extraits ont été listés (et parfois traduits) simplement pour vous donner un point de repère. Ils ne constituent pas un conseil juridique !
Vous devriez prendre conseil auprès d'un professionnel du droit qualifié concernant votre conformité avec l'une ou l'autre des lois ou obligations listées ci-dessous.
Table des matières
- Les différentes obligations de délivrabilité
- Obligations par FAI/région
- Obligations concernant l'opt-in
- Obligations de politique de confidentialité
- Résumé des obligations concernant les données d'inscription
- Confidentialité
- Obligations d'hygiène de liste
- Mécanismes d'authentification de l'expéditeur
- Obligations en matière de désabonnement
- Obligations régionales en matière de protection des données
- Recommandations spécifiques à une campagne
- Avantages de la certification
- Sender score
- Lecture complémentaire
1. Les différentes obligations de délivrabilité
La loi américaine, la loi européenne et les lois régionales spécifiques aux régions germanophones d'Europe (DACH) varient en termes d'étendue et d'obligations, mais puisque ces lois s'appliquent aux endroits où l'email est ouvert, par définition difficile à prédire, il est important de considérer qu'elles s'appliquent toutes.
1.1. Modèles d'application par l'opt-in vs. opt-out
Aux Etats-Unis, la loi anti-spam la mieux identifiée est le CAN-SPAM Act, qui est basé sur les obligations d'opt-out. Cela signifie que bien qu'aucun consentement ne soit requis pour envoyer des emails, les demandes d'opt-out doivent être honorées dans les dix jours ouvrés. Notre politique exigeant une possibilité d'opt-out en deux clics sans effort supplémentaire de la part de l'utilisateur s'aligne avec et est principalement basée sur le CAN-SPAM. La violation des dispositions de la loi CAN-SPAM est passible d'amendes pouvant aller jusqu'à 16000$ par email envoyé en violation de cette loi.
La loi européenne, d'un autre côté, est principalement axée sur l'obligation de fournir une possibilité d'opt-in claire avant de pouvoir commencer les envois. Chaque destinataire doit avoir clairement choisi l'opt-in pour recevoir des messages publicitaires. Dans la directive CSA sur le marketing par email autorisé, basée sur la loi allemande, il est énoncé que l'opt-in doit être "clair, conscient, non-équivoque et distinct." En plus des lois s'appliquant à tout l'espace européen, les lois régionales s'appliquent aussi, telles que la Loi sur la Communication Électronique en Autriche (TKG).
Comme l'infrastructure d'envoi d'Emarsys est physiquement située en Autriche, tous les clients qui envoient via cette infrastructure sont soumis à la TKG pour toute liste comprenant plus de 50 destinataires (Article 107 2). Les violations de la TKG sont poursuivies par l'autorité nationale de protection des données (DSB). Par le passé, il a été demandé à Emarsys de fournir des coordonnées de clients au Ministère des Affaires Internes (BMI).
En Autriche, comme en Allemagne, il existe une exception où il est permis d'envoyer des emails sans obtenir un consentement explicite au préalable : dans le cas d'une relation commerciale existante. Spécifiquement : "quand l'offre de produit est similaire à l'un des produits déjà achetés."
Au Canada, la Loi canadienne Anti-Spam (CASL) a pris effet depuis juillet 2014 et utilise un modèle d'opt-in similaire à celui en vigueur en Europe. La seule exception à l'obligation de demander un opt-in explicite est dans le cas d'une relation commerciale antérieure. La CASL différencie le consentement "explicite" de l'"implicite" et est similaire à la loi allemande dans ses principes fondamentaux. Plus surprenant, le fait que les violations de la CASL sont passibles d'amendes pouvant aller jusqu'à 10 millions de dollars par violation, et les poursuites sont basées sur l'emplacement du destinataire et non de l'expéditeur.
En mars 2015, la première amende CASL de 15000$ a été prononcée à l'encontre de Plenty of Fish, un site de rencontre canadien. Il est fortement recommandé aux entreprises basées aux États-Unis de se conformer au CASL. Les accords bilatéraux entre les États-Unis et le Canada sont une base solide pour la distribution d'amendes CASL aux États-Unis.
