Comparaison entre CAN-SPAM, CASL et GDPR

Établir et entretenir une relation avec vos clients en ligne peut être assez délicat lorsque vous devez naviguer dans les lois sur la communication numérique de votre pays. Mais alors que vous cherchez à développer votre entreprise au-delà de vos propres frontières, il peut être encore plus délicat d'aligner vos processus de marketing internes pour respecter plusieurs lois.

Cet article tentera d'atténuer une partie de l'anxiété entourant le marketing numérique en soulignant les différences critiques entre trois lois en vigueur : CAN-SPAM, CASL et GDPR.

Un aperçu rapide des trois lois

Le Loi CAN-SPAM (Controlling the Assault of Non-Solicited Pornography and Marketing) est la première loi américaine à établir des lignes directrices pour la communication commerciale par courrier électronique. Il a été introduit en 2003 et est appliqué par la Federal Trade Commission (FTC).



CASL (Législation canadienne anti-pourriel) est une loi fédérale introduite en 2014 qui vise à protéger les boîtes de réception des Canadiens en établissant des règles strictes concernant les messages électroniques commerciaux. Il a été adopté en réponse à une augmentation du phishing, du vol d'identité et des logiciels malveillants dans le pays.

Le plus jeune des trois, le RGPD (Règlement Général sur la Protection des Données) est une loi qui s'applique à tous les États membres de l'Union européenne (UE). Il a été introduit en 2016 et appliqué aussi récemment qu'en mai 2018. L'objectif du RGPD est de redonner une partie du pouvoir entre les mains du consommateur en matière de protection et de traitement des données personnelles.

Ce qui les rend similaires

Chacune de ces lois présente une manière différente d'aborder le marketing et la communication numériques au 21e siècle. Malgré toutes leurs différences, il existe des similitudes à un niveau rudimentaire.

  1. Ils favorisent tous la transparence et le choix.

Ces trois lois visent à garantir que les entreprises jouent équitablement avec les consommateurs. Qu'il s'agisse de savoir comment les données sont utilisées ou de choisir de se désabonner, l'objectif de ces lois est de créer une relation éclairée et consensuelle entre ceux qui achètent des produits et services et ceux qui les offrent.

  1. Ils nécessitent tous des processus internes réfléchis .

Étant donné que ces lois offrent plus de choix aux consommateurs, vous devez mettre en place les mécanismes leur permettant d'exercer ce choix et les processus internes pour les appliquer rapidement. Par exemple, la LCAP stipule que les entreprises offrent aux consommateurs la possibilité de se désinscrire à tout moment d'un simple clic et demandent de les retirer de leur liste de diffusion dans un délai de 10 jours ouvrables. Cela peut signifier créer de nouveaux canaux de communication entre les départements ou automatiser les processus pour accélérer la demande.

  1. Ils viennent tous avec des amendes substantielles.

Si l'idée d'investir du temps et de l'argent dans des mesures de conformité vous fait rouler les yeux, considérez le potentiel que cela peut avoir sur votre résultat net. Vous pouvez être facturé jusqu'à 42 530 $ pour chaque e-mail qui ne respecte pas la loi CAN-SPAM. En vertu de la LCAP, Rogers Media a été condamné à une amende de 200 000 $ parce qu'il ne disposait pas d'un mécanisme de désabonnement fonctionnel. Les amendes pour non-conformité au RGPD peuvent atteindre jusqu'à 20 millions d'euros ou 4 % de votre chiffre d'affaires global, selon le montant le plus élevé.

Sans oublier, à mesure que les consommateurs deviennent plus informés, ils ont peu ou pas de tolérance pour les communications non sollicitées et les violations de données.

  1. Ils sont tous clairs sur qui est responsable.

Il n'y a pas de place pour les excuses du chien qui a mangé mes devoirs ici. Même si vous externalisez votre marketing numérique ou votre traitement de données, en fin de compte, vous êtes responsable de la façon dont vous menez vos affaires. Cela met en lumière l'importance d'avoir de bonnes relations de travail avec des fournisseurs tiers et des contrats à toute épreuve.

Ce qui les rend différents

En ce qui concerne la rigueur et la portée de chacune de ces lois, il semble que nous devenions plus sages avec l'âge.

Le règlement le plus récemment appliqué, le GDPR, est à certains égards le plus répandu. Il ne couvre pas un seul pays, mais fournit une norme uniforme pour tous les 28 États membres de l'UE, ce qui signifie qu'il a un plus grand potentiel d'impact sur les entreprises mondiales.

CAN-SPAM (également appelé affectueusement You-Can-Spam) a été critiqué pour ne pas en faire assez pour interdire purement et simplement le spam. Il ne précise pas non plus si les entreprises en dehors des États-Unis sont tenues aux mêmes normes que celles à l'intérieur.

