Lois de marketing par email en Californie: conformité CAN-SPAM et CASL
Naviguez dans les lois de marketing par email en Californie et les réglementations fédérales. Apprenez les exigences du CAN-SPAM et de la CASL, ainsi que les pénalités en cas de non-conformité, pour protéger votre entreprise.
Si vous envoyez des emails marketing à quelqu'un en Californie ou si vous avez des abonnés canadiens, vous opérez sous un ensemble de lois qui se chevauchent et qui entraînent des pénalités financières réelles. Une mauvaise conformité n'est pas qu'un risque juridique; elle endommage la délivrabilité, érode la confiance des abonnés et peut annuler le ROI que vos campagnes sont censées générer. Ce guide décompose chaque couche de la loi californienne sur le marketing par email, du plancher fédéral du CAN-SPAM aux règles spécifiques à l'État et aux exigences plus strictes de la CASL au Canada, pour que vous sachiez exactement où se situe votre programme.
Points clés à retenir
Les lois de marketing par email en Californie désignent un ensemble de règles au niveau de l'État qui régissent la manière dont les entreprises collectent, utilisent et partagent les adresses email. Les deux principaux cadres sont la CCPA (qui renforce les droits à la confidentialité des emails) et la loi anti-spam californienne en vertu du Code des entreprises et des professions Section 17529 (qui réglemente le contenu des emails commerciaux et les exigences de consentement). Ces règles d'État fonctionnent parallèlement à la Loi fédérale CAN-SPAM mais vont plus loin, particulièrement concernant le consentement et la vente d'informations personnelles.
Chaque email distinct en violation de la Loi CAN-SPAM est sujet à des pénalités pouvant atteindre 53 088 dollars, donc la non-conformité peut être coûteuse.
En vertu de la CCPA, les entreprises non-conformes peuvent faire face à des pénalités de 2 500 dollars pour chaque violation involontaire et 7 500 dollars par violation intentionnelle. Bien que ces amendes puissent sembler faibles individuellement, les coûts s'accumulent rapidement. Cinquante violations involontaires peuvent entraîner des amendes totalisant 125 000 dollars.
Contrairement à la Loi fédérale CAN-SPAM (qui met l'accent sur les désinscriptions et est appliquée principalement par les agences), le Code californien des entreprises et des professions Section 17529.5 accorde des droits d'action privée, permettant les recours collectifs avec des pénalités importantes.
Les violations de la CASL peuvent entraîner des pénalités monétaires importantes, avec des amendes pouvant atteindre 1 million de dollars pour les contrevenants individuels et jusqu'à 10 millions de dollars pour les entreprises par infraction.
Lois de marketing par email en Californie: conformité CAN-SPAM et CASL
Naviguez dans les lois de marketing par email en Californie et les réglementations fédérales. Apprenez les exigences du CAN-SPAM et de la CASL, ainsi que les pénalités en cas de non-conformité, pour protéger votre entreprise.
Si vous envoyez des emails marketing à quelqu'un en Californie ou si vous avez des abonnés canadiens, vous opérez sous un ensemble de lois qui se chevauchent et qui entraînent des pénalités financières réelles. Une mauvaise conformité n'est pas qu'un risque juridique; elle endommage la délivrabilité, érode la confiance des abonnés et peut annuler le ROI que vos campagnes sont censées générer. Ce guide décompose chaque couche de la loi californienne sur le marketing par email, du plancher fédéral du CAN-SPAM aux règles spécifiques à l'État et aux exigences plus strictes de la CASL au Canada, pour que vous sachiez exactement où se situe votre programme.
Points clés à retenir
Les lois de marketing par email en Californie désignent un ensemble de règles au niveau de l'État qui régissent la manière dont les entreprises collectent, utilisent et partagent les adresses email. Les deux principaux cadres sont la CCPA (qui renforce les droits à la confidentialité des emails) et la loi anti-spam californienne en vertu du Code des entreprises et des professions Section 17529 (qui réglemente le contenu des emails commerciaux et les exigences de consentement). Ces règles d'État fonctionnent parallèlement à la Loi fédérale CAN-SPAM mais vont plus loin, particulièrement concernant le consentement et la vente d'informations personnelles.
Chaque email distinct en violation de la Loi CAN-SPAM est sujet à des pénalités pouvant atteindre 53 088 dollars, donc la non-conformité peut être coûteuse.
En vertu de la CCPA, les entreprises non-conformes peuvent faire face à des pénalités de 2 500 dollars pour chaque violation involontaire et 7 500 dollars par violation intentionnelle. Bien que ces amendes puissent sembler faibles individuellement, les coûts s'accumulent rapidement. Cinquante violations involontaires peuvent entraîner des amendes totalisant 125 000 dollars.
Contrairement à la Loi fédérale CAN-SPAM (qui met l'accent sur les désinscriptions et est appliquée principalement par les agences), le Code californien des entreprises et des professions Section 17529.5 accorde des droits d'action privée, permettant les recours collectifs avec des pénalités importantes.
Les violations de la CASL peuvent entraîner des pénalités monétaires importantes, avec des amendes pouvant atteindre 1 million de dollars pour les contrevenants individuels et jusqu'à 10 millions de dollars pour les entreprises par infraction.
