Dans 3 mois, sera appliqué le RGPD, ou Règlement général sur la protection des données.
Le texte tant médiatisé a pour but d’homogénéiser, au sein de l’UE, les pratiques de collecte et de traitement des données à caractère personnel de personne physique identifiée ou identifiable.
De ce fait, toutes les entreprises se développant grâce aux données personnelles doivent se mettre en conformité avec le réglement pour le 25 mai 2018.
Le RGPD touchant aux données client, il est évident que la fonction marketing soit la plus concernée et la plus impactée dans l’entreprise, par son application.
Quelques exemples de données personnelles.
- Données basiques : nom, prénom, numéro de téléphone, adresse postale, adresse mail, date de naissance, base de données marketing.
- Données avancées : adresse IP, coordonnées GPS, numéro de sécurité sociale, numéro de plaque d’immatriculation cookies…
A l’heure actuelle, quelle entreprise ne collecte pas ce type de données à travers l’un ou l’autre de ses outils digitaux ?
RGPD : Quel impact sur une démarche marketing d’entreprise ?
Le règlement introduit le droit à l’opposition au profilage, source d’informations essentielles à toute réflexion marketing.
Sont concernés en effet tous les traitements automatisés permettant d’analyser les comportements d’un individu : outil de CRM, analyse prédictive, historique des achats, actions sur le comptes sociaux.
L’entreprise doit informer la personne (prospect, client, etc) sur l’existence d’un profilage la concernant, ainsi que sur son droit à s’y opposer et sur les procédures à suivre pour exercer ce droit.
A défaut d’être dans la norme pour mai 2018, les entreprises risquent une double peine :
- Un risque d’amende. Plusieurs niveaux de sanction sont prévus : avertissement, mise en demeure, suspension des données hors UE, et dans les cas graves, amende maximum de 4 % du CA mondial. L’autorité de contrôle en France est la Cnil.
- Un risque de sanction par les clients. Selon une étude de Pegasystems, 82% des consommateurs en Europe sont prêts à s’informer sur l’usage de la RGPD et à activer leur droit. Les associations de consommateurs sont déjà entreprenantes sur le sujet.
RGPD : Comment adopter la transparence pour gagner la confiance de l’internaute et éviter les sanctions ?
1- Considérer la protection des données comme un standard obligatoire pour tout projet en lien avec les données personnelles.
L’aborder dès l’origine des projets marketing, mener des ateliers de réflexion dédiés et la considérer comme un point clé dans les cahiers des charges et autres spécifications.
2- Mener la concertation sur la mise en conformité et la mise en place des mesures organisationnelles, techniques et juridiques entre la fonction marketing et les autres fonctions (ex : la DSI).
3- Définir ce qu’est une donnée personnelle au sein de l’entreprise-même.
Lister, dans l’organisation, et chez les différents sous-traitants, toutes les données personnelles récoltées, qu’elles soient on line ou off line, à partir du moment où, une fois recoupées, elles facilitent l’identification directement ou indirectement d’une personne.
4- Faire un inventaire des traitements concernés.
La multiplicité des points de collecte des données en entreprise doit donner lieu au recensement des bases de données (B2B et B2C). Cet inventaire se précise dans une cartographie des traitements.
a– Relever tous les outils permettant d’obtenir des données personnelles : e-mail, cookies, formulaires d’abonnement aux newsletters, aux offres, etc. Ainsi que les applications et solutions (CRM, ERP, MDM, DMP…) utilisées.
b– Faire une revue des contrats des partenaires et sous-traitants, notamment : les cloud service providers ou autres data centers actifs sur l’ensemble du cycle de vie des données, les prestataires d’emailing, éditeurs de logiciels CRM et autres fournisseurs de solutions marketing.
5- Intégrer les exigences réglementaires et mettre à jour tous les outils de collecte, applications et solutions, ainsi que les contrats (ex : les CGV des prestataires d’emailing).
Soit les conditions à respecter :
- informer l’internaute de l’intention de la société de traiter les données résultant de son comportement,
- informer de l’origine de la collecte (suite à un e-mailing, à un abonnement à la newsletter ou une visite sur un site internet, etc…),
- mentionner la finalité : l’entreprise doit expliquer clairement l’utilisation qui sera faite des données,
- préciser les destinataires des datas (services, fonctions),
- recenser uniquement les données nécessaires à un usage défini. Elles servent un intérêt marketing légitime de l’entreprise et sont utiles à son activité et en rapport avec ses services. (Exemple : il existe un lien entre une société livrant des plats cuisinés et une donnée collectée de type géolocalisation).
- obtenir l’acceptation claire résultant d’un acte volontaire de la personne, (ce qui implique que pour obtenir l’autorisation, l’entreprise ne peut plus utiliser les cases cochées par défaut sur les formulaires : elles sont à remplacer par des cases A cocher)
- réserver à l’individu le droit d’opposition à l’utilisation de ses données à des fins de marketing direct, et le droit d’opposition au profilage selon les informations qu’elles contiennent,
- effacer obligatoirement les données personnelles de la personne qui le demande, dans les plus brefs délais (droit à l’oubli ou à l’effacement),
- prévoir d’adresser les données récoltées sur une personne (sous une forme facilement réutilisable) quand celle-ci le lui demandera (droit à la portabilité),
- justifier la conformité des données en les cartographiant : enregistrer les demandes d’opposition dans un registre, les demandes à l’effacement ou à l’oubli, dont celles relatives à l’opposition au profilage,
- informer de la durée de conservation.
Afin d’encadrer le traitement de ces données, l’entreprise a l’obligation d’intégrer à son effectif un data protection officer (DPO), ou Responsable de la protection des données, capable de répondre aux demandes des personnes concernant le traitement de leurs données.
Enfin, en prévision de la multiplication attendue des demandes d’opposition les prochains mois, il est utile que l’entreprise organise sa collecte des oppositions et la destruction des données. Elle doit également s’assurer que le responsable de traitement, s’il est un sous-traitant, agisse en conformité au règlement.
En conclusion, au-delà de la contrainte que peut occasionner l’application du RGPD, il est intéressant d’en saisir l’opportunité pour rassurer le client.
La légalité du profilage à des fins marketing n’est pas remise en cause. Toutefois, l’entreprise doit respecter les conditions. Ce passage au RGPD sera à considérer non pas comme une contrainte, mais comme une aubaine, sur différents points :
- Optimisation des données récoltées : quantitativement moins importantes, ces données gagneront en qualité puisque explicitement transmises par l’individu qui en acceptera la collecte.
- Réflexion en profondeur de la gestion des données des contacts commerciaux, partenaires, salariés collaborateurs, facilitant ainsi l’installation d’une relation de confiance.
- Démonstration de l’entreprise de sa volonté de respecter les données personnelles, passant ainsi pour une organisation digne de confiance.
Afficher une plus grande transparence dans l’utilisation de données personnelles devrait jouer en faveur de l’entreprise : elle gagne la confiance de l’internaute et renforce sa base de données d’éléments qualitatifs devenant, de ce fait, plus pertinente.