Lois sur l'e-mail marketing en Californie : conformité CAN-SPAM et CASL
Maîtrisez les lois californiennes et fédérales sur l'e-mail marketing. Découvrez les exigences CAN-SPAM et CASL, ainsi que les sanctions encourues en cas de non-conformité, pour protéger votre activité.
Si vous envoyez des e-mails marketing à des destinataires en Californie, ou si votre liste inclut des abonnés canadiens, vous évoluez dans un environnement juridique complexe où plusieurs législations se superposent, chacune assortie de sanctions financières bien réelles. Un manquement à la conformité n'est pas seulement un risque juridique : il détériore votre délivrabilité, érode la confiance de vos abonnés et peut anéantir le ROI que vos campagnes sont censées générer. Ce guide décortique chaque couche de la législation californienne sur l'e-mail marketing, depuis le socle fédéral du CAN-SPAM jusqu'aux règles spécifiques à l'État et aux exigences plus strictes du CASL canadien, afin que vous sachiez exactement où se situe votre programme.
Points clés à retenir
Les lois californiennes sur l'e-mail marketing désignent un ensemble de règles étatiques régissant la manière dont les entreprises collectent, utilisent et partagent les adresses e-mail. Les deux grands cadres juridiques sont le CCPA (qui renforce les droits à la confidentialité des e-mails) et la loi anti-spam californienne prévue par le Business and Professions Code § 17529 (qui réglemente le contenu des e-mails commerciaux et les exigences de consentement). Ces règles étatiques s'appliquent conjointement avec la loi fédérale CAN-SPAM, mais vont plus loin, notamment en matière de consentement et de vente de données personnelles.
Chaque e-mail en infraction avec le CAN-SPAM Act peut faire l'objet d'une amende pouvant atteindre 53 088 dollars, ce qui rend la non-conformité particulièrement coûteuse.
En vertu du CCPA, les entreprises non conformes s'exposent à des pénalités de 2 500 dollars par violation non intentionnelle et de 7 500 dollars par violation intentionnelle. Si ces montants peuvent sembler modestes pris individuellement, ils s'accumulent rapidement : cinquante violations non intentionnelles peuvent ainsi représenter 125 000 dollars d'amendes.
Contrairement au CAN-SPAM fédéral (qui met l'accent sur le droit de désinscription et est principalement appliqué par des agences gouvernementales), le Business and Professions Code § 17529.5 de Californie ouvre un droit d'action privé, permettant des recours collectifs assortis de pénalités significatives.
Les violations du CASL peuvent entraîner des sanctions financières importantes : jusqu'à 1 million de dollars par infraction pour les particuliers, et jusqu'à 10 millions de dollars par infraction pour les entreprises.
Le cadre juridique : trois niveaux à bien comprendre
L'e-mail marketing à destination des résidents californiens n'est pas régi par une seule loi. Il s'inscrit dans trois cadres juridiques qui se superposent, chacun avec sa propre portée, ses seuils d'application et ses mécanismes de sanction.
Les lois californiennes sur l'e-mail marketing constituent un ensemble de règles étatiques qui encadrent la façon dont les entreprises collectent, utilisent et partagent les adresses e-mail. Les deux principaux cadres juridiques sont le California Consumer Privacy Act (CCPA) et la loi anti-spam californienne prévue par le Business and Professions Code § 17529. Ces règles étatiques s'appliquent conjointement avec la loi fédérale CAN-SPAM, mais vont plus loin, notamment en matière de consentement et de vente de données personnelles.
Lois sur l'e-mail marketing en Californie : conformité CAN-SPAM et CASL
Maîtrisez les lois californiennes et fédérales sur l'e-mail marketing. Découvrez les exigences CAN-SPAM et CASL, ainsi que les sanctions encourues en cas de non-conformité, pour protéger votre activité.
Si vous envoyez des e-mails marketing à des destinataires en Californie, ou si votre liste inclut des abonnés canadiens, vous évoluez dans un environnement juridique complexe où plusieurs législations se superposent, chacune assortie de sanctions financières bien réelles. Un manquement à la conformité n'est pas seulement un risque juridique : il détériore votre délivrabilité, érode la confiance de vos abonnés et peut anéantir le ROI que vos campagnes sont censées générer. Ce guide décortique chaque couche de la législation californienne sur l'e-mail marketing, depuis le socle fédéral du CAN-SPAM jusqu'aux règles spécifiques à l'État et aux exigences plus strictes du CASL canadien, afin que vous sachiez exactement où se situe votre programme.
Points clés à retenir
Les lois californiennes sur l'e-mail marketing désignent un ensemble de règles étatiques régissant la manière dont les entreprises collectent, utilisent et partagent les adresses e-mail. Les deux grands cadres juridiques sont le CCPA (qui renforce les droits à la confidentialité des e-mails) et la loi anti-spam californienne prévue par le Business and Professions Code § 17529 (qui réglemente le contenu des e-mails commerciaux et les exigences de consentement). Ces règles étatiques s'appliquent conjointement avec la loi fédérale CAN-SPAM, mais vont plus loin, notamment en matière de consentement et de vente de données personnelles.
Chaque e-mail en infraction avec le CAN-SPAM Act peut faire l'objet d'une amende pouvant atteindre 53 088 dollars, ce qui rend la non-conformité particulièrement coûteuse.