Le paysage juridique: trois couches que vous devez comprendre
Le marketing par email aux résidents de Californie ne fonctionne pas sous une seule loi. Il fonctionne sous trois cadres qui se chevauchent, chacun avec une portée, des seuils et des mécanismes d'application différents.
Les lois de marketing par email en Californie sont un ensemble de règles au niveau de l'État qui régissent la manière dont les entreprises collectent, utilisent et partagent les adresses email. Les deux principaux cadres juridiques sont la Loi californienne sur la confidentialité des consommateurs (CCPA) et la loi anti-spam californienne en vertu du Code des entreprises et des professions Section 17529. Ces règles d'État fonctionnent parallèlement à la Loi fédérale CAN-SPAM mais vont plus loin, particulièrement en matière de consentement et de vente d'informations personnelles.
Si votre liste comprend des abonnés canadiens, la CASL ajoute une quatrième couche avec des exigences de consentement qui sont plus strictes que tout ce qui existe dans la loi américaine. Comprendre les trois couches, et lesquelles s'appliquent à votre entreprise, est le point de départ de tout programme conforme.
Loi CAN-SPAM: la base fédérale
La Loi CAN-SPAM de 2003 est une loi fédérale qui a établi de nouvelles exigences pour les messages électroniques commerciaux, conçue pour réguler le courrier électronique commercial et freiner les spams indésirables. Appliquée par la Commission fédérale du commerce (FTC), cette législation visait à réduire le spam et le contenu non sollicité dans les communications par email, s'appliquant à tous les messages électroniques commerciaux envoyés aux destinataires aux États-Unis.
Malgré son nom, la Loi CAN-SPAM ne s'applique pas seulement aux emails en masse. Elle couvre tous les messages commerciaux, que la loi définit comme "tout message électronique dont l'objectif principal est la publicité ou la promotion commerciale d'un produit ou service commercial", y compris les emails qui promeuvent le contenu sur des sites Web commerciaux. La loi ne fait aucune exception pour les emails entre entreprises, ce qui signifie que tous les emails, y compris un message aux anciens clients annonçant une nouvelle gamme de produits, doivent être conformes.
Ce que la Loi CAN-SPAM exige réellement
La FTC établit huit exigences fondamentales pour maintenir les emails marketing conformes. Vos champs "De", "À" et "Répondre à" doivent identifier avec précision votre identité réelle. Évitez les informations d'en-tête fausses ou trompeuses, les noms trompeurs ou les adresses usurpées. Les lignes d'objet doivent être honnêtes; n'utilisez pas des lignes d'objet trompeuses. Les lignes d'objet doivent correspondre au contenu.
Au-delà des en-têtes et des lignes d'objet honnêtes, la Loi CAN-SPAM exige:
Une adresse postale valide pour l'expéditeur dans chaque email commercial. Cette exigence contribue à établir la transparence et la confiance, permettant aux destinataires de contacter l'expéditeur si nécessaire.
Un mécanisme de désinscription clair dans chaque email commercial, permettant aux destinataires de se désabonner facilement. La Loi stipule une action rapide sur les demandes de désinscription, exigeant que les entreprises suppriment les destinataires désabonnés de leurs listes dans les dix jours ouvrables.
Une fois que les gens vous ont dit qu'ils ne voulaient pas recevoir plus de messages de votre part, vous ne pouvez pas vendre ou transférer leurs adresses email, même sous la forme d'une liste de diffusion.
Une idée fausse courante: la Loi CAN-SPAM ne vous oblige pas à obtenir la permission avant d'envoyer des messages marketing. C'est une loi de désinscription, pas une loi de consentement. Cette distinction est importante lors de sa comparaison avec la loi d'État californienne et la CASL.
Qui est responsable?
Même si vous embauchez une autre entreprise pour gérer votre marketing par email, vous ne pouvez pas vous exonérer de votre responsabilité juridique de conformité avec la loi. L'entreprise dont le produit est promu dans le message et l'entreprise qui envoie réellement le message peuvent être tenues légalement responsables.
Code californien des entreprises et des professions Section 17529: la loi anti-spam de l'État
La propre loi anti-spam californienne est antérieure à la CCPA et fonctionne indépendamment de celle-ci. Promulguée pour freiner la publicité en ligne trompeuse, le Code des entreprises et des professions Section 17529.5 interdit les emails commerciaux non sollicités contenant des informations fausses ou trompeuses, en particulier ceux envoyés par ou à des personnes en Californie.
Les entreprises qui s'appuient sur le marketing par email font face à un examen accru à mesure que les cabinets de plaignants déposent une vague de recours collectifs alléguant des violations de la Loi anti-spam californienne en vertu de la Section 17529.5. Ces actions visent les entreprises à travers les États-Unis qui envoient des emails marketing ou promotionnels aux résidents de Californie, quel que soit le lieu du siège de l'expéditeur.
