Le consentement doit toujours être spécifique, informé et non ambigu dans tous les cas. La copie opt-in doit donc être limitée à l'envoi de publicité et ne peut contenir aucune autre information ou instruction. Quelque chose comme "adresse e-mail pour la newsletter et les notifications de prix" ne suffit pas.

De même, la personne concernée doit être capable de comprendre clairement la portée du consentement, c'est-à-dire quelle entreprise fait de la publicité, et pour quels produits ou services.

Enfin, avant de soumettre son consentement, l'intéressé doit être informé de son droit de révoquer ce consentement à tout moment. Une notification indiquant que l'utilisateur peut se désabonner à tout moment et quelles méthodes sont disponibles à cette fin peut être mentionnée immédiatement ou expliquée dans la politique de confidentialité, au minimum le lien de désabonnement et l'adresse électronique doivent être fournis.

La politique de confidentialité devrait inclure, entre autres, les bases légales, une note sur la newsletter (expéditeur, type de courriels, droit de désabonnement à tout moment, méthodes de désabonnement, et dans le cas de l'opt-out pour publicité aux clients existants - en Allemagne, conformément au paragraphe 3 de la LCD (loi contre la concurrence déloyale) - un passage expliquant qu'aucun frais de désinscription ne sera encouru, autres que les frais de transmission conformément au tarif de base, ainsi que des informations sur le traitement des données (quelles données sont collectées, comment les données sont traitées, comment elles sont utilisées et pour combien de temps elles sont sauvegardées, tout tiers doit être spécifiquement nommé).

Nous avons fourni quelques exemples de textes à utiliser dans cet article: Meilleures pratiques pour l'Opt-in.

Non, mais n'hésitez pas à jeter un coup d’œil à notre propre document pour vous en inspirer: Accord de Gestion de Données Emarsys.

La base juridique pour le traitement des informations personnelles après l'inscription à la newsletter est le consentement reçu conformément à l'art. 6 (1) (a) RGPD, ou dans le cas d'une adresse email obtenue dans le cadre de la vente de biens ou de services (en Allemagne), 7 par. 3 LCD (Loi contre la Concurrence Déloyale).

La base légale pour l'enregistrement du comportement de l'utilisateur et le processus d'inscription pourrait être un intérêt légitime conformément à l'art. 6 (1) (f) RGPD. Dans ce cas, l'intérêt légitime est une offre de newsletter à la fois de haute qualité et techniquement sûre.

L’article 7 par. 3 LCD (Loi contre la Concurrence Déloyale) est basé sur la Directive sur la confidentialité électronique. Par conséquent, il existe des réglementations comparables au sein de l'UE. Il continuera à s’appliquer. Le principe d'un système juridique uniforme s'applique.

Si les exigences de l’article 7 par. 3 LCD sont remplies, le traitement des données qui y est lié sera également autorisé dans le cadre du RGPD. Ceci est une réglementation spéciale conformément à l'art. 95 RGPD. Cependant, une ingérence future et une décision juridique en résultant ne peuvent ne sont pas à exclure. Attendons et voyons dans quelle direction le règlement sur la protection de la vie privée ira éventuellement. Le projet contient une clause relative à cette question.

Si le site web est spécifiquement adapté à un pays (par exemple en utilisant le domaine ".de"), alors oui. Une page web est par ailleurs globalement accessible et une traduction dans toutes les langues du monde serait complètement exagérée.

Tout consentement qui a été obtenu légalement jusque-là restera valide. Ou, du moins, le consentement obtenu conformément aux lois allemande et autrichienne étant donné que les règlements régissant le consentement dans ces pays étaient déjà pratiquement conformes au RGPD.

Les mineurs, en particulier, peuvent constituer une pierre d'achoppement à cet égard; à l'avenir, le consentement parental sera requis pour les enfants de moins de 16 ans. Toutefois, cet âge peut également être réduit par les États membres, comme en Autriche (14 ans) et au Royaume-Uni (13 ans). Cela s'applique également aux données existantes.