En vertu du CCPA, les entreprises non conformes s'exposent à des pénalités de 2 500 dollars par violation non intentionnelle et de 7 500 dollars par violation intentionnelle. Si ces montants peuvent sembler modestes pris individuellement, ils s'accumulent rapidement : cinquante violations non intentionnelles peuvent ainsi représenter 125 000 dollars d'amendes.
Contrairement au CAN-SPAM fédéral (qui met l'accent sur le droit de désinscription et est principalement appliqué par des agences gouvernementales), le Business and Professions Code § 17529.5 de Californie ouvre un droit d'action privé, permettant des recours collectifs assortis de pénalités significatives.
Les violations du CASL peuvent entraîner des sanctions financières importantes : jusqu'à 1 million de dollars par infraction pour les particuliers, et jusqu'à 10 millions de dollars par infraction pour les entreprises.
Le cadre juridique : trois niveaux à bien comprendre
L'e-mail marketing à destination des résidents californiens n'est pas régi par une seule loi. Il s'inscrit dans trois cadres juridiques qui se superposent, chacun avec sa propre portée, ses seuils d'application et ses mécanismes de sanction.
Les lois californiennes sur l'e-mail marketing constituent un ensemble de règles étatiques qui encadrent la façon dont les entreprises collectent, utilisent et partagent les adresses e-mail. Les deux principaux cadres juridiques sont le California Consumer Privacy Act (CCPA) et la loi anti-spam californienne prévue par le Business and Professions Code § 17529. Ces règles étatiques s'appliquent conjointement avec la loi fédérale CAN-SPAM, mais vont plus loin, notamment en matière de consentement et de vente de données personnelles.
Pas encore de commentaires. Soyez le premier !
Pas encore de commentaires. Soyez le premier !
Si votre liste comprend des abonnés canadiens, le CASL ajoute une quatrième couche avec des exigences de consentement plus strictes que tout ce que prévoit le droit américain. Comprendre ces trois niveaux, et déterminer lesquels s'appliquent à votre activité, est le point de départ de tout programme conforme.
Le CAN-SPAM Act : le socle fédéral
Le CAN-SPAM Act de 2003 est une loi fédérale américaine qui a établi de nouvelles exigences pour les e-mails commerciaux, avec pour objectif de réguler les communications commerciales par e-mail et de lutter contre le spam. Appliquée par la Federal Trade Commission (FTC), cette législation vise à encadrer les e-mails non sollicités, et s'applique à tous les messages électroniques commerciaux envoyés à des destinataires aux États-Unis.
Contrairement à ce que son nom pourrait laisser penser, le CAN-SPAM Act ne s'applique pas uniquement aux envois en masse. Il couvre l'ensemble des messages commerciaux, que la loi définit comme « tout message électronique dont l'objectif principal est la publicité ou la promotion commerciale d'un produit ou service commercial », y compris les e-mails faisant la promotion de contenus sur des sites web commerciaux. La loi ne prévoit aucune exception pour les e-mails BtoB : ainsi, un message envoyé à d'anciens clients pour annoncer une nouvelle gamme de produits doit lui aussi être conforme.
Ce que le CAN-SPAM exige concrètement
La FTC impose huit exigences fondamentales pour qu'un e-mail marketing soit conforme. Vos champs « De », « À » et « Répondre à » doivent identifier clairement votre véritable identité. Évitez les informations d'en-tête fausses ou trompeuses, les noms fictifs ou les adresses usurpées. Les lignes objet doivent être honnêtes et refléter fidèlement le contenu de l'e-mail.
Au-delà de la transparence des en-têtes et des lignes objet, le CAN-SPAM exige :
Une adresse postale valide de l'expéditeur dans chaque e-mail commercial. Cette obligation vise à garantir la transparence et la confiance, en permettant aux destinataires de contacter l'expéditeur si nécessaire.
Un mécanisme de désinscription clair dans chaque e-mail commercial, permettant aux destinataires de se désabonner facilement. La loi impose de traiter les demandes de désinscription rapidement : les entreprises doivent retirer les abonnés désinscrits de leurs listes dans un délai de dix jours ouvrables.
Une fois qu'une personne a manifesté son souhait de ne plus recevoir de messages, vous ne pouvez ni vendre ni transmettre son adresse e-mail, même dans le cadre d'une liste de diffusion.
Une idée reçue courante : le CAN-SPAM n'oblige pas les expéditeurs à obtenir une permission avant d'envoyer des e-mails marketing. Il s'agit d'une loi basée sur le droit de désinscription (opt-out), et non sur le consentement préalable (opt-in). Cette distinction est essentielle lorsqu'on la compare à la législation californienne et au CASL.
Qui est responsable ?
Même si vous confiez la gestion de votre e-mail marketing à une société externe, vous ne pouvez pas déléguer votre responsabilité juridique. L'entreprise dont le produit est mis en avant dans le message et celle qui envoie effectivement ce message peuvent toutes deux être tenues légalement responsables.
Business and Professions Code § 17529 de Californie : la loi anti-spam de l'État
La propre loi anti-spam de la Californie est antérieure au CCPA et fonctionne indépendamment de celui-ci. Adoptée pour lutter contre la publicité en ligne trompeuse, le Business and Professions Code § 17529.5 interdit les e-mails commerciaux non sollicités contenant des informations fausses ou trompeuses, en particulier ceux envoyés depuis ou vers des personnes situées en Californie.