Ce que la Section 17529.5 interdit
Il est illégal pour toute personne ou entité de faire de la publicité dans un email commercial envoyé depuis la Californie ou envoyé à une adresse email californienne si l'annonce publicitaire contient ou est accompagnée du nom de domaine d'un tiers sans la permission du tiers. Le statut interdit également les informations d'en-tête falsifiées et les lignes d'objet trompeuses.
L'exposition en vertu de cette loi est importante. Avec une responsabilité stricte et des dommages-intérêts liquidés jusqu'à 1 000 dollars par email, et sans exigence d'intention ou de préjudice réel, même les campagnes modestes peuvent entraîner une exposition multimillionnaire.
Selon cette théorie de responsabilité stricte, toute entreprise qui bénéficie d'un email commercial peut être tenue responsable, indépendamment du fait que le message ait été envoyé directement par l'entreprise ou par un fournisseur tiers, un affilié ou un partenaire marketing. Cela augmente considérablement l'exposition potentielle car le statut autorise les dommages-intérêts liquidés de 1 000 dollars par email commercial non sollicité par destinataire, ce qui pourrait entraîner une responsabilité multimillionnaire dans les recours collectifs impliquant de grandes listes de diffusion.
Pour réduire l'exposition, si votre entreprise utilise des fournisseurs externes, des affiliés ou des partenaires marketing, intégrez de fortes protections contractuelles les obligeant à se conformer aux lois anti-spam applicables et menez une surveillance appropriée. Conservez les enregistrements des efforts de conformité, y compris la formation, les audits, les protections techniques et les protocoles de conformité, pour démontrer la diligence raisonnable en cas de contestation en justice.
CCPA et CPRA: règles de protection des données pour les marketeurs par email
La CCPA et sa mise à jour de 2023, la CPRA, forment l'épine dorsale de la loi californienne sur le marketing par email. La Loi californienne sur la confidentialité des consommateurs est une loi de protection des données au niveau de l'État qui réglemente la manière dont les entreprises traitent les informations personnelles. Elle donne aux résidents californiens le droit de savoir quelles informations personnelles les entreprises collectent, utilisent et partagent à leur sujet.
En novembre 2020, les électeurs californiens ont approuvé la Proposition 24, la CPRA, qui a modifié la CCPA et a ajouté de nouvelles protections de la vie privée supplémentaires qui ont commencé le 1er janvier 2023. À partir de cette date, les consommateurs ont obtenu de nouveaux droits, notamment le droit de corriger les informations personnelles inexactes et le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles.
La CCPA s'applique-t-elle à votre entreprise?
Toutes les entreprises qui envoient des emails aux résidents californiens ne relèvent pas de la CCPA. La loi s'applique si vos revenus bruts annuels dépassent 25 millions de dollars, si votre entreprise achète, reçoit ou vend les informations personnelles de 100 000 résidents californiens ou plus, ou si vous tirez 50% ou plus de vos revenus annuels de la vente des informations personnelles des résidents californiens.
Critiquement pour les marketeurs par email: la période de grâce pour les communications B2B s'est terminée le 1er janvier 2022. Si vous menez des campagnes d'email B2B ciblant des entreprises basées en Californie, vous devez maintenant respecter les exigences de la CCPA, y compris honorer les notifications de violation de données et les demandes "ne pas vendre".
En vertu de la CCPA, une adresse email est considérée comme une information personnelle. Cela signifie que vous devez informer les utilisateurs au moment de la collecte des données que vous collectez et comment elles seront utilisées, offrir une option de désinscription claire si vous vendez ou partagez ces informations, inclure un lien "Ne pas vendre mes informations personnelles" sur votre site le cas échéant, et fournir aux consommateurs l'accès à leurs données sur demande, et les supprimer s'ils le demandent.
Droits des consommateurs de la CCPA qui affectent les programmes email
La CCPA accorde cinq droits fondamentaux pertinents pour les emails: le Droit de connaître (les consommateurs peuvent demander l'accès aux données les concernant), le Droit de supprimer (les entreprises doivent supprimer les données personnelles sur demande), le Droit de refuser (les liens clairs "Ne pas vendre mes informations" sont requis), le Droit de corriger (les consommateurs peuvent demander des corrections de données) et le Droit à la non-discrimination (aucune pénalité pour l'exercice de droits à la vie privée).
Pour vos opérations email, deux délais de réponse sont les plus importants: vous avez 45 jours pour répondre aux demandes d'accès ou de suppression et 15 jours ouvrables pour traiter les refus.
Pour une liste bien segmentée où les données des abonnés sont organisées par préférence et comportement, honorer ces demandes devient beaucoup plus simple. Apprenez comment construire ce type de structure dans notre guide sur Stratégies de segmentation de liste d'email qui augmentent le ROI de 760%.
CASL: ce que cela signifie si vous avez des abonnés canadiens
Si l'un de vos abonnés accède à vos emails depuis le Canada, la CASL vous s'applique indépendamment de l'endroit où votre entreprise est basée.
La Loi canadienne anti-pourriel (CASL) est entrée en vigueur le 1er juillet 2014. Si vous êtes au Canada ou si vous envoyez un message électronique commercial (MEC) aux résidents canadiens, vous devez respecter la CASL.