En outre, l'interdiction du couplage doit être prise en compte. Bien que les nouveaux règlements soient quelque peu ambigus, les exigences deviendront plus rigoureuses que par le passé. Des versions populaires telles que «donnez-moi votre permission et vous serez inscrit à ce concours» devraient peut-être être convertie en «tous les abonnés à notre newsletter seront automatiquement inscrits à un concours».

Le résultat sera similaire du point de vue de l'annonceur, mais le phrasé présente moins de risques d'un point de vue juridique.

D'un point de vue technique, des informations telles que l'emplacement, l'adresse IP et l'horodatage requis dans le cadre de la démonstration du consentement peuvent être facilement documentées par l'inclusion d'un double opt-in.

Cependant, l'archivage des politiques de confidentialité et des accords de consentement devrait être effectué séparément. Par exemple, lorsque vous effectuez des modifications, vous devez conserver les versions antérieures de vos pages web concernées (par exemple, en tant que captures d'écran enregistrées au format PDF ou images) pour suivre les modifications.

En outre, vous pouvez envoyer une copie de chaque email de confirmation envoyé dans le cadre du double opt-in à une archive de courrier électronique interne à l'aide de la fonction CCI.

Oui. Il incombe au responsable du traitement de s'acquitter de son obligation de divulgation, que les documents aient été recueillis avant ou après l'entrée en vigueur du RGPD. Cependant, conformément à l'art. 15 (1) (g) RGPD, les informations sur la source des données ne doivent être fournies que dans les cas où les données personnelles ne sont pas collectées auprès de la personne concernée.

Non. En termes de RGPD, rien n'a changé à cet égard.

Un double opt-in n'est pas explicitement requis par le RGPD. Cependant, il doit être possible de fournir la preuve que la personne à qui appartient l'adresse email, c'est-à-dire la personne autorisée à utiliser cette adresse email, est bien la personne qui s'est inscrite et non quelqu'un d'autre.

Le double opt-in fournit le seul moyen possible et "étanche" de recueillir ces preuves.

À cet égard, le hors ligne n'est pas différent du en ligne. L'alternative serait d'archiver chaque flyer ou chaque signature. De plus, lors de la numérisation, des erreurs d'adresses email manuscrites apparaissent souvent sans une double confirmation du consentement, le spam est inévitable. Nous vous recommandons donc fortement, lorsque des adresses email ont été reçues via une source hors ligne, que ces dernières soient rapidement suivies d’un email de confirmation.

Non, voir la réponse précédente. La politique de confidentialité devrait indiquer que vous vous connectez si un email a été ouvert, comment vous suivez cela, et quels liens ont été cliqués. Les données sont collectées à des fins d'analyse et pour adapter le contenu des e-mails aux préférences individuelles des lecteurs.

Les données d'enregistrement à stocker sont l'adresse IP, l'horodatage, une URL / capture d'écran du formulaire d'inscription et dans le cas d'un double opt-in l'email de confirmation exact reçu. La façon dont les documents sont conservés peut être choisie individuellement, mais en cas de plainte, les dossiers complets doivent être facilement disponibles pour être présentés en temps opportun.

Il devrait être suffisant de le signaler au cours du processus d'inscription en ajoutant une note indiquant que les abonnés doivent avoir plus de 16 ans. . En s'inscrivant, l'abonné confirme alors qu'il ou elle a au moins 16 ans.

Mais cela peut ne pas être le cas si une offre est destinée aux enfants. Dans ce cas, il peut être nécessaire d'obtenir une vérification ainsi que le consentement d'un parent ou d'un tuteur. Reste à voir comment cela peut être réalisé sans outrepasser de limite et tout en remplissant l’objectif, (comme par exemple demander une copie d'un document d'identité par email).

Oui. À partir du 25 mai 2018, les conditions de base du RGPD devront être remplies. Si le consentement d'un mineur a été fourni sans le consentement de son tuteur légal, les conditions du RGPD n'ont pas été remplies. En d'autres termes, cela signifie que le consentement ne sera plus valide à compter de la date d'entrée en vigueur (le 25 mai) et devra ensuite être corrigé.