Les entreprises qui s'appuient sur l'e-mail marketing font face à un contrôle accru, alors que les cabinets d'avocats spécialisés multiplient les recours collectifs alléguant des violations de la loi anti-spam californienne prévue par le § 17529.5. Ces actions ciblent des entreprises de l'ensemble des États-Unis qui envoient des e-mails marketing ou promotionnels à des résidents californiens, quel que soit le lieu d'établissement de l'expéditeur.
Ce que le § 17529.5 interdit
Il est interdit à toute personne ou entité de faire de la publicité dans un e-mail commercial envoyé depuis la Californie ou vers une adresse e-mail californienne si cet e-mail contient ou est accompagné du nom de domaine d'un tiers sans son autorisation. La loi interdit également les informations d'en-tête falsifiées et les lignes objet trompeuses.
L'exposition à des risques au titre de cette loi est considérable. Avec une responsabilité stricte et des dommages-intérêts forfaitaires pouvant atteindre 1 000 dollars par e-mail, sans qu'une intention malveillante ou un préjudice réel soit nécessaire, même des campagnes de taille modeste peuvent engendrer une exposition de plusieurs millions de dollars.
Selon cette théorie de responsabilité stricte, toute entreprise qui tire profit d'un e-mail commercial peut être tenue responsable, que le message ait été envoyé directement par l'entreprise ou par un prestataire externe ou affilié. Cela accroît considérablement l'exposition potentielle, car la loi prévoit des dommages-intérêts forfaitaires de 1 000 dollars par e-mail commercial non sollicité et par destinataire, ce qui peut déboucher sur une responsabilité de plusieurs millions de dollars dans des recours collectifs impliquant de larges listes marketing.
Pour limiter votre exposition, si votre entreprise fait appel à des prestataires externes, à des affiliés ou à des partenaires marketing, intégrez dans vos contrats des clauses de protection solides les obligeant à respecter les lois anti-spam applicables, et assurez un suivi approprié. Conservez des preuves de vos efforts de mise en conformité, notamment les formations dispensées, les audits réalisés, les mesures techniques mises en place et les protocoles de conformité, afin de démontrer votre diligence en cas de litige.
CCPA et CPRA : les règles de protection des données pour les e-mail marketeurs
Le CCPA et sa mise à jour de 2023, le CPRA, constituent l'épine dorsale de la législation californienne en matière de confidentialité des données pour l'e-mail marketing. Le California Consumer Privacy Act est une loi de protection des données à l'échelle de l'État qui encadre la manière dont les entreprises traitent les informations personnelles. Il donne aux résidents californiens le droit de savoir quelles informations personnelles les entreprises collectent, utilisent et partagent à leur sujet.
En novembre 2020, les électeurs californiens ont approuvé la Proposition 24, le CPRA, qui a modifié le CCPA en y ajoutant de nouvelles protections de la vie privée, entrées en vigueur le 1er janvier 2023. À cette date, les consommateurs ont acquis de nouveaux droits, notamment le droit de corriger les informations personnelles inexactes et le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles.
Le CCPA s'applique-t-il à votre entreprise ?
Toutes les entreprises qui envoient des e-mails à des résidents californiens ne sont pas soumises au CCPA. La loi s'applique si votre chiffre d'affaires annuel brut dépasse 25 millions de dollars, si votre entreprise achète, reçoit ou vend les informations personnelles de 100 000 résidents californiens ou plus, ou si vous tirez 50 % ou plus de vos revenus annuels de la vente des informations personnelles de résidents californiens.
Point crucial pour les e-mail marketeurs : la période de grâce pour les communications BtoB a pris fin le 1er janvier 2022. Si vous menez des campagnes d'e-mail marketing BtoB ciblant des entreprises basées en Californie, vous devez désormais vous conformer aux exigences du CCPA, notamment en matière de notification en cas de violation de données et de traitement des demandes de « ne pas vendre ».
Dans le cadre du CCPA, une adresse e-mail est considérée comme une information personnelle. Cela signifie que vous devez informer les utilisateurs, au moment de la collecte, des données que vous recueillez et de leur utilisation, proposer une option de désinscription claire si vous vendez ou partagez ces informations, inclure sur votre site un lien « Ne pas vendre mes informations personnelles » le cas échéant, et permettre aux consommateurs d'accéder à leurs données sur demande, et de les faire supprimer s'ils en font la requête.
Les droits des consommateurs selon le CCPA qui concernent vos campagnes e-mail
Le CCPA accorde cinq droits fondamentaux pertinents pour l'e-mail : le droit d'accès (les consommateurs peuvent demander à consulter les données collectées à leur sujet), le droit à la suppression (les entreprises doivent effacer les données personnelles sur demande), le droit de désinscription (des liens « Ne pas vendre mes informations » sont obligatoires), le droit de rectification (les consommateurs peuvent demander la correction de leurs données), et le droit à la non-discrimination (aucune pénalité ne peut être appliquée pour l'exercice des droits à la vie privée).
Pour la gestion opérationnelle de vos campagnes e-mail, deux délais de réponse sont essentiels : vous disposez de 45 jours pour répondre aux demandes d'accès ou de suppression, et de 15 jours ouvrables pour traiter les demandes de désinscription.