| FAI / Loi | Type d'opt-in acceptable | Obligations en matière de désabonnement |
|---|---|---|
| AOL |
|
|
| CAN-SPAM Act 2003 | Basé sur l'opt-out | Une information claire sur la procédure de désabonnement incluse dans toutes les communications. |
| Directive UE sur la confidentialité | Consentement préalable obligatoire, ne précise pas le niveau d'opt-in requis. | Non spécifié. Une fois que le consentement est révoqué, la demande de désabonnement doit être immédiatement honorée. |
| Gmail |
|
|
| Spamhaus | Double opt-in (obligatoire) |
|
| Yahoo! |
| Une réaction rapide est nécessaire quelle que soit la méthode de demande. |
1.2. Obligations au niveau du FAI
Être en conformité juridique n'est qu'un chapitre de la délivrabilité. Le but est d'atteindre la boîte de réception de tous les destinataires qui s'abonnent, ce qui signifie que les marketeurs doivent être en conformité avec les politiques de FAI et les réglementations. Les indicateurs les plus utilisés par les FAIs pour le filtrage d'email sont le taux de plainte et les taux de rebonds. Le rebonds durs sont des envois à des adresses email invalides. Des taux de plainte et de rebonds durs élevés sont des indicateurs de pratiques d'envois indiscriminés.
Les politiques de FAI et les obligations légales partagent le même but : empêcher la transmission d'email non-voulu, intempestifs et non-pertinents, tout en assurant que les destinataires peuvent facilement avoir accès à des mécanismes d'opt-out.
2. Obligations par FAI/région
La section suivante inclut des extraits d'une sélection d'organisations internationales, et de comment elles précisent les obligations liées à la transmission d'emails.
Les textes suivants ont été traduits de la source originale pour votre confort. Toutefois, la version originale est le seul texte juridiquement contraignant et doit faire référence en tant que source souveraine pour toutes questions de responsabilité et de conformité.
2.1. Obligations concernant l'opt-in
2.1.1. AOL
- Assurez-vous de n'envoyer des messages qu'aux utilisateurs qui l'ont spécifiquement demandé. Il est déconseillé d'acheter des mailing lists ou d'abonner des utilisateurs via une case d'opt-in automatiquement cochée sur votre sites web.
- Il est préférable d'avoir une procédure d'opt-in double/confirmé Quand les utilisateurs s'abonnent à votre mailing list, envoyez-leur un email leur demandant de cliquer pour confirmer leur opt-in. Cela réduira le nombre de personnes qui s'inscrivent à partir de fausses adresses email.
- Quand des utilisateurs s'abonnent à votre mailing list, dîtes-leur quel type d'emails ils doivent s'attendre à recevoir, à quelle fréquence, et à quoi ils vont ressembler. Aidez le destinataire à se faire une idée précise de ce qui l'attend.
2.1.2. Directive UE sur la confidentialité et les communications électroniques (2002/58/EC)
Le consentement de l'utilisateur est aussi requis dans un certain nombre d'autres situations, y-compris :
- Avant que des communications non-sollicitées (spam) puisse leur être envoyées. Ceci s'applique aussi aux services de messages courts (SMS) et autres systèmes de messagerie électronique.
- Avant que des informations (cookies) ne soient stockées sur leurs ordinateurs ou appareils ou avant que l'accès à ces informations soit obtenu, l'utilisateur doit se voir donné des informations claires et complètes, entre autres, concernant la fonction du stockage ou de l'accès.
2.1.3. Gmail
Chaque utilisateur sur votre liste de distribution doit opter pour recevoir des messages de votre part, de l'une des manières suivantes (opt-in) :
- Par un email lui demandant de s'abonner à votre liste.
- En cochant manuellement une case sur un formulaire web, ou au sein d'une interface logiciel.
Nous vous conseillons aussi de vérifier chaque adresse email avant de les abonner à votre liste.
Les méthodes suivantes de collecte d'adresses ne sont pas considérée comme des "opt-in" et donc déconseillées :
- Utiliser une liste d'adresses email achetée à un tiers.
- Mettre une case à cocher sur un formulaire web ou dans une interface logiciel pour abonner tous les utilisateurs par défaut (obligeant les utilisateurs à explicitement opt-out des mailings).
2.1.4. Spamhaus
Dans le secteur des emails groupés, les obligations définissent l'opt-in légitime comme étant un "Opt-in confirmé" ou "COI", aussi appelé "Opt-in vérifié" ou parfois "Double Opt-in".
2.1.5. Yahoo!
- Utilisez et honorez une méthode d'opt-in pour l'abonnement à votre mailing list. Assurez-vous que les abonnés ont activement confirmé leur intention de recevoir vos emails.
- Honorez la fréquence affichée par la liste. Ne commencez pas à envoyer des emails quotidiens aux abonnés de votre mailing mensuel.
