L'opt-in partenaire est un mécanisme accordé au secteur du marketing direct dans le cadre de la LCEN permettant aux éditeurs de sites de revendre les données de leurs membres avec leur autorisation. Malheureusement, le manque total d'encadrement du mécanisme donne lieu à des pratiques totalement contraires à l'esprit de la loi et in fine à « légaliser » le spam.

Spam - courtesy spamdefy.com, all rights reserved Ce billet fait écho au reportage « Toute ma vie sur Internet » de Nicolas Combalbert diffusé dans Envoyé Spécial sur France 2 le 29 novembre dernier, reportage auquel j'ai très modestement participé et permet d'approfondir les propos que j'y tiens.

Lorsque le législateur français, dans le cadre de l'application des directives européennes, a mis en place la LCEN, il a notamment renforcé les droits des internautes en matière de protection de leurs données personnelles en exigeant des éditeurs de sites ou services d'obtenir le consentement explicite du membre avant de commercialiser ses données (opt-in actif), et la capacité de mettre fin à tout moment à cette commercialisation (opt-out).

En clair, il faut cocher une case ad hoc pour recevoir autre chose que la communication directe (newsletter, annonce, message de service, etc.) d'un site sur lequel vous auriez laissé votre adresse e-mail et d'autres données personnelles socio-démographiques. C'est le fameux opt-in partenaire. Nous ne parlons donc pas des sociétés qui commercialisent vos données sans même votre accord, comme ce fut le cas avec Smartdate.

Exemple d'opt-in Auchan.fr

La théorie voudrait que les offres poussées vers l'internaute correspondent à ses attentes et ses centres d'intérêt et que la fréquence des envois soit modérée. Certains professionnels recommandent même de pousser à l'internaute une demande d'adhésion lors d'un premier envoi (on peut parler de « double opt-in ») plutôt que de lui réserver la surprise d'un abonnement d'office.

Vous serez amenés à cocher cette case à plusieurs occasions : lors de la création d'un compte client d'un site Web, l'abonnement à une newsletter ou bien lors de la participation à des jeux en ligne (tirage au sort, concours, etc.).

Ce faisant, vos données personnelles auront un destin qui variera en fonction de l'acteur auquel vous aurez affaire et de ses prestataires à qui il les confiera.

Il y a d'abord la société qui va lier les offres partenaires aux siennes : le mot partenaire prend alors tout son sens. Il peut s'agir par exemple de services ou produits qui étendent les capacités et la satisfaction client suite à une première transaction. Dans ce cadre, les données personnelles sont souvent gérées directement par le site à qui vous avez donné cette autorisation.

C'est malheureusement un cas de figure rare et pourtant le seul qui réponde à l'esprit de la loi.

Ensuite, une même société peut décider de commercialisation vos données personnelles afin d'y pousser de la publicité. Cette pratique est essentiellement là apporter de nouveaux revenus publicitaires à ceux déjà existant. La commercialisation se fait en interne et les données ne sont pas communiquées à des tiers, si ce n'est à un routeur (société chargée d'envoyer les d'e-mails en question).

La valeur ajoutée de ces publicités pour l'internaute est généralement nulle. Elles sont très rarement ciblées et peuvent relayer des offres proches de la vente pyramidale, comme nous l'avons vu dans ce billet. Les publicités sont souvent issues de régies et sont donc par définition extrêmement génériques et répétitives, même avec des programmes prétendument ciblés comme ceux d'Email Attitude ou d'autres racoleuses comme cet exemple poussé via Slip Software :

Exemple d'e-mail envoyé par Slip Emailing Platform

Mais au moins, votre adresse e-mail ne quitte pas le giron de la société qui l'a collectée. Cependant, la grande majorité des autorisations de commercialisation de vos données personnelle se fait à travers un réseau plus ou moins dense et opaque de prestataires.

Vos données personnelles vont alors voyager. Beaucoup voyager. Elles quitteront les bases de la société à qui vous avez donné l'autorisation de les diffuser auprès de « partenaires » pour alimenter un nombre virtuellement illimité de bases de données pendant de nombreux mois, pour ne pas parler d'années.

Jeu de piste pour données personnelles

S'engage alors une sorte de course à la diffusion de vos données dans laquelle vous serez la plupart du temps perdant. Si le site sur lequel vous avez laissé vos données personnelles en opt-in partenaire existe encore (ce qui exclu donc tous les sites événementiels et ceux qui auront fermé boutique entre temps), vous aurez peut-être la chance de tarir la source avant qu'elle ne devienne incontrôlable et que vous receviez des messages avec comme signature improbable :

Vous recevez ce message parce que vous etes inscrit sur le site de mktg-uranus.fr

Dans le cas contraire, vous n'aurez jamais en face de vous la société qui a récolté vos données personnelles. Les liens de « désinscription » des e-mails qui vous seront poussés ne concernent que les sociétés de routage, qui elles-mêmes font souvent barrage entre eux et leur client ou le fournisseur de leur client.