Avec une liste bien segmentée, où les données abonnés sont organisées par préférence et comportement, le traitement de ces demandes devient beaucoup plus simple. Découvrez comment construire ce type de structure dans notre guide sur les Stratégies de segmentation de liste e-mail qui boostent le ROI de 760 %.
Le CASL : ce que cela implique si vous avez des abonnés canadiens
Si certains de vos abonnés accèdent à vos e-mails depuis le Canada, le CASL s'applique à vous, quel que soit le pays où votre entreprise est établie.
La Loi canadienne anti-pourriel (LCAP), connue sous l'acronyme anglais CASL, est entrée en vigueur le 1er juillet 2014. Si vous êtes au Canada ou si vous envoyez un message électronique commercial (MEC) à des résidents canadiens, vous êtes tenu de respecter le CASL.
Les messages électroniques commerciaux envoyés depuis un autre pays à des destinataires au Canada doivent être conformes au CASL. Les expéditeurs de MEC doivent : obtenir le consentement, fournir des informations d'identification et proposer un mécanisme de désinscription.
La différence fondamentale : opt-in versus opt-out
Le CASL inverse complètement la logique du CAN-SPAM. Le CASL repose principalement sur le consentement explicite : toute personne à qui vous envoyez un message doit avoir activement choisi de le recevoir, à quelques exceptions près. Vous devez également conserver un registre de tous les consentements obtenus en vertu du CASL, en précisant quand et comment chaque consentement a été recueilli.
Le consentement exprès signifie qu'une personne a clairement accepté de recevoir un MEC, que ce soit par écrit ou oralement. Le destinataire doit effectuer une action proactive pour exprimer son consentement exprès, par exemple en s'inscrivant sur votre site web.
Le consentement implicite est disponible dans des cas limités. Par exemple, si un destinataire a acheté un produit ou service auprès de vous, conclu un accord commercial avec vous, ou signé un contrat écrit avec vous au cours des deux dernières années, ou s'il s'est renseigné sur un produit ou service auprès de vous au cours des six derniers mois.
Quel que soit le type de consentement dont vous disposez, si un destinataire demande à ne plus recevoir de MEC via votre mécanisme de désinscription ou par tout autre moyen de communication, vous devez respecter sa demande et cesser de lui envoyer des MEC dans un délai de 10 jours ouvrables.
Les sanctions prévues par le CASL
Les enjeux financiers liés au CASL sont considérables. Les amendes pour violation du CASL peuvent atteindre 1 million de dollars par infraction pour les particuliers, et 10 millions de dollars par infraction pour les entreprises. Les particuliers et les entreprises, y compris leurs dirigeants, administrateurs et autres représentants, peuvent être tenus responsables des violations.
Mettre en place un programme e-mail conforme : liste de contrôle pratique
La mise en conformité ne nécessite pas de refondre entièrement votre programme e-mail. Elle demande des systèmes rigoureux autour du consentement, du traitement des données et de la communication avec les abonnés. Voici une liste de contrôle pratique qui couvre les trois niveaux juridiques :
Consentement et constitution de la liste
Utilisez le double opt-in pour tous les nouveaux abonnés (bonne pratique au titre du CCPA, obligation au titre du CASL)
Dès qu'une personne non autorisée accède à des informations personnelles non chiffrées, telles que des adresses e-mail associées à des noms, mots de passe ou autres identifiants, vous devez en informer les résidents californiens concernés sans délai injustifié. Préparez un plan de notification en cas de violation de données.
N'achetez jamais de listes d'e-mails de résidents californiens ou canadiens
Contenu des e-mails
Utilisez des informations exactes dans les champs « De », « Répondre à » et le nom de domaine pour chaque envoi
Les lignes objet doivent refléter fidèlement le contenu de l'e-mail et ne doivent être ni trompeuses ni mensongères. Cette règle s'applique en vertu du CAN-SPAM, du § 17529.5 et du CASL.
Incluez votre adresse postale physique valide dans le pied de page de chaque e-mail
Désinscription et demandes relatives aux données
Les e-mail marketeurs doivent disposer de procédures permettant de répondre aux demandes d'accès et de suppression de données dans un délai de 45 jours.
Les demandes de désinscription doivent être traitées dans un délai de 15 jours ouvrables à compter de leur réception.
Traitez les demandes de désinscription CAN-SPAM dans les 10 jours ouvrables, et les désinscriptions CASL dans les 10 jours ouvrables
Politique de confidentialité et mentions d'information
Votre politique de confidentialité doit préciser clairement, en termes simples, quelles informations personnelles vous collectez, pourquoi vous les collectez et avec qui vous les partagez.
Ajoutez un lien « Ne pas vendre mes informations personnelles » sur votre site web si vous atteignez les seuils du CCPA
Formez vos collaborateurs à la conformité réglementaire et conservez des registres détaillés des demandes des clients ainsi que de vos réponses.
Votre séquence d'e-mails de bienvenue est l'endroit idéal pour définir les attentes concernant l'utilisation des données et rendre le chemin de désinscription évident dès le premier jour. De même, chaque ligne objet que vous rédigez doit correspondre au contenu de l'e-mail, non seulement pour l'engagement, mais aussi pour la conformité juridique. Notre guide sur les Meilleures pratiques pour les lignes objet d'e-mails qui boostent les taux d'ouverture de 27 % explique comment rédiger des lignes objet à la fois percutantes et transparentes.