2.2. Obligations de politique de confidentialité
2.1.2. Directive UE sur la confidentialité et les communications électroniques (2002/58/EC)
Les fournisseurs de services de communication électronique doivent sécuriser leurs services, au moins en :
- Assurant que seules les personnes autorisées accèdent aux données personnelles.
- Empêchant que les données personnelles ne soient détruites, perdues ou accidentellement abîmées, et en les protégeant d'autres formes de traitement illégales ou non-autorisées.
et
Les pays membres de l'UE doivent assurer la confidentialité des communications faites sur des réseaux publics, et doivent en particulier :
- Interdire l'écoute, l'enregistrement, le stockage ou tout type de surveillance ou d'interception de communications et de données de trafic sans le consentement des utilisateurs, sauf par une personne détenant l'autorisation légale et se conformant à des obligations spécifiques.
- Garantir que le stockage ou l'accès à des informations stockées sur l'équipement personnel de l'utilisateur n'est autorisé que si l'utilisateur a été clairement et complètement informé, entre autres, sur l'objet de la démarche et qu'on lui a donné le droit de la refuser.
2.2.2. Obligations Return Path
Les entreprises enregistrées légalement et établies sont des entreprises saines et sécurisées. Ce type d'entreprise doit pouvoir participer à des programmes pour expéditeurs certifiés.
Pour y prétendre, les entreprises expéditeur certifié doivent :
- Être légalement enregistrées
- Avoir une adresse physique
- Avoir été opérationnelles depuis un an minimum
- Être vérifiables par une source tierce telle que [yourstate].gov ou WhoIS.com
De plus, les entités commerciales certifiées (maisons mères de la marque) doivent aussi être légalement enregistrées
2.3. Obligations concernant les données d'inscription
2.3.1. Directive UE sur la confidentialité et les communications électroniques (2002/58/EC)
Les pays membres de l'UE doivent assurer la confidentialité des communications faites sur des réseaux publics, et doivent en particulier :
- Garantir que le stockage ou l'accès à des informations stockées sur l'équipement personnel de l'utilisateur n'est autorisé que si l'utilisateur a été clairement et complètement informé, entre autres, sur l'objet de la démarche et qu'on lui a donné le droit de la refuser.
2.4. Confidentialité
2.4.1. La loi fédérale allemande sur la protection des données
Les personnes employées au traitement des données ne doivent pas collecter, traiter ni utiliser de données personnelles sans autorisation (confidentialité). Au moment de leur prise de fonctions il doit être exigé de ces personnes, dans la mesure où elles travaillent pour des organismes privés, qu'elles s'engagent à maintenir une telle confidentialité. Cet engagement doit rester valide après la fin de leur contrat.
2.4.2. Loi britannique sur la protection des données
7. Droit d'accès aux données personnelles.
(i) Sous réserves des dispositions suivantes de cet article et aux articles 8, 9 et 9A, un individu a droit à
c) ce qu'on lui communique sous forme intelligible -
(ii) toutes informations auxquelles le contrôleur des données a accès concernant la source de ces données.
2.5. Obligations d'hygiène de liste
2.5.1. Gmail
- Désabonner automatiquement les utilisateurs dont les adresses font rebondir plusieurs mailings.
- Envoyer périodiquement des messages de confirmation aux utilisateurs.
- Inclure chacune des mailing lists auxquelles ils ont souscrit, et leur donner la possibilité de se désabonner de celles qui ne les intéressent plus.
2.5.2. Les recommandations de Spamhaus pour l'hygiène de liste
Maintenance - Entretenez l'actualité de votre liste ! Retirez rapidement les demandes de désinscription et les rebonds, en temps réel autant que faire se peut, et dans la journée en tout cas. Écrivez à la liste à intervalles réguliers. Les listes pour lesquelles l'envoi a été interrompu provoquent des taux de plainte élevé quand elles sont réactivées, même de la part d'adresses avec un opt-in légitime. Les adresses sont "remuées" avec le temps, c'est-à-dire abandonnées ou ré-utilisées. Pour la plupart des listes commerciales, envoyez au moins une fois par semaine et retirez toute adresse avec trois rebonds consécutifs, ou des rebonds séquentiels sur plus de deux semaines.
et
Traitement des rebonds - Respectez ce que vous dit le serveur du destinataire. Les codes SMTP "5xy" signifient "Non !" Faire rebondir votre email sur les filtres tout en apparaissant dans les registres, ou bien reprendre l'envoi de spam une fois tombé le couperet du filtre, sont des manières éprouvées d'irriter les opérateurs de serveur comme les propriétaires de messagerie. Les adresses converties en pièges à spam rejetteront (5xy) typiquement toutes les livraisons pendant environ six mois... vous avec vraiment intérêt à ce qu'elles ne figurent pas sur vos listes, donc assurez-vous bien qu'elles rebondissent.