Les messages électroniques commerciaux envoyés aux destinataires au Canada à partir d'un autre pays doivent respecter la CASL. Les expéditeurs de MEC doivent obtenir le consentement, fournir des informations d'identification et fournir un mécanisme de désinscription.
La différence clé: consentement préalable vs désinscription
La CASL inverse entièrement le modèle du CAN-SPAM. La CASL repose principalement sur le consentement explicite, ce qui signifie que quiconque vous contactez doit donner son consentement pour ce canal, avec quelques exceptions. Vous devez également conserver un enregistrement de tous les consentements obtenus en vertu de la CASL, y compris quand et comment le consentement a été obtenu.
Le consentement explicite signifie qu'une personne a clairement convenu de recevoir un MEC, soit par écrit, soit oralement. Le destinataire doit prendre une mesure proactive pour indiquer son consentement explicite, par exemple en s'inscrivant sur votre site Web.
Le consentement implicite est disponible dans des cas limités. Les exemples incluent si un destinataire a acheté un produit ou un service auprès de vous, a accepté un accord commercial avec vous ou a conclu un contrat écrit avec vous, tout cela au cours des deux dernières années, ou s'il s'est renseigné auprès de vous sur un produit ou un service au cours des six derniers mois.
Quel que soit le type de consentement que vous avez, si un destinataire demande à cesser de recevoir des MEC via votre mécanisme de désinscription ou par une autre forme de communication, vous devez respecter sa demande et cesser d'envoyer des MEC dans les 10 jours ouvrables.
Pénalités de la CASL
Les enjeux financiers en vertu de la CASL sont importants. Les amendes pour violation de la CASL peuvent atteindre 1 million de dollars par violation pour les individus et jusqu'à 10 millions de dollars par violation pour les entreprises. Les individus et les entreprises, y compris leurs administrateurs, dirigeants et autres agents, peuvent être tenus responsables des violations.
Construire un programme email conforme: liste de contrôle pratique
La conformité ne nécessite pas de reconstruire votre programme email de zéro. Elle nécessite des systèmes disciplinés autour du consentement, du traitement des données et de la communication avec les abonnés. Voici une liste de contrôle pratique qui couvre les trois couches juridiques:
Consentement et construction de liste
Utilisez le double consentement pour tous les nouveaux abonnés (meilleure pratique en vertu de la CCPA, pratique requise en vertu de la CASL)
Chaque fois qu'une personne non autorisée accède à des informations personnelles non chiffrées comme les emails combinés avec des noms, des mots de passe ou d'autres identifiants, vous devez notifier les résidents californiens affectés sans délai déraisonnable. Ayez un plan de notification de violation prêt.
N'achetez jamais de listes d'emails de résidents californiens ou canadiens
Contenu des emails
Utilisez les informations exactes "De", "Répondre à" et de domaine dans chaque envoi
Les lignes d'objet doivent refléter avec précision le contenu de l'email et ne doivent pas être trompeuses ou délibérément fausses de quelque façon que ce soit. Cela s'applique en vertu du CAN-SPAM, de la Section 17529.5 et de la CASL.
Incluez votre adresse postale physique valide dans le pied de page de chaque email
Désinscription et demandes de données
Les marketeurs par email doivent avoir des procédures pour répondre aux demandes d'accès aux données et de suppression dans les 45 jours.
Les demandes de refus doivent être complétées dans les 15 jours ouvrables de leur réception.
Traitez les refus du CAN-SPAM dans les 10 jours ouvrables; les désabonnements de la CASL dans les 10 jours ouvrables
Politique de confidentialité et avis
Votre politique de confidentialité doit expliquer, en termes clairs, quelles informations personnelles vous collectez, pourquoi vous les collectez et avec qui vous les partagez.
Ajoutez un lien "Ne pas vendre mes informations personnelles" sur votre site Web si vous atteignez les seuils de la CCPA
Formez vos employés à la conformité avec ces réglementations et maintenez des enregistrements détaillés des demandes des clients et de vos réponses.
Votre séquence d'email de bienvenue est le lieu idéal pour définir les attentes concernant l'utilisation des données et rendre votre chemin de désinscription évident dès le début. De même, chaque ligne d'objet que vous écrivez doit correspondre au contenu à l'intérieur de l'email, non seulement pour l'engagement, mais pour la conformité juridique. Notre guide sur Meilleures pratiques des lignes d'objet d'email qui augmentent les taux d'ouverture de 27% couvre comment écrire des lignes d'objet qui sont à la fois attrayantes et transparentes.
CAN-SPAM vs CCPA vs CASL: comparaison rapide
Caractéristique
CAN-SPAM
CCPA
CASL
Juridiction
Fédéral (États-Unis)
Californie
Canada
Modèle de consentement
Désinscription
Désinscription + droits aux données
Consentement requis
Qui est couvert
Tous les emails commerciaux vers les États-Unis
Entreprises à but lucratif répondant aux seuils
Quiconque envoie des emails aux résidents canadiens
Pénalité par violation
Jusqu'à 53 088 dollars par email
2 500 à 7 500 dollars par violation
Jusqu'à 10 millions de dollars par incident (entreprises)
Droits de suppression de données
Non
Oui (fenêtre de réponse de 45 jours)
Non
Délai de désinscription
10 jours ouvrables
15 jours ouvrables
10 jours ouvrables
Questions fréquemment posées
La loi californienne sur le marketing par email s'applique-t-elle aux entreprises situées en dehors de la Californie?