CAN-SPAM, CCPA et CASL : comparatif synthétique
Critère
CAN-SPAM
CCPA
CASL
Juridiction
Fédéral (États-Unis)
Californie
Canada
Modèle de consentement
Opt-out
Opt-out + droits sur les données
Opt-in obligatoire
Qui est concerné
Tous les e-mails commerciaux vers les États-Unis
Entreprises à but lucratif atteignant les seuils définis
Tout expéditeur de messages à des résidents canadiens
Pénalité par violation
Jusqu'à 53 088 $ par e-mail
De 2 500 $ à 7 500 $ par violation
Jusqu'à 10 M$ par infraction (entreprises)
Droit à la suppression des données
Non
Oui (délai de réponse de 45 jours)
Non
Délai de désinscription
10 jours ouvrables
15 jours ouvrables
10 jours ouvrables
Questions fréquentes
La législation californienne sur l'e-mail marketing s'applique-t-elle aux entreprises établies hors de Californie ?
Oui. Ces actions ciblent des entreprises de l'ensemble des États-Unis qui envoient des e-mails marketing ou promotionnels à des résidents californiens, quel que soit le lieu d'établissement de l'expéditeur. Si votre e-mail atteint un résident californien, le CAN-SPAM et le § 17529.5 californien s'appliquent tous deux. Le CCPA s'applique si votre entreprise atteint les seuils de chiffre d'affaires ou de volume de données.
Le CCPA s'applique-t-il aux petites entreprises ?
Dans de nombreux cas, non. La plupart des petites entreprises n'atteignent pas les seuils du CCPA. Ainsi, si vous gérez une petite activité en ligne, que vous collectez des inscriptions par e-mail et que vous générez des revenus via quelques programmes d'affiliation ou des produits numériques, vous n'êtes probablement pas légalement tenu de vous conformer intégralement au CCPA. Cela dit, même en dessous du seuil, les principes du CCPA méritent d'être appliqués. Vous avez probablement des lecteurs en Californie qui attendent de la transparence, et les bonnes pratiques en matière de protection des données deviennent la norme, et non l'exception.
En quoi le CASL diffère-t-il du CAN-SPAM pour les e-mail marketeurs ?
La différence fondamentale réside dans le consentement. En vertu du CASL, le consentement est requis avant l'envoi d'un message électronique commercial. Le CAN-SPAM exige seulement que les destinataires disposent d'un moyen simple de se désinscrire après avoir reçu l'e-mail. Le CASL prévoit également des sanctions bien plus lourdes et s'applique à toute personne envoyant des e-mails à des résidents canadiens, quel que soit le pays d'établissement de l'expéditeur.
Que se passe-t-il si j'utilise une plateforme d'e-mail marketing tierce et qu'elle est à l'origine d'une violation ?
Même si vous utilisez une plateforme d'e-mail marketing externe, vous restez juridiquement responsable du respect de la législation californienne. Assurez-vous que les outils de votre prestataire sont compatibles avec les exigences du CCPA. En vertu du CAN-SPAM, même si vous confiez la gestion de vos e-mails à une autre entreprise, vous ne pouvez pas déléguer votre responsabilité juridique. En vertu du § 17529.5 californien, l'annonceur qui tire profit de l'e-mail peut être tenu responsable même si c'est un prestataire tiers qui l'a envoyé.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un avocat qualifié pour obtenir des conseils adaptés à la situation spécifique de votre entreprise.
Si votre liste comprend des abonnés canadiens, le CASL ajoute une quatrième couche avec des exigences de consentement plus strictes que tout ce que prévoit le droit américain. Comprendre ces trois niveaux, et déterminer lesquels s'appliquent à votre activité, est le point de départ de tout programme conforme.
Le CAN-SPAM Act : le socle fédéral
Le CAN-SPAM Act de 2003 est une loi fédérale américaine qui a établi de nouvelles exigences pour les e-mails commerciaux, avec pour objectif de réguler les communications commerciales par e-mail et de lutter contre le spam. Appliquée par la Federal Trade Commission (FTC), cette législation vise à encadrer les e-mails non sollicités, et s'applique à tous les messages électroniques commerciaux envoyés à des destinataires aux États-Unis.
Contrairement à ce que son nom pourrait laisser penser, le CAN-SPAM Act ne s'applique pas uniquement aux envois en masse. Il couvre l'ensemble des messages commerciaux, que la loi définit comme « tout message électronique dont l'objectif principal est la publicité ou la promotion commerciale d'un produit ou service commercial », y compris les e-mails faisant la promotion de contenus sur des sites web commerciaux. La loi ne prévoit aucune exception pour les e-mails BtoB : ainsi, un message envoyé à d'anciens clients pour annoncer une nouvelle gamme de produits doit lui aussi être conforme.
Ce que le CAN-SPAM exige concrètement
La FTC impose huit exigences fondamentales pour qu'un e-mail marketing soit conforme. Vos champs « De », « À » et « Répondre à » doivent identifier clairement votre véritable identité. Évitez les informations d'en-tête fausses ou trompeuses, les noms fictifs ou les adresses usurpées. Les lignes objet doivent être honnêtes et refléter fidèlement le contenu de l'e-mail.