Un consentement séparé et explicite n'est pas requis pour Web Extend et Predict. Pour votre campagne de réautorisation, vous pouvez créer un lien vers un formulaire dans lequel l'acceptation de la newsletter et le consentement en termes de protection des données sont demandés séparément, c'est-à-dire au moyen de deux cases séparées.

Voir l’Art. 37 (1) GDPR: « Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas où:

1. le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux agissant en leur capacité judiciaire;
2. les principales activités du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, en raison de leur nature, de leur portée et / ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle; ou
3. les principales activités du responsable du traitement ou du sous-traitant consistent à traiter sur une grande échelle des catégories particulières de données conformément à l'article 9 ou des données à caractère personnel relatives à des condamnations pénales et des infractions mentionnées dans l'article 10. »

Les paragraphes 2 et 3 sont les plus susceptibles de s'appliquer. En cas de doute, un délégué à la protection des données doit être nommé.

Voir l’Art. 39 (1) GDPR: « Le délégué à la protection des données doit accomplir au moins les tâches suivantes:

1. informer et conseiller le responsable du traitement ou le sous-traitant et les employés qui effectuent le traitement de leurs obligations en vertu du présent Règlement et des autres dispositions de l'Union ou des États Membres en matière de protection des données;
2. surveiller le respect du présent Règlement, des autres dispositions de l'Union ou des États Membres en matière de protection des données et des politiques du responsable du traitement, ou du traitement concernant la protection des données personnelles, notamment la répartition des responsabilités, la sensibilisation et la formation du personnel concerné par les opérations et les audits connexes;
3. fournir des conseils, en cas de besoin, au sujet de l'évaluation de l'impact de la protection des données ainsi que contrôler ses performances conformément à l'article 35;
4. coopérer avec l'autorité de surveillance;
5. servir de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable mentionnée dans l'article 36, et la consulter, le cas échéant, sur toute autre question. »

Conformément à l'art. 56 (1) RGPD, l'autorité de surveillance de la succursale principale ou des succursales individuelles du responsable du traitement ou du sous-traitant est l'autorité responsable.

Cependant, conformément à l'art. 56 (2) GDPR, les autorités des autres États Membres de l'UE peuvent également agir lorsqu'elles reçoivent une plainte ou en prennent connaissance et que l'objet ne concerne qu'une succursale située dans leur État Membre ou n'affecte que de manière significative les personnes concernées dans leur État Membre.

Il n'y a pas de procédure formelle pour contacter une autorité de surveillance et cela peut se faire via les options de contact spécifiées par l'autorité de surveillance (voir par exemple leurs sites web).

Oui, car le traitement des données par Emarsys a lieu dans l'UE et le RGPD est donc applicable. En outre, pratiquement aucun site internet suisse n'offre des services exclusivement à des clients basés en Suisse et non à des clients basés dans les pays voisins, ce qui, conformément à l'art. 3 (2) (a) RGPD, signifie que le Règlement général sur la protection des données s'appliquerait de toute façon.

En substance, un ensemble unique de règles s'appliquera à tous les États membres de l'UE. Cependant, certains États membres auront besoin de lois nationales supplémentaires. Même l'Allemagne a une nouvelle loi fédérale sur la protection des données qui élargit la politique dans une certaine mesure. Ceci est moins basé sur le marketing et plus sur la vidéosurveillance, la notation et les contrôles de crédit ou le traitement des données personnelles.

Dans l'ensemble, il existe de nombreuses clauses dites de flexibilité dans le RGPD qui offrent un certain niveau de manoeuvrabilité à la législature nationale.

Tous les serveurs Emarsys gérant le traitement des données clients sont situés dans l'UE. Pour plus d'informations sur la façon dont Emarsys gère les données, voir: Sécurité des données dans l’application Emarsys.

Bien que le RGPD en soi ne l’exige, il doit toujours être mentionné dans la politique de confidentialité et le client doit avoir accepté les conditions énoncées dans la politique de confidentialité (par exemple lors de l'inscription à la newsletter ou lors de la première visite sur le site avec l’apparition de la fenêtre de dialogue concernant les cookies). Cela pourrait toutefois changer avec le futur Règlement de l'UE sur la protection de la vie privée. Nous ne savons pas encore si, quand et sous quelle forme cette politique sera mise en œuvre.