Oui. Ces actions visent les entreprises à travers les États-Unis qui envoient des emails marketing ou promotionnels aux résidents de Californie, quel que soit le lieu du siège de l'expéditeur. Si votre email atteint un résident californien, le CAN-SPAM et la Section 17529.5 de la Californie s'appliquent tous les deux. La CCPA s'applique si votre entreprise atteint les seuils de revenus ou de volume de données.
La CCPA s'applique-t-elle aux petites entreprises?
Dans de nombreux cas, ce n'est pas le cas. De nombreuses petites entreprises n'atteindront pas les chiffres seuils de la CCPA. Donc, si vous gérez une petite entreprise en ligne, collectez des inscriptions par email et gagnez de l'argent grâce à quelques programmes d'affiliation ou de produits numériques, vous n'êtes probablement pas légalement obligé de vous conformer pleinement à la CCPA. Cependant, même si vous êtes en dessous du seuil, les principes de la CCPA valent la peine d'être suivis. Vous avez probablement des lecteurs californiens qui s'attendent à la transparence, et les pratiques respectueuses de la vie privée deviennent la norme, pas l'exception.
En quoi la CASL diffère-t-elle du CAN-SPAM pour les marketeurs par email?
La différence fondamentale est le consentement. En vertu de la CASL, le consentement est requis avant d'envoyer un message électronique commercial. Le CAN-SPAM exige seulement que les destinataires aient un moyen facile de refuser après avoir reçu l'email. La CASL entraîne également des pénalités beaucoup plus élevées et s'applique à quiconque envoie des emails aux résidents canadiens, quel que soit le lieu du siège de l'expéditeur.
Que se passe-t-il si j'utilise une plateforme d'email tiers et qu'elle cause une violation?
Même si vous utilisez une plateforme de marketing par email, vous êtes toujours légalement responsable de respecter la loi californienne. Assurez-vous que les outils de votre fournisseur prennent en charge la conformité CCPA. En vertu du CAN-SPAM, même si vous embauchez une autre entreprise pour gérer votre marketing par email, vous ne pouvez pas vous exonérer de votre responsabilité juridique de conformité avec la loi. En vertu de la Section 17529.5 californienne, l'annonceur qui bénéficie de l'email peut être tenu responsable même si un fournisseur tiers l'a envoyé.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un avocat qualifié pour obtenir des conseils spécifiques à votre situation commerciale.
Le paysage juridique: trois couches que vous devez comprendre
Le marketing par email aux résidents de Californie ne fonctionne pas sous une seule loi. Il fonctionne sous trois cadres qui se chevauchent, chacun avec une portée, des seuils et des mécanismes d'application différents.
Les lois de marketing par email en Californie sont un ensemble de règles au niveau de l'État qui régissent la manière dont les entreprises collectent, utilisent et partagent les adresses email. Les deux principaux cadres juridiques sont la Loi californienne sur la confidentialité des consommateurs (CCPA) et la loi anti-spam californienne en vertu du Code des entreprises et des professions Section 17529. Ces règles d'État fonctionnent parallèlement à la Loi fédérale CAN-SPAM mais vont plus loin, particulièrement en matière de consentement et de vente d'informations personnelles.
Si votre liste comprend des abonnés canadiens, la CASL ajoute une quatrième couche avec des exigences de consentement qui sont plus strictes que tout ce qui existe dans la loi américaine. Comprendre les trois couches, et lesquelles s'appliquent à votre entreprise, est le point de départ de tout programme conforme.
Loi CAN-SPAM: la base fédérale
La Loi CAN-SPAM de 2003 est une loi fédérale qui a établi de nouvelles exigences pour les messages électroniques commerciaux, conçue pour réguler le courrier électronique commercial et freiner les spams indésirables. Appliquée par la Commission fédérale du commerce (FTC), cette législation visait à réduire le spam et le contenu non sollicité dans les communications par email, s'appliquant à tous les messages électroniques commerciaux envoyés aux destinataires aux États-Unis.
Malgré son nom, la Loi CAN-SPAM ne s'applique pas seulement aux emails en masse. Elle couvre tous les messages commerciaux, que la loi définit comme "tout message électronique dont l'objectif principal est la publicité ou la promotion commerciale d'un produit ou service commercial", y compris les emails qui promeuvent le contenu sur des sites Web commerciaux. La loi ne fait aucune exception pour les emails entre entreprises, ce qui signifie que tous les emails, y compris un message aux anciens clients annonçant une nouvelle gamme de produits, doivent être conformes.
Ce que la Loi CAN-SPAM exige réellement
La FTC établit huit exigences fondamentales pour maintenir les emails marketing conformes. Vos champs "De", "À" et "Répondre à" doivent identifier avec précision votre identité réelle. Évitez les informations d'en-tête fausses ou trompeuses, les noms trompeurs ou les adresses usurpées. Les lignes d'objet doivent être honnêtes; n'utilisez pas des lignes d'objet trompeuses. Les lignes d'objet doivent correspondre au contenu.