Au-delà de la transparence des en-têtes et des lignes objet, le CAN-SPAM exige :
Une adresse postale valide de l'expéditeur dans chaque e-mail commercial. Cette obligation vise à garantir la transparence et la confiance, en permettant aux destinataires de contacter l'expéditeur si nécessaire.
Un mécanisme de désinscription clair dans chaque e-mail commercial, permettant aux destinataires de se désabonner facilement. La loi impose de traiter les demandes de désinscription rapidement : les entreprises doivent retirer les abonnés désinscrits de leurs listes dans un délai de dix jours ouvrables.
Une fois qu'une personne a manifesté son souhait de ne plus recevoir de messages, vous ne pouvez ni vendre ni transmettre son adresse e-mail, même dans le cadre d'une liste de diffusion.
Une idée reçue courante : le CAN-SPAM n'oblige pas les expéditeurs à obtenir une permission avant d'envoyer des e-mails marketing. Il s'agit d'une loi basée sur le droit de désinscription (opt-out), et non sur le consentement préalable (opt-in). Cette distinction est essentielle lorsqu'on la compare à la législation californienne et au CASL.
Qui est responsable ?
Même si vous confiez la gestion de votre e-mail marketing à une société externe, vous ne pouvez pas déléguer votre responsabilité juridique. L'entreprise dont le produit est mis en avant dans le message et celle qui envoie effectivement ce message peuvent toutes deux être tenues légalement responsables.
Business and Professions Code § 17529 de Californie : la loi anti-spam de l'État
La propre loi anti-spam de la Californie est antérieure au CCPA et fonctionne indépendamment de celui-ci. Adoptée pour lutter contre la publicité en ligne trompeuse, le Business and Professions Code § 17529.5 interdit les e-mails commerciaux non sollicités contenant des informations fausses ou trompeuses, en particulier ceux envoyés depuis ou vers des personnes situées en Californie.
Les entreprises qui s'appuient sur l'e-mail marketing font face à un contrôle accru, alors que les cabinets d'avocats spécialisés multiplient les recours collectifs alléguant des violations de la loi anti-spam californienne prévue par le § 17529.5. Ces actions ciblent des entreprises de l'ensemble des États-Unis qui envoient des e-mails marketing ou promotionnels à des résidents californiens, quel que soit le lieu d'établissement de l'expéditeur.
Ce que le § 17529.5 interdit
Il est interdit à toute personne ou entité de faire de la publicité dans un e-mail commercial envoyé depuis la Californie ou vers une adresse e-mail californienne si cet e-mail contient ou est accompagné du nom de domaine d'un tiers sans son autorisation. La loi interdit également les informations d'en-tête falsifiées et les lignes objet trompeuses.
L'exposition à des risques au titre de cette loi est considérable. Avec une responsabilité stricte et des dommages-intérêts forfaitaires pouvant atteindre 1 000 dollars par e-mail, sans qu'une intention malveillante ou un préjudice réel soit nécessaire, même des campagnes de taille modeste peuvent engendrer une exposition de plusieurs millions de dollars.
Selon cette théorie de responsabilité stricte, toute entreprise qui tire profit d'un e-mail commercial peut être tenue responsable, que le message ait été envoyé directement par l'entreprise ou par un prestataire externe ou affilié. Cela accroît considérablement l'exposition potentielle, car la loi prévoit des dommages-intérêts forfaitaires de 1 000 dollars par e-mail commercial non sollicité et par destinataire, ce qui peut déboucher sur une responsabilité de plusieurs millions de dollars dans des recours collectifs impliquant de larges listes marketing.
Pour limiter votre exposition, si votre entreprise fait appel à des prestataires externes, à des affiliés ou à des partenaires marketing, intégrez dans vos contrats des clauses de protection solides les obligeant à respecter les lois anti-spam applicables, et assurez un suivi approprié. Conservez des preuves de vos efforts de mise en conformité, notamment les formations dispensées, les audits réalisés, les mesures techniques mises en place et les protocoles de conformité, afin de démontrer votre diligence en cas de litige.
CCPA et CPRA : les règles de protection des données pour les e-mail marketeurs
Le CCPA et sa mise à jour de 2023, le CPRA, constituent l'épine dorsale de la législation californienne en matière de confidentialité des données pour l'e-mail marketing. Le California Consumer Privacy Act est une loi de protection des données à l'échelle de l'État qui encadre la manière dont les entreprises traitent les informations personnelles. Il donne aux résidents californiens le droit de savoir quelles informations personnelles les entreprises collectent, utilisent et partagent à leur sujet.
En novembre 2020, les électeurs californiens ont approuvé la Proposition 24, le CPRA, qui a modifié le CCPA en y ajoutant de nouvelles protections de la vie privée, entrées en vigueur le 1er janvier 2023. À cette date, les consommateurs ont acquis de nouveaux droits, notamment le droit de corriger les informations personnelles inexactes et le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles.
Le CCPA s'applique-t-il à votre entreprise ?
Toutes les entreprises qui envoient des e-mails à des résidents californiens ne sont pas soumises au CCPA. La loi s'applique si votre chiffre d'affaires annuel brut dépasse 25 millions de dollars, si votre entreprise achète, reçoit ou vend les informations personnelles de 100 000 résidents californiens ou plus, ou si vous tirez 50 % ou plus de vos revenus annuels de la vente des informations personnelles de résidents californiens.