Il n'y a pas de limite fixe, mais vous avez l'obligation de fournir des informations sur la durée de conservation des données. En règle générale, cette notification sera incluse dans la politique de confidentialité.

Dans le même temps, vous devez configurer des processus pour vous assurer que les données qui ne sont plus nécessaires ou pour lesquelles il n'y a plus d'utilisation légitime sont supprimées correctement et en temps voulu.

L'intégration de données permet d'utiliser la plateforme sous toutes ses facettes. Mais répondons à cette question d'un point de vue différent: quelles sont les restrictions en matière de transfert de données?

Les catégories spéciales de données à caractère personnel exigent des mesures extraordinaires, conformément à l'art. 9 RGPD. Les catégories spéciales comprennent, par exemple, des données sur les opinions politiques ou religieuses ou des données concernant la santé, l’orientation sexuelle ou l'origine ethnique. Toutes les autres données peuvent être traitées sans aucun problème, à condition que les conditions générales, telles que le consentement de la personne concernée (personne concernée), aient été respectées.

La forme de transmission est sans importance d'un point de vue juridique, mais a généralement lieu par voie électronique.

Non, car cela signifie que l'email de confirmation lui-même devient une publicité et la publicité ne peut être envoyée qu'après la confirmation de l'enregistrement.

Strictement parlant, oui. Après tout, cela incite l'utilisateur à accorder son consentement.

Mais tout le monde le fait et cette règle ne devrait probablement pas être appliquée d'une manière irréaliste et stricte ici.

Le fait que cet avantage ne soit pas offert à ceux qui refusent de participer ne constitue pas un désavantage si important que cela aurait une incidence sur le caractère volontaire de leur consentement. Il est cependant important de ne pas dépasser la limite. L'inscription à la newsletter doit rester au centre.

On ne peut répondre à cette question en termes généraux. Cela dépendra toujours des circonstances uniques de chaque cas individuel.

Le couplage de l'inscription avec une participation au concours peut être autorisé s'il existe d'autres moyens d'entrer, c'est-à-dire si le participant a la possibilité de participer au concours par courrier, par exemple, ou autrement que par email. Si cette option n'est pas disponible, le couplage n'est pas autorisé.

L'alternative doit également être clairement indiquée sur le formulaire. S'il n'y a pas d'alternative, le couplage ne peut avoir lieu, et une case à cocher séparée doit être fournie pour l'abonnement à la newsletter.

En général, ceci s'applique: plus on offre "en échange" de l'enregistrement, plus il est probable qu'il ne sera pas permis.

Il n'est pas catégoriquement vrai que les adresses IP ne peuvent pas être stockées. Bien que cela soit en effet considéré comme une information personnelle au sens du RGPD, l'intérêt du contrôleur pour le traitement de l'adresse IP (par exemple pour la preuve du consentement) l'emportera conformément à l'art. 6 (1) (f) RGPD.

C'est aussi un problème complexe. Si le responsable du traitement a un intérêt légitime (pour le distributeur, par exemple, en meilleure adéquation avec les intérêts du client) et les intérêts de la personne concernée (le client) ne l'emportent pas, cela peut continuer à être autorisé conformément à l’art. 6 (1) (f) RGPD.

Non. Après réception d'une demande, le responsable du traitement doit supprimer les données dans un délai de 30 jours et envoyer une confirmation à la personne concernée.

Oui, voir ci-dessus.

Oui. Si le client a été correctement informé à ce sujet (par exemple dans la politique de confidentialité) et a consenti à cela, alors cela est admissible.

Il n'y a pas de formulaire légal. L’art. 15 (3) phrase 3 du RGPD exige uniquement que:

« Lorsque la personne concernée en fait la demande par voie électronique, et sauf demande contraire de la personne concernée, les informations doivent être fournies sous une forme électronique communément utilisée. »

La façon la plus simple de le faire serait par email, peut-être en y joignant un tableau Excel.