Au-delà des en-têtes et des lignes d'objet honnêtes, la Loi CAN-SPAM exige:
Une adresse postale valide pour l'expéditeur dans chaque email commercial. Cette exigence contribue à établir la transparence et la confiance, permettant aux destinataires de contacter l'expéditeur si nécessaire.
Un mécanisme de désinscription clair dans chaque email commercial, permettant aux destinataires de se désabonner facilement. La Loi stipule une action rapide sur les demandes de désinscription, exigeant que les entreprises suppriment les destinataires désabonnés de leurs listes dans les dix jours ouvrables.
Une fois que les gens vous ont dit qu'ils ne voulaient pas recevoir plus de messages de votre part, vous ne pouvez pas vendre ou transférer leurs adresses email, même sous la forme d'une liste de diffusion.
Une idée fausse courante: la Loi CAN-SPAM ne vous oblige pas à obtenir la permission avant d'envoyer des messages marketing. C'est une loi de désinscription, pas une loi de consentement. Cette distinction est importante lors de sa comparaison avec la loi d'État californienne et la CASL.
Qui est responsable?
Même si vous embauchez une autre entreprise pour gérer votre marketing par email, vous ne pouvez pas vous exonérer de votre responsabilité juridique de conformité avec la loi. L'entreprise dont le produit est promu dans le message et l'entreprise qui envoie réellement le message peuvent être tenues légalement responsables.
Code californien des entreprises et des professions Section 17529: la loi anti-spam de l'État
La propre loi anti-spam californienne est antérieure à la CCPA et fonctionne indépendamment de celle-ci. Promulguée pour freiner la publicité en ligne trompeuse, le Code des entreprises et des professions Section 17529.5 interdit les emails commerciaux non sollicités contenant des informations fausses ou trompeuses, en particulier ceux envoyés par ou à des personnes en Californie.
Les entreprises qui s'appuient sur le marketing par email font face à un examen accru à mesure que les cabinets de plaignants déposent une vague de recours collectifs alléguant des violations de la Loi anti-spam californienne en vertu de la Section 17529.5. Ces actions visent les entreprises à travers les États-Unis qui envoient des emails marketing ou promotionnels aux résidents de Californie, quel que soit le lieu du siège de l'expéditeur.
Ce que la Section 17529.5 interdit
Il est illégal pour toute personne ou entité de faire de la publicité dans un email commercial envoyé depuis la Californie ou envoyé à une adresse email californienne si l'annonce publicitaire contient ou est accompagnée du nom de domaine d'un tiers sans la permission du tiers. Le statut interdit également les informations d'en-tête falsifiées et les lignes d'objet trompeuses.
L'exposition en vertu de cette loi est importante. Avec une responsabilité stricte et des dommages-intérêts liquidés jusqu'à 1 000 dollars par email, et sans exigence d'intention ou de préjudice réel, même les campagnes modestes peuvent entraîner une exposition multimillionnaire.
Selon cette théorie de responsabilité stricte, toute entreprise qui bénéficie d'un email commercial peut être tenue responsable, indépendamment du fait que le message ait été envoyé directement par l'entreprise ou par un fournisseur tiers, un affilié ou un partenaire marketing. Cela augmente considérablement l'exposition potentielle car le statut autorise les dommages-intérêts liquidés de 1 000 dollars par email commercial non sollicité par destinataire, ce qui pourrait entraîner une responsabilité multimillionnaire dans les recours collectifs impliquant de grandes listes de diffusion.
Pour réduire l'exposition, si votre entreprise utilise des fournisseurs externes, des affiliés ou des partenaires marketing, intégrez de fortes protections contractuelles les obligeant à se conformer aux lois anti-spam applicables et menez une surveillance appropriée. Conservez les enregistrements des efforts de conformité, y compris la formation, les audits, les protections techniques et les protocoles de conformité, pour démontrer la diligence raisonnable en cas de contestation en justice.
CCPA et CPRA: règles de protection des données pour les marketeurs par email
La CCPA et sa mise à jour de 2023, la CPRA, forment l'épine dorsale de la loi californienne sur le marketing par email. La Loi californienne sur la confidentialité des consommateurs est une loi de protection des données au niveau de l'État qui réglemente la manière dont les entreprises traitent les informations personnelles. Elle donne aux résidents californiens le droit de savoir quelles informations personnelles les entreprises collectent, utilisent et partagent à leur sujet.
En novembre 2020, les électeurs californiens ont approuvé la Proposition 24, la CPRA, qui a modifié la CCPA et a ajouté de nouvelles protections de la vie privée supplémentaires qui ont commencé le 1er janvier 2023. À partir de cette date, les consommateurs ont obtenu de nouveaux droits, notamment le droit de corriger les informations personnelles inexactes et le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles.
La CCPA s'applique-t-elle à votre entreprise?
Toutes les entreprises qui envoient des emails aux résidents californiens ne relèvent pas de la CCPA. La loi s'applique si vos revenus bruts annuels dépassent 25 millions de dollars, si votre entreprise achète, reçoit ou vend les informations personnelles de 100 000 résidents californiens ou plus, ou si vous tirez 50% ou plus de vos revenus annuels de la vente des informations personnelles des résidents californiens.