Point crucial pour les e-mail marketeurs : la période de grâce pour les communications BtoB a pris fin le 1er janvier 2022. Si vous menez des campagnes d'e-mail marketing BtoB ciblant des entreprises basées en Californie, vous devez désormais vous conformer aux exigences du CCPA, notamment en matière de notification en cas de violation de données et de traitement des demandes de « ne pas vendre ».
Dans le cadre du CCPA, une adresse e-mail est considérée comme une information personnelle. Cela signifie que vous devez informer les utilisateurs, au moment de la collecte, des données que vous recueillez et de leur utilisation, proposer une option de désinscription claire si vous vendez ou partagez ces informations, inclure sur votre site un lien « Ne pas vendre mes informations personnelles » le cas échéant, et permettre aux consommateurs d'accéder à leurs données sur demande, et de les faire supprimer s'ils en font la requête.
Les droits des consommateurs selon le CCPA qui concernent vos campagnes e-mail
Le CCPA accorde cinq droits fondamentaux pertinents pour l'e-mail : le droit d'accès (les consommateurs peuvent demander à consulter les données collectées à leur sujet), le droit à la suppression (les entreprises doivent effacer les données personnelles sur demande), le droit de désinscription (des liens « Ne pas vendre mes informations » sont obligatoires), le droit de rectification (les consommateurs peuvent demander la correction de leurs données), et le droit à la non-discrimination (aucune pénalité ne peut être appliquée pour l'exercice des droits à la vie privée).
Pour la gestion opérationnelle de vos campagnes e-mail, deux délais de réponse sont essentiels : vous disposez de 45 jours pour répondre aux demandes d'accès ou de suppression, et de 15 jours ouvrables pour traiter les demandes de désinscription.
Avec une liste bien segmentée, où les données abonnés sont organisées par préférence et comportement, le traitement de ces demandes devient beaucoup plus simple. Découvrez comment construire ce type de structure dans notre guide sur les Stratégies de segmentation de liste e-mail qui boostent le ROI de 760 %.
Le CASL : ce que cela implique si vous avez des abonnés canadiens
Si certains de vos abonnés accèdent à vos e-mails depuis le Canada, le CASL s'applique à vous, quel que soit le pays où votre entreprise est établie.
La Loi canadienne anti-pourriel (LCAP), connue sous l'acronyme anglais CASL, est entrée en vigueur le 1er juillet 2014. Si vous êtes au Canada ou si vous envoyez un message électronique commercial (MEC) à des résidents canadiens, vous êtes tenu de respecter le CASL.
Les messages électroniques commerciaux envoyés depuis un autre pays à des destinataires au Canada doivent être conformes au CASL. Les expéditeurs de MEC doivent : obtenir le consentement, fournir des informations d'identification et proposer un mécanisme de désinscription.
La différence fondamentale : opt-in versus opt-out
Le CASL inverse complètement la logique du CAN-SPAM. Le CASL repose principalement sur le consentement explicite : toute personne à qui vous envoyez un message doit avoir activement choisi de le recevoir, à quelques exceptions près. Vous devez également conserver un registre de tous les consentements obtenus en vertu du CASL, en précisant quand et comment chaque consentement a été recueilli.
Le consentement exprès signifie qu'une personne a clairement accepté de recevoir un MEC, que ce soit par écrit ou oralement. Le destinataire doit effectuer une action proactive pour exprimer son consentement exprès, par exemple en s'inscrivant sur votre site web.
Le consentement implicite est disponible dans des cas limités. Par exemple, si un destinataire a acheté un produit ou service auprès de vous, conclu un accord commercial avec vous, ou signé un contrat écrit avec vous au cours des deux dernières années, ou s'il s'est renseigné sur un produit ou service auprès de vous au cours des six derniers mois.
Quel que soit le type de consentement dont vous disposez, si un destinataire demande à ne plus recevoir de MEC via votre mécanisme de désinscription ou par tout autre moyen de communication, vous devez respecter sa demande et cesser de lui envoyer des MEC dans un délai de 10 jours ouvrables.
Les sanctions prévues par le CASL
Les enjeux financiers liés au CASL sont considérables. Les amendes pour violation du CASL peuvent atteindre 1 million de dollars par infraction pour les particuliers, et 10 millions de dollars par infraction pour les entreprises. Les particuliers et les entreprises, y compris leurs dirigeants, administrateurs et autres représentants, peuvent être tenus responsables des violations.
Mettre en place un programme e-mail conforme : liste de contrôle pratique
La mise en conformité ne nécessite pas de refondre entièrement votre programme e-mail. Elle demande des systèmes rigoureux autour du consentement, du traitement des données et de la communication avec les abonnés. Voici une liste de contrôle pratique qui couvre les trois niveaux juridiques :
Consentement et constitution de la liste
Utilisez le double opt-in pour tous les nouveaux abonnés (bonne pratique au titre du CCPA, obligation au titre du CASL)
Dès qu'une personne non autorisée accède à des informations personnelles non chiffrées, telles que des adresses e-mail associées à des noms, mots de passe ou autres identifiants, vous devez en informer les résidents californiens concernés sans délai injustifié. Préparez un plan de notification en cas de violation de données.