2.5.3. Yahoo!
- Surveillez le rebonds durs et doux ainsi que les destinataires inactifs. Persister dans l'envoi d'emails à ces adresses entraînera le signalement de vos connexions.
- Envisagez d'envoyer périodiquement un email de reconfirmation aux abonnés inactifs, ou bien de les retirer complètement.
- Envoyer des emails aux utilisateurs qui ne les lisent pas, ou les signalent comme "spam", dégradera vos indicateurs de livraison et votre réputation.
2.6. Mécanismes d'authentification de l'expéditeur
La section suivante détaille simplement quels FAIs utilisent quels types de mécanismes.
| FAI | Boucle de rétroaction / obligations d'authentification | Certification |
|---|---|---|
| Gmail | DKIM SPF MX permet au courrier d'être reçu Informations supplémentaires | |
| Yahoo! | DKIM SPF MX permet au courrier d'être reçu Informations supplémentaires | Return Path |
| Hotmail / Outlook | DKIM SPF MX permet au courrier d'être reçu | Return Path |
| AOL | DKIM MX permet au courrier d'être reçu Informations supplémentaires | Return Path |
2.7. Obligations en matière de désabonnement
2.7.1. AOL
- Indiquez une procédure de désabonnement évidente et bien visible dans votre email.
- Facilitez aux utilisateurs le désabonnement de votre mailing list.
- Assurez-vous que la procédure de désabonnement soit facile d'utilisation, comme par exemple avec une page web de désabonnement en un clic.
- Les utilisateurs ne devraient pas avoir à se connecter à un site web pour se désabonner.
- Traitez les désabonnements immédiatement
2.7.2. CAN-SPAM Act 2003
INCLUSION DE L'IDENTIFIANT, OPT-OUT, ET ADRESSE PHYSIQUE DANS LE COURRIER ÉLECTRONIQUE COMMERCIAL- (A) Il est illégal pour quiconque d'initier la transmission d'aucun message commercial par courrier électronique à un ordinateur protégé à moins que le message ne fournisse :
(i) une identification claire et manifeste du message comme une publicité ou une sollicitation ;
(ii) l'annonce claire et manifeste de la possibilité, sous l'article (3), de refuser de recevoir plus de messages commerciaux par courrier électronique de la part de l'expéditeur ; et
(iii) une adresse postale physique valide pour l'expéditeur.
2.7.3. Gmail
Un utilisateur doit pouvoir se désabonner de votre mailing list via l'un des moyens suivants :
- Un lien placé en bonne place dans le corps de l'email menant les utilisateurs à une page confirmant leur désabonnement (aucune contribution autre que la confirmation ne doit être demandée à l'utilisateur).
- En répondant à votre email par une demande de désabonnement.
2.7.4. Spamhaus
La désinscription doit fonctionner rapidement. Et ceci pour tous les emails groupés que vous envoyez à cette adresse. Cela doit fonctionner par email (inclure des informations correctes dans les en-têtes) et de nombreux abonnés apprécient aussi un lien web inclus dans le corps du message. Souscrivez aux boucles de rétroaction, et envisagez que les signalements d'abus peuvent indiquer des problèmes plus sérieux que ceux pouvant être résolus par simple désabonnement de l'adresse ayant émis le signalement. Certaines juridictions demandent aussi la possibilité de se désinscrire via courrier traditionnel. Fondamentalement, si quelqu'un veut être retiré de votre liste, vous devez répondre à sa demande quelque manière qu'elle ait été formulée.
2.7.5. Yahoo!
Honorez rapidement les demandes de désabonnement.
2.8. Obligations régionales en matière de protection des données
2.8.1. Obligations d'information sur le contrôleur des données en vertu de la loi fédérale allemande sur la protection des données
Dans la mesure où les procédures de traitement automatisées sont soumises à un enregistrement obligatoire, les informations suivantes doivent être fournies :
- Nom ou titre du contrôleur.
- Les propriétaires, conseils d'administration, directeurs généraux ou autres dirigeants légalement ou constitutionnellement nommés et les personnes à qui le traitement des données a été confié.
- Adresse du contrôleur.