Critiquement pour les marketeurs par email: la période de grâce pour les communications B2B s'est terminée le 1er janvier 2022. Si vous menez des campagnes d'email B2B ciblant des entreprises basées en Californie, vous devez maintenant respecter les exigences de la CCPA, y compris honorer les notifications de violation de données et les demandes "ne pas vendre".
En vertu de la CCPA, une adresse email est considérée comme une information personnelle. Cela signifie que vous devez informer les utilisateurs au moment de la collecte des données que vous collectez et comment elles seront utilisées, offrir une option de désinscription claire si vous vendez ou partagez ces informations, inclure un lien "Ne pas vendre mes informations personnelles" sur votre site le cas échéant, et fournir aux consommateurs l'accès à leurs données sur demande, et les supprimer s'ils le demandent.
Droits des consommateurs de la CCPA qui affectent les programmes email
La CCPA accorde cinq droits fondamentaux pertinents pour les emails: le Droit de connaître (les consommateurs peuvent demander l'accès aux données les concernant), le Droit de supprimer (les entreprises doivent supprimer les données personnelles sur demande), le Droit de refuser (les liens clairs "Ne pas vendre mes informations" sont requis), le Droit de corriger (les consommateurs peuvent demander des corrections de données) et le Droit à la non-discrimination (aucune pénalité pour l'exercice de droits à la vie privée).
Pour vos opérations email, deux délais de réponse sont les plus importants: vous avez 45 jours pour répondre aux demandes d'accès ou de suppression et 15 jours ouvrables pour traiter les refus.
Pour une liste bien segmentée où les données des abonnés sont organisées par préférence et comportement, honorer ces demandes devient beaucoup plus simple. Apprenez comment construire ce type de structure dans notre guide sur Stratégies de segmentation de liste d'email qui augmentent le ROI de 760%.
CASL: ce que cela signifie si vous avez des abonnés canadiens
Si l'un de vos abonnés accède à vos emails depuis le Canada, la CASL vous s'applique indépendamment de l'endroit où votre entreprise est basée.
La Loi canadienne anti-pourriel (CASL) est entrée en vigueur le 1er juillet 2014. Si vous êtes au Canada ou si vous envoyez un message électronique commercial (MEC) aux résidents canadiens, vous devez respecter la CASL.
Les messages électroniques commerciaux envoyés aux destinataires au Canada à partir d'un autre pays doivent respecter la CASL. Les expéditeurs de MEC doivent obtenir le consentement, fournir des informations d'identification et fournir un mécanisme de désinscription.
La différence clé: consentement préalable vs désinscription
La CASL inverse entièrement le modèle du CAN-SPAM. La CASL repose principalement sur le consentement explicite, ce qui signifie que quiconque vous contactez doit donner son consentement pour ce canal, avec quelques exceptions. Vous devez également conserver un enregistrement de tous les consentements obtenus en vertu de la CASL, y compris quand et comment le consentement a été obtenu.
Le consentement explicite signifie qu'une personne a clairement convenu de recevoir un MEC, soit par écrit, soit oralement. Le destinataire doit prendre une mesure proactive pour indiquer son consentement explicite, par exemple en s'inscrivant sur votre site Web.
Le consentement implicite est disponible dans des cas limités. Les exemples incluent si un destinataire a acheté un produit ou un service auprès de vous, a accepté un accord commercial avec vous ou a conclu un contrat écrit avec vous, tout cela au cours des deux dernières années, ou s'il s'est renseigné auprès de vous sur un produit ou un service au cours des six derniers mois.
Quel que soit le type de consentement que vous avez, si un destinataire demande à cesser de recevoir des MEC via votre mécanisme de désinscription ou par une autre forme de communication, vous devez respecter sa demande et cesser d'envoyer des MEC dans les 10 jours ouvrables.
Pénalités de la CASL
Les enjeux financiers en vertu de la CASL sont importants. Les amendes pour violation de la CASL peuvent atteindre 1 million de dollars par violation pour les individus et jusqu'à 10 millions de dollars par violation pour les entreprises. Les individus et les entreprises, y compris leurs administrateurs, dirigeants et autres agents, peuvent être tenus responsables des violations.
Construire un programme email conforme: liste de contrôle pratique
La conformité ne nécessite pas de reconstruire votre programme email de zéro. Elle nécessite des systèmes disciplinés autour du consentement, du traitement des données et de la communication avec les abonnés. Voici une liste de contrôle pratique qui couvre les trois couches juridiques:
Consentement et construction de liste
Utilisez le double consentement pour tous les nouveaux abonnés (meilleure pratique en vertu de la CCPA, pratique requise en vertu de la CASL)
Chaque fois qu'une personne non autorisée accède à des informations personnelles non chiffrées comme les emails combinés avec des noms, des mots de passe ou d'autres identifiants, vous devez notifier les résidents californiens affectés sans délai déraisonnable. Ayez un plan de notification de violation prêt.
