Dans 3 mois, sera appliqué le RGPD, ou Règlement général sur la protection des données.
Le texte tant médiatisé a pour but d’homogénéiser, au sein de l’UE, les pratiques de collecte et de traitement des données à caractère personnel de personne physique identifiée ou identifiable.
De ce fait, toutes les entreprises se développant grâce aux données personnelles doivent se mettre en conformité avec le réglement pour le 25 mai 2018.
Le RGPD touchant aux données client, il est évident que la fonction marketing soit la plus concernée et la plus impactée dans l’entreprise, par son application.
Quelques exemples de données personnelles.
A l’heure actuelle, quelle entreprise ne collecte pas ce type de données à travers l’un ou l’autre de ses outils digitaux ?
Le règlement introduit le droit à l’opposition au profilage, source d’informations essentielles à toute réflexion marketing.
Sont concernés en effet tous les traitements automatisés permettant d’analyser les comportements d’un individu : outil de CRM, analyse prédictive, historique des achats, actions sur le comptes sociaux.
L’entreprise doit informer la personne (prospect, client, etc) sur l’existence d’un profilage la concernant, ainsi que sur son droit à s’y opposer et sur les procédures à suivre pour exercer ce droit.
A défaut d’être dans la norme pour mai 2018, les entreprises risquent une double peine :
1- Considérer la protection des données comme un standard obligatoire pour tout projet en lien avec les données personnelles.
L’aborder dès l’origine des projets marketing, mener des ateliers de réflexion dédiés et la considérer comme un point clé dans les cahiers des charges et autres spécifications.
2- Mener la concertation sur la mise en conformité et la mise en place des mesures organisationnelles, techniques et juridiques entre la fonction marketing et les autres fonctions (ex : la DSI).
3- Définir ce qu’est une donnée personnelle au sein de l’entreprise-même.
Lister, dans l’organisation, et chez les différents sous-traitants, toutes les données personnelles récoltées, qu’elles soient on line ou off line, à partir du moment où, une fois recoupées, elles facilitent l’identification directement ou indirectement d’une personne.
4- Faire un inventaire des traitements concernés.
La multiplicité des points de collecte des données en entreprise doit donner lieu au recensement des bases de données (B2B et B2C). Cet inventaire se précise dans une cartographie des traitements.
a– Relever tous les outils permettant d’obtenir des données personnelles : e-mail, cookies, formulaires d’abonnement aux newsletters, aux offres, etc. Ainsi que les applications et solutions (CRM, ERP, MDM, DMP…) utilisées.
b– Faire une revue des contrats des partenaires et sous-traitants, notamment : les cloud service providers ou autres data centers actifs sur l’ensemble du cycle de vie des données, les prestataires d’emailing, éditeurs de logiciels CRM et autres fournisseurs de solutions marketing.
5- Intégrer les exigences réglementaires et mettre à jour tous les outils de collecte, applications et solutions, ainsi que les contrats (ex : les CGV des prestataires d’emailing).
Soit les conditions à respecter :
Afin d’encadrer le traitement de ces données, l’entreprise a l’obligation d’intégrer à son effectif un data protection officer (DPO), ou Responsable de la protection des données, capable de répondre aux demandes des personnes concernant le traitement de leurs données.
Enfin, en prévision de la multiplication attendue des demandes d’opposition les prochains mois, il est utile que l’entreprise organise sa collecte des oppositions et la destruction des données. Elle doit également s’assurer que le responsable de traitement, s’il est un sous-traitant, agisse en conformité au règlement.
En conclusion, au-delà de la contrainte que peut occasionner l’application du RGPD, il est intéressant d’en saisir l’opportunité pour rassurer le client.
La légalité du profilage à des fins marketing n’est pas remise en cause. Toutefois, l’entreprise doit respecter les conditions. Ce passage au RGPD sera à considérer non pas comme une contrainte, mais comme une aubaine, sur différents points :
Afficher une plus grande transparence dans l’utilisation de données personnelles devrait jouer en faveur de l’entreprise : elle gagne la confiance de l’internaute et renforce sa base de données d’éléments qualitatifs devenant, de ce fait, plus pertinente.