- Buts de la collecte, du traitement ou de l'utilisation des données.
- Une description des groupes de données concernés et des données ou catégories de données s'y rattachant.
- Les destinataires ou catégories de destinataires auxquels les données sont susceptibles d'être transférées.
- Délais standard pour la suppression des données.
- Tout transfert prévu de données vers des tierces parties.
2.9. Recommandations spécifiques à une campagne
2.9.1. Ajouter à l'annuaire / liste d'expéditeurs fiables AOL
Envoyez vos emails depuis une adresse email cohérente et conseillez à vos utilisateurs d'ajouter cette adresse à leurs annuaires ou leur liste de contacts. Le courrier envoyé aux utilisateurs ayant votre adresse dans leur annuaire ou leurs contacts sera livré dans leur boîte de réception avec les images et les liens activés.
3. Avantages de la certification
Emarsys est membre des organisations suivantes, et en suivant notre politique normative nos clients s'assurent d'être en conformité avec certaines des obligations les plus fortes du monde, conçues pour les protéger lors de l'envoi de gros volumes d'email.
3.1. Certification CSA / Return Path
Le programme de certification Return Path Certification est la liste blanche certifiée la plus reconnue et prisée du secteur. Être sur la liste blanche aide à s'assurer un meilleur placement en boîte de réception auprès des principaux fournisseurs de services de messagerie comme Yahoo, Microsoft, AOL et d'autres.
En moyenne, 17% des emails promotionnels n'atteignent jamais la boîte de réception, atterrissant dans les dossiers de spam ou étant bloqués. Cela signifie perdre sur les ouvertures, les clics et au final le revenu, impactant ainsi la réussite ou l'échec de vos programmes email. Ne prenez pas ce risque. Associez-vous à Return Path pour optimiser la visibilité email et augmenter le revenu en ayant plus d'emails livrés.
4. Score d'expéditeur
Le score d'expéditeur est une notation Return Path qui identifie votre réputation d'expéditeur et vous montre comment les fournisseurs de services de messagerie voient votre adresse IP. C'est un chiffre entre 0 et 100 ressemble à une banque qui gère votre cote de crédit pour jauger votre historique de crédit.
La réputation d'expéditeur est une indication sur la fiabilité de l'adresse IP d'un expéditeur d'emails. Les fournisseurs de services de messagerie prennent un grand nombre d'indicateurs en compte pour déterminer votre réputation d'expéditeur, y compris les plaintes pour spam, les envois à des utilisateurs inconnus, les listes noires sectorielles et d'autres encore.
5. Nouvelle lecture
Pour plus d'informations sur les politiques, les lois et les obligations de destinataire susceptibles d'affecter vos efforts de marketing email, veuillez visiter les liens ci-dessous.
- Le projet Spamhaus : http://www.spamhaus.org/whitepapers/mailinglists/
- M3AAWG (Groupe de travail mobile anti-abus par Malware de messagerie): https://www.m3aawg.org/
- Can-Spam Act 2003 http://www.legalarchiver.org/cs.htm or https://www.gpo.gov/fdsys/pkg/PLAW-114publ38/html/PLAW-114publ38.htm
- Conditions de participation au CSA (Certified Senders Alliance) : https://certified-senders.eu/
- Directive sur les lignes directrices eco CSA : https://certified-senders.org/wp-content/uploads/2017/07/Marketing-Directive.pdf
- Word to the Wise : https://wordtothewise.com/isp-information/
- La définition de "Spam": http://www.spamhaus.org/definition/
- Mailing lists responsables -vs- Spam Lists : http://www.spamhaus.org/whitepapers/mailinglists/
- Permission Pass - Comment secourir votre mailing list : http://www.spamhaus.org/whitepapers/permissionpass/
- La bonne manière d'envoyer des emails groupés. http://www.spamhaus.org/faq/section/Marketing FAQs#214
- "Comptes de rôle" & "Boucles de rétroaction" : http://www.spamhaus.org/faq/section/ISP Spam Issues#119
- Document sur les bonnes pratiques de marketing par email : M3Meilleurs pratiques habituelles d'expéditeur AAWG
- Directive UE sur la protection des données (Directive 95/46/EC): http://searchsecurity.techtarget.co.uk/definition/EU-Data-Protection-Directive
- 10 tuyaux pour une meilleure politique de confidentialité en ligne & Transparence des pratiques en matière de confidentialité : https://www.priv.gc.ca/resource/fs-fi/02_05_d_56_tips2_e.asp