En face de vous, des Emailvision, des Arthur Media Group, des Canal Mail, des Slip Emailing, des Efficiency Network mais jamais les commanditaires.

Les mentions légales présentes dans ces e-mailings sont très peu explicites lorsqu'elles ne se contentent pas de vaguement citer la loi informatique et libertés de 1978 et de proposer un lien de désinscription. Jamais la raison sociale du client (bien souvent lui-même prestataire e-marketing), l'origine ou la date de la captation de vos données personnelles pourtant protégées, ne sont mentionnées.

Les sociétés multiplient les noms de programmes fantaisistes en reprenant des termes à la mode (comme les ventes ou clubs privés), font usage d'une profusion de noms de domaine, omettent de mettre en place un reply fonctionnel dans leurs e-mails, renvoient vers des pages de désinscription sans aucunes mentions légales (ni même parfois sur les sites censés présenter ces « programmes »), associent souvent les noms de domaine ou les sites à des filiales à l'étranger (quand les sociétés n'ont tout simplement pas d'existence en France), etc.

Il est donc très souvent difficile, pour ne pas dire impossible de connaître l'identité de la société qui détient vos données et parfois même celle du routeur, comme dans cet exemple détaillé.

Lorsque vous soumettez votre demande par e-mail au routeur, bien souvent vous obtiendrez ce genre de réponse type :

Nous avons bien pris en compte votre demande et nous avons effacé votre adresse email des bases de nos clients.

La seule chose que vous pourrez obtenir, c'est votre « désinscription » assortie parfois d'une « mise en liste noire » de votre e-mail chez ce routeur. Cette mesure n'est bien sûr aucunement satisfaisante et vos données continuerons de circuler librement puisqu'on vous dit que « vous avez laissé votre opt-in quelque part ».

Un schéma basé sur des cas réels, dans la plus totale légalité, illustre bien la complexité et la profonde ambivalence du système :

Schéma de la circulation des données personnelles via l'opt-in partenaires

L'adresse e-mail collectée sur un site de jeu concours du groupe Prisma Media (j'aurais pu prendre pour exemple Le Figaro, un opérateur mobile tant les exemples sont nombreux) l'a été grâce au programme Mailorama (dont je détaille le fonctionnement dans ce billet). L'adresse n'a donc en soi que peu de valeur. Le jeu concours incite l'internaute a laisser ses coordonnées complètes ainsi que de cocher la fameuse case opt-in à travers la promesse de chances de gains supplémentaires.

Une fois l'adresse captée, elle ne va pas être utilisée par Prisma Media mais confiée à un ou plusieurs brokers dont le métier est de commercialiser ces bases de données. Leur nombre est à ce stade totalement inconnu de l'internaute et le restera. Dans cet exemple, l'adresse collectée en mars 2012 était toujours louée à de nouveaux clients en novembre de la même année.

Plusieurs sociétés rachètent alors les données personnelles au(x) broker(s) et vont à leur tour les commercialiser et vous abonner à leurs newsletters qui ne sont constituées à 99% que de publicité.

A qui profite le crime ?

Certainement pas à l'internaute qui, à juste titre, considérera ces envois comme du courrier indésirable et ne fera pas le lien entre une inscription faite 8 mois plus tôt et l'abonnement à un nouveau programme de bons plans constitué en réalité de messages publicitaires.

Pas non plus à l'annonceur, dont la marque ou le produit sera assimilé à du spam. L'internaute - si jamais son filtre laisse passer un tel message - aura très vite fait de le bloquer et les messages suivants finiront dans le dossier « junk » de son client e-mail préféré. Le côté répétitif de certains messages ou annonceurs (comme Yves Rocher ou Spartoo) ont un effet contre-productif sur le prospect dont on attend au final de l'empathie vis-à-vis de la marque, un clic et un achat.

Il faut se tourner vers les acteurs intermédiaires entre l'internaute et le client final (qui n'a souvent pas conscience de passer par ces circuits) afin d'identifier à qui profite réellement ce système.

Il y a d'abord le « propriétaire » de la base (ici Prisma Media ou un prestataire en marque blanche) qui la loue à des tarifs très variables (environ 15 € du CPM). Ensuite les nombreuses sociétés intermédiaires qui vont agréger les données et les louer à d'autres sociétés spécialisées dans le marketing, toujours au CPM et parfois au CPA ou au CPL.