N'achetez jamais de listes d'e-mails de résidents californiens ou canadiens
Contenu des e-mails
Utilisez des informations exactes dans les champs « De », « Répondre à » et le nom de domaine pour chaque envoi
Les lignes objet doivent refléter fidèlement le contenu de l'e-mail et ne doivent être ni trompeuses ni mensongères. Cette règle s'applique en vertu du CAN-SPAM, du § 17529.5 et du CASL.
Incluez votre adresse postale physique valide dans le pied de page de chaque e-mail
Désinscription et demandes relatives aux données
Les e-mail marketeurs doivent disposer de procédures permettant de répondre aux demandes d'accès et de suppression de données dans un délai de 45 jours.
Les demandes de désinscription doivent être traitées dans un délai de 15 jours ouvrables à compter de leur réception.
Traitez les demandes de désinscription CAN-SPAM dans les 10 jours ouvrables, et les désinscriptions CASL dans les 10 jours ouvrables
Politique de confidentialité et mentions d'information
Votre politique de confidentialité doit préciser clairement, en termes simples, quelles informations personnelles vous collectez, pourquoi vous les collectez et avec qui vous les partagez.
Ajoutez un lien « Ne pas vendre mes informations personnelles » sur votre site web si vous atteignez les seuils du CCPA
Formez vos collaborateurs à la conformité réglementaire et conservez des registres détaillés des demandes des clients ainsi que de vos réponses.
Votre séquence d'e-mails de bienvenue est l'endroit idéal pour définir les attentes concernant l'utilisation des données et rendre le chemin de désinscription évident dès le premier jour. De même, chaque ligne objet que vous rédigez doit correspondre au contenu de l'e-mail, non seulement pour l'engagement, mais aussi pour la conformité juridique. Notre guide sur les Meilleures pratiques pour les lignes objet d'e-mails qui boostent les taux d'ouverture de 27 % explique comment rédiger des lignes objet à la fois percutantes et transparentes.
CAN-SPAM, CCPA et CASL : comparatif synthétique
Critère
CAN-SPAM
CCPA
CASL
Juridiction
Fédéral (États-Unis)
Californie
Canada
Modèle de consentement
Opt-out
Opt-out + droits sur les données
Opt-in obligatoire
Qui est concerné
Tous les e-mails commerciaux vers les États-Unis
Entreprises à but lucratif atteignant les seuils définis
Tout expéditeur de messages à des résidents canadiens
Pénalité par violation
Jusqu'à 53 088 $ par e-mail
De 2 500 $ à 7 500 $ par violation
Jusqu'à 10 M$ par infraction (entreprises)
Droit à la suppression des données
Non
Oui (délai de réponse de 45 jours)
Non
Délai de désinscription
10 jours ouvrables
15 jours ouvrables
10 jours ouvrables
Questions fréquentes
La législation californienne sur l'e-mail marketing s'applique-t-elle aux entreprises établies hors de Californie ?
Oui. Ces actions ciblent des entreprises de l'ensemble des États-Unis qui envoient des e-mails marketing ou promotionnels à des résidents californiens, quel que soit le lieu d'établissement de l'expéditeur. Si votre e-mail atteint un résident californien, le CAN-SPAM et le § 17529.5 californien s'appliquent tous deux. Le CCPA s'applique si votre entreprise atteint les seuils de chiffre d'affaires ou de volume de données.
Le CCPA s'applique-t-il aux petites entreprises ?
Dans de nombreux cas, non. La plupart des petites entreprises n'atteignent pas les seuils du CCPA. Ainsi, si vous gérez une petite activité en ligne, que vous collectez des inscriptions par e-mail et que vous générez des revenus via quelques programmes d'affiliation ou des produits numériques, vous n'êtes probablement pas légalement tenu de vous conformer intégralement au CCPA. Cela dit, même en dessous du seuil, les principes du CCPA méritent d'être appliqués. Vous avez probablement des lecteurs en Californie qui attendent de la transparence, et les bonnes pratiques en matière de protection des données deviennent la norme, et non l'exception.
En quoi le CASL diffère-t-il du CAN-SPAM pour les e-mail marketeurs ?
La différence fondamentale réside dans le consentement. En vertu du CASL, le consentement est requis avant l'envoi d'un message électronique commercial. Le CAN-SPAM exige seulement que les destinataires disposent d'un moyen simple de se désinscrire après avoir reçu l'e-mail. Le CASL prévoit également des sanctions bien plus lourdes et s'applique à toute personne envoyant des e-mails à des résidents canadiens, quel que soit le pays d'établissement de l'expéditeur.
Que se passe-t-il si j'utilise une plateforme d'e-mail marketing tierce et qu'elle est à l'origine d'une violation ?
Même si vous utilisez une plateforme d'e-mail marketing externe, vous restez juridiquement responsable du respect de la législation californienne. Assurez-vous que les outils de votre prestataire sont compatibles avec les exigences du CCPA. En vertu du CAN-SPAM, même si vous confiez la gestion de vos e-mails à une autre entreprise, vous ne pouvez pas déléguer votre responsabilité juridique. En vertu du § 17529.5 californien, l'annonceur qui tire profit de l'e-mail peut être tenu responsable même si c'est un prestataire tiers qui l'a envoyé.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un avocat qualifié pour obtenir des conseils adaptés à la situation spécifique de votre entreprise.