La CASL a été qualifiée de loi la plus sévère en son genre et va au-delà de CAN-SPAM pour inclure toutes les formes de communication électronique et les cybermenaces comme le phishing et les logiciels malveillants.

Alors que CAN-SPAM et CASL se concentrent plus spécifiquement sur la transparence et le choix concernant les communications électroniques indésirables, le GDPR s'attaque au problème mondial encore plus répandu de la protection des données et de la vie privée.

En ce qui concerne la ou les lettres de la loi, CAN-SPAM et CASL sont plus normatifs que le RGPD. Par exemple, CAN-SPAM et CASL décrivent clairement les choses à faire et à ne pas faire, comme inclure l'emplacement physique de l'entreprise dans le corps de l'e-mail ou avoir une ligne d'objet descriptive. Le RGPD se concentre davantage sur les principes et les droits de l'individu (qu'ils appellent les personnes concernées) qui, à certains égards, peuvent le laisser ouvert à l'interprétation et plus difficile à suivre.

Le RGPD donne cependant aux personnes concernées plus de droits que les deux autres. Dans le cadre du RGPD, les individus peuvent demander une copie de toutes les données personnelles dont vous disposez, que vous devez envoyer dans un format commun et lisible dans un délai d'un mois. Vous pouvez voir à quel point cela nécessite une infrastructure commerciale plus compliquée que la mise à jour des listes de diffusion.

Mais peut-être que la plus grande différence entre les trois est la façon dont ils traitent le consentement. CAN-SPAM n'exige pas que les entreprises demandent l'autorisation avant de contacter des individus, mais les entreprises doivent leur permettre de cesser rapidement d'avoir de leurs nouvelles.

CASL, d'autre part, utilise la méthode opt-in qui oblige les entreprises à demander explicitement la permission avant de contacter des clients potentiels ou existants avec du contenu marketing. Les particuliers doivent pouvoir se retirer facilement et sans frais pour eux. Les entreprises sont également tenues de présenter une preuve de consentement (formulaires électroniques, enregistrements audio, correspondance par courriel).

Le GDPR inclut la même approche opt-in que la CASL, mais devient encore plus collant. Les individus doivent faire une action positive comme taper leur adresse e-mail ou cocher une case pour prouver leur consentement. Les personnes ont également le droit d'être oubliées ou de voir leurs données effacées de vos dossiers.

En vertu du RGPD, si vous souhaitez traiter les données personnelles d'une personne, vous devez obtenir son consentement dans un but précis. Si vous souhaitez traiter ces mêmes données à d'autres fins, vous devrez recommencer le processus de demande de consentement. Ouais.

CAN-SPAM

(modéré)

LCAP

(fort)

RGPD

(le plus fort)

Portée Établit des normes nationales pour l'envoi de messages électroniques dont l'objectif principal est la publicité commerciale.Couvre non seulement la publicité commerciale non sollicitée par e-mail et SMS, mais également le phishing et l'installation de logiciels indésirables.Réglemente la collecte, le stockage, l'utilisation et la gestion des données personnelles.
Application S'applique aux entreprises américaines, mais ne précise pas explicitement si elle s'applique aux entreprises en dehors des États-Unis qui contactent des citoyens américains.S'applique à toute personne qui envoie ou reçoit des messages électroniques commerciaux au Canada.S'applique à toute personne qui vend des biens ou des services dans l'un des 28 États membres de l'UE ou qui collecte ou traite les données personnelles de ses citoyens à des fins commerciales.
Consentement Les entreprises ne sont pas tenues d'obtenir le consentement des consommateurs par e-mail, mais les consommateurs ont le droit de refuser.Les entreprises doivent obtenir un consentement explicite par le biais d'une action positive telle que l'acceptation. Les consommateurs ont le droit de révoquer leur consentement à tout moment.Les entreprises doivent obtenir un consentement explicite par le biais d'une action positive telle que l'acceptation. Les consommateurs ont le droit de révoquer leur consentement à tout moment. Si le consommateur vous donne son consentement au traitement de ses données dans un but précis, vous ne pouvez traiter ses données qu'en relation avec ce but. Vous devrez demander à nouveau le consentement à d'autres fins.


Garantir la conformité de votre entreprise

À ce stade, vous pourriez être tenté de garder votre entreprise à l'intérieur de vos frontières nationales. Mais à mesure que la technologie évolue et que la littératie numérique continue d'augmenter, toutes ces lois prendront inévitablement de nouvelles formes. Il est donc préférable de commencer avec le long jeu à l'esprit.

Que vous soyez proactif ou réactif avec vos mesures de conformité, envisagez de développer votre communication numérique et votre stratégie de données comme vous le feriez pour toute autre stratégie commerciale - avec un œil sur la croissance.

Vous voulez en savoir plus ? Lisez notre série d'articles plus approfondis sur CAN-SPAM , LCAP , et le RGPD .