Entre les deux, des régies publicitaires souvent basées sur le principe de l'affiliation ou de la marque blanche, qui fournissent en publicités ces sociétés qui commercialisent « leurs » bases de données plus ou moins qualifiées.

Enfin, la société qui s'occupera de router les e-mails touche quelques centimes d'euros par adresse. Tous les routeurs ont bien sûr une politique anti-spam très ferme, mais à part Mailjet, je n'ai jamais eu aucun retour suite à une plainte remontée à leurs services. On vous explique même parfois « qu'on est solidaire de nos clients » :

Statut Twitter SlipSoftware 270820593220325376

Certaines de ces sociétés affichent un chiffre d'affaires de plusieurs millions d'euros, toutes activités confondues.

Pour une évolution des pratiques et de la législation

La profession se repose pour l'essentiel sur des chartes de bonnes conduites qui n'engagent bien sûr que ceux qui prennent la peine de les lire. Autrement dit, moins il y a de régulation, mieux le secteur se porte. L'arrivée de la LCEN en 2004 (transposition d'une directive européenne) avait notamment fait grincer des dents la profession qui avait alors parlé de véritable « tsunami ».

Une nouvelle fois, le législateur européen n'a pas attendu l'auto-régulation promise, et une nouvelle loi est en cours d'élaboration. Celle-ci est déjà décriée par le SNCD, notamment en ce qui concerne « l'introduction de l'obligation de fournir aux personnes des informations relatives à l’origine de leurs données ». Un comble donc, quand on voit l'urgence de la mise en place de cette mesure (qui n'est pas attendue avant 2016 au plus tôt).

Pourtant, il est nécessaire de respecter certains principes afin de garantir les droits de l'internaute et permettre la transparence en matière d'utilisation de ses données personnelles, notamment :

  • En établissant une durée de conservation et de (re)vente clairement établie.
  • En limitant le nombre de reventes des données personnelles (et en interdisant la vente aux brokers).
  • En indiquant clairement l'identité et les coordonnées du premier dépositaire des données, du client et du routeur.
  • En offrant la possibilité à l'internaute de se désinscrire à la fois de la base du client mais aussi de la source, avec l'obligation pour cette dernière de maintenir ce droit même après la disparition de l'évènement responsable de la collecte.
  • En limitant l'envoi de l'offre partenaire à un seul et unique e-mail de prospection (plus d'abonnement d'office à des « newsletters »).

D'un point de vue pratique, l'e-mailing devrait toujours mentionner le nom du cédant, et l'e-mail devrait être envoyé en son nom, sous une forme explicite : « untel vous recommande les services ou le produit de ... ».

La revente à des fins purement publicitaires (router les messages d'une régie) devrait être interdite et la communication du partenaire (et pas des partenaires) devrait être directe. Or, elle prend un forme complexe : cédant -> acquéreur(s) -> régie(s) -> annonceur(s). Ce dernier, en bout de chaîne, n'a souvent aucun contrôle de l'origine ni de la qualité de l'adresse e-mail collectée.

Il ne devrait pas être possible pour une société d'abonner une adresse à plusieurs programmes ou newsletters. L'envoi pour une société (qu'il s'agisse d'un groupe ou d'une simple entreprise) devrait donc être unique. Il ne devrait donc pas être possible de relayer des messages à caractère publicitaire sous plusieurs bannières, sous prétextes que ces sociétés ou entités commerciales appartiennent à un groupe qui a fait l'acquisition de ces adresses pour le compte de ses filiales.

La désinscription (ou opt-out) doit pouvoir se faire automatiquement et sans plus de recherche de la part de l'internaute, à partir de l'e-mail :

  • auprès de la base cédante,
  • auprès de la base qui a acquis l'adresse.

Avec à chaque fois la possibilité de refuser tout autre futur démarchage auprès de ces sociétés qui doivent donc maintenir des listes rouges. Au final, ces mesures rétabliraient la confiance entre l'internaute et l'annonceur et réduiraient fortement ce « spam légal ».

Le législateur devrait enfin prévoir un mécanisme de sanction simplifié, sous la forme d'amendes lorsqu'une infraction est constatée, la CNIL qui est bien seule dans son rôle de gendarme du Web (et qui a audité une des sociétés citées dans ce billet) n'a tout simplement pas les moyens de sa mission.

L'encadrement strict ou à défaut l'abrogation de l'opt-in partenaires permettrait d'assainir ce marché, tout comme la LCEN a pu le faire il y a quelques années et améliorer sensiblement la crédibilité de l'e-mail marketing, la délivrabilité et le taux d'ouverture.