N'achetez jamais de listes d'emails de résidents californiens ou canadiens
Contenu des emails
Utilisez les informations exactes "De", "Répondre à" et de domaine dans chaque envoi
Les lignes d'objet doivent refléter avec précision le contenu de l'email et ne doivent pas être trompeuses ou délibérément fausses de quelque façon que ce soit. Cela s'applique en vertu du CAN-SPAM, de la Section 17529.5 et de la CASL.
Incluez votre adresse postale physique valide dans le pied de page de chaque email
Désinscription et demandes de données
Les marketeurs par email doivent avoir des procédures pour répondre aux demandes d'accès aux données et de suppression dans les 45 jours.
Les demandes de refus doivent être complétées dans les 15 jours ouvrables de leur réception.
Traitez les refus du CAN-SPAM dans les 10 jours ouvrables; les désabonnements de la CASL dans les 10 jours ouvrables
Politique de confidentialité et avis
Votre politique de confidentialité doit expliquer, en termes clairs, quelles informations personnelles vous collectez, pourquoi vous les collectez et avec qui vous les partagez.
Ajoutez un lien "Ne pas vendre mes informations personnelles" sur votre site Web si vous atteignez les seuils de la CCPA
Formez vos employés à la conformité avec ces réglementations et maintenez des enregistrements détaillés des demandes des clients et de vos réponses.
Votre séquence d'email de bienvenue est le lieu idéal pour définir les attentes concernant l'utilisation des données et rendre votre chemin de désinscription évident dès le début. De même, chaque ligne d'objet que vous écrivez doit correspondre au contenu à l'intérieur de l'email, non seulement pour l'engagement, mais pour la conformité juridique. Notre guide sur Meilleures pratiques des lignes d'objet d'email qui augmentent les taux d'ouverture de 27% couvre comment écrire des lignes d'objet qui sont à la fois attrayantes et transparentes.
CAN-SPAM vs CCPA vs CASL: comparaison rapide
Caractéristique
CAN-SPAM
CCPA
CASL
Juridiction
Fédéral (États-Unis)
Californie
Canada
Modèle de consentement
Désinscription
Désinscription + droits aux données
Consentement requis
Qui est couvert
Tous les emails commerciaux vers les États-Unis
Entreprises à but lucratif répondant aux seuils
Quiconque envoie des emails aux résidents canadiens
Pénalité par violation
Jusqu'à 53 088 dollars par email
2 500 à 7 500 dollars par violation
Jusqu'à 10 millions de dollars par incident (entreprises)
Droits de suppression de données
Non
Oui (fenêtre de réponse de 45 jours)
Non
Délai de désinscription
10 jours ouvrables
15 jours ouvrables
10 jours ouvrables
Questions fréquemment posées
La loi californienne sur le marketing par email s'applique-t-elle aux entreprises situées en dehors de la Californie?
Oui. Ces actions visent les entreprises à travers les États-Unis qui envoient des emails marketing ou promotionnels aux résidents de Californie, quel que soit le lieu du siège de l'expéditeur. Si votre email atteint un résident californien, le CAN-SPAM et la Section 17529.5 de la Californie s'appliquent tous les deux. La CCPA s'applique si votre entreprise atteint les seuils de revenus ou de volume de données.
La CCPA s'applique-t-elle aux petites entreprises?
Dans de nombreux cas, ce n'est pas le cas. De nombreuses petites entreprises n'atteindront pas les chiffres seuils de la CCPA. Donc, si vous gérez une petite entreprise en ligne, collectez des inscriptions par email et gagnez de l'argent grâce à quelques programmes d'affiliation ou de produits numériques, vous n'êtes probablement pas légalement obligé de vous conformer pleinement à la CCPA. Cependant, même si vous êtes en dessous du seuil, les principes de la CCPA valent la peine d'être suivis. Vous avez probablement des lecteurs californiens qui s'attendent à la transparence, et les pratiques respectueuses de la vie privée deviennent la norme, pas l'exception.
En quoi la CASL diffère-t-elle du CAN-SPAM pour les marketeurs par email?
La différence fondamentale est le consentement. En vertu de la CASL, le consentement est requis avant d'envoyer un message électronique commercial. Le CAN-SPAM exige seulement que les destinataires aient un moyen facile de refuser après avoir reçu l'email. La CASL entraîne également des pénalités beaucoup plus élevées et s'applique à quiconque envoie des emails aux résidents canadiens, quel que soit le lieu du siège de l'expéditeur.
Que se passe-t-il si j'utilise une plateforme d'email tiers et qu'elle cause une violation?
Même si vous utilisez une plateforme de marketing par email, vous êtes toujours légalement responsable de respecter la loi californienne. Assurez-vous que les outils de votre fournisseur prennent en charge la conformité CCPA. En vertu du CAN-SPAM, même si vous embauchez une autre entreprise pour gérer votre marketing par email, vous ne pouvez pas vous exonérer de votre responsabilité juridique de conformité avec la loi. En vertu de la Section 17529.5 californienne, l'annonceur qui bénéficie de l'email peut être tenu responsable même si un fournisseur tiers l'a envoyé.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un avocat qualifié pour obtenir des conseils spécifiques à votre situation commerciale.
