RGPD – Le sujet concerne aussi le marketing !

Vous n’avez pas encore entendu parler du RGPD, le nouveau Règlement Européen sur la Protection des Données ? Ou vous en avez entendu parler mais avez décidé pour l’heure, de mettre le sujet de côté ? Dans les deux cas, il devient urgent de s’intéresser au sujet car cette nouvelle réglementation sera applicable à partir du 25 mai 2018… Et elle change beaucoup de choses !

La technologie a ouvert ces dernières années nombre de nouvelles possibilités de mieux « profiler » et mieux cibler, prospects autant que clients, afin de renforcer la performance de dispositifs d’activation appuyés sur les analyses réalisées à partir de données plus riches et plus diverses.  Mais le marketing s’est souvent focalisé sur la recherche de performance en oubliant la nécessité d’être transparent sur les conditions d’utilisation des données personnelles captées. Pas étonnant dans ces conditions de constater une défiance croissante des consommateurs sur le sujet. Le nouveau Règlement Européen sur la Protection des Données (RGPD) est l’opportunité pour les entreprises de repenser leurs pratiques… En même temps, il les oblige à dépasser la question de la performance marketing et commerciale sous peine, en cas de non respect des nouvelles règles, de subir des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise (avec plafonnement à hauteur de 20 millions d’euros). De quoi y réfléchir à deux fois lorsque le sujet est mis de côté malgré l’échéance qui se rapproche à grand pas.

Le cadre juridique

Ce Règlement Général sur la Protection des Données applicable à partir du 25 mai 2018, permet surtout d’installer un cadre juridique harmonisé au sein de l’Union Européenne. Toutes les entreprises qui sont amenées à traiter des données à caractère personnel sont concernées par cette nouvelle réglementation. Que vous soyez une PME ou un très grand groupe, vous devrez donc respecter le RGPD à partir du moment où vous effectuez des actions de marketing direct. Il existera cependant des aménagements pour les entreprises de moins de 250 salariés afin de limiter les impacts organisationnels et administratifs de certains volets de la loi. En revanche, les entreprises établies en dehors de l’Union Européenne sont concernées, à partir du moment où elles proposent des produits ou des services aux résidents de l’Union Européenne.

Données personnelles et profilage, de quoi parle t-on ?

Le RGPD définit les données personnelles comme étant les données qui permettent d’identifier une personne physique, de façon directe ou indirecte. Dans cette logique, une adresse postale, une adresse email, un numéro de téléphone font partie de la liste des données personnelles, qu’elles soient liées à un environnement BtoB ou BtoC ! Même chose en ce qui concerne des données de localisation ou des cookies (first et third party). De façon plus globale, les données concernées sont en fait « toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement ». Dans ces conditions, sont concernées à la fois les données brutes (un h istorique d’achat par exemple), mais aussi les enseignements qui en sont issus (des préférences déduites de ces achats). Il suffit en fait que les données permettent d’identifier un individu pour qu’elles soient concernées par le règlement.

Le RGPD renforce par ailleurs la protection des individus en encadrant plus étroitement les techniques de profilage. Cette approche consiste à utiliser les données personnelles afin de définir un profil pouvant ensuite être rattaché à un segment. L’enjeu associé est ensuite de pouvoir personnaliser ce qui sera proposé, que ce soit en terme de contenu, de parcours ou d’offre produit… Le RGPD prévoit que chaque personne ait le droit d’être informé de l’existence d’un profilage. L’enjeu est notamment de limiter les risques liés aux prises de décisions fondées sur des traitements automatisés (ex. adaptations de tarifs selon le profil, décision d’obtention d’un crédit…).

Trois composantes du RGPD qui changent beaucoup de choses

Jusqu’à présent, les responsables des traitements de données devaient procéder à des formalités préalables auprès de la CNIL. Avec le nouveau règlement européen, changement de paradigme. On bascule dans une logique de responsabilisation – l’accountability. Les responsables des données doivent prendre les mesures pour garantir la conformité des traitements et être en mesure de le démontrer. Ceci induit la nécessité de tout documenter afin de prouver, si besoin, que les mesures organisationnelles et techniques ont été prises pour garantir le respect de la réglementation.

Ce qui change également, c’est la nécessité d’intégrer la composante « données personnelles » dès la conception d’un produit ou d’un service. L’on parle là de « Privacy by design ». L’objectif est de s’assurer de la conformité des traitements envisagés préalablement au déploiement d’une offre. C’est là une façon pour le RGPD d’anticiper la multiplication de traitements de données personnelles via des objets, des technologies capables de collecter de la donnée et d’être interconnectés. En vertu de ce principe de « Privacy by design », il s’agira d’intégrer en amont les principes de minimisation des données (seules les données nécessaires à la finalité peuvent être collectées), de pseudonymisation (processus par lequel les données perdent leur caractère nominatif) et de chiffrement (sécurisation des données), y compris dès la conception d’un système d’information ou d’une base de données. Cette notion de Privacy by Design est certainement une des parties du RGPD qui va être la plus complexe à mettre en pratique. Cette composante vise avant tout à garantir que chaque collecte de données devra servir la finalité du service.

Troisième évolution significative, ce règlement général sur la protection des données personnelles instaure un principe de co-responsabilité. Le RGPD concernera à partir du 25 mai 2018, à la fois l’entreprise responsable du traitement des données ainsi que les sous-traitants. En cas de manquements, la responsabilité des différents acteurs peut être conjointement engagée.

Et du côté du marketing ?

Pour pouvoir traiter les données à caractère personnel des individus, les entreprises vont devoir s’assurer de recueillir un « consentement explicite » de la part de ces individus. Dans ces conditions, plus question de contacter un résident européen par email sans disposer préalablement de ce consentement explicite. Serait-ce (enfin) la fin des emails non sollicités qui encombrent nos boîtes email au quotidien ? Et il est très plausible que cette directive s’applique aussi au BtoB ! Point d’attention : le consentement doit résulter d’un acte concret du destinataire – « il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité». Et la preuve de ce consentement est à la charge de l’entreprise responsable des traitements.

Du côté des sites web, le principe de l’opt-in est renforcé au travers d’obligations accrues d’information de l’internaute. Il s’agira d’expliquer à cet internaute la nature des données collectées et leurs finalités. Les bandeaux d’information devront donc évoluer afin de préciser ces finalités (par exemple, proposer des publicités personnalisées, mesurer l’audience, proposer des offres adaptées aux centres d’intérêts…). Dans ces conditions, nul doute que toutes les pratiques de personnalisation, contextualisation des interactions et des activations publicitaires vont être impactées (tracking, retargeting…). Tous les acteurs du marketing vont devoir faire preuve d’un surcroit de transparence. Toutes les plateformes collectant de la donnée et en particulier les sites de E-commerce devraient rapidement avoir à intégrer plusieurs nouveaux ingrédients.

– des nouvelles mentions au sein des formulaires de collecte de données matérialisant clairement, de façon distincte, l’accord pour chaque type de traitement : multiplication des « cases à cocher » en vue.

– Des politiques de confidentialité (détail des traitements, finalités, durée de conservation des données, garanties de sécurité…).

– Des chartes de gestion des cookies et la possibilité de désactiver chaque type de cookie selon sa nature et ses finalités.

Plus globalement…

Les mesures de sécurité et de confidentialité mises en œuvre par les entreprises sont renforcées. Et sans qu’il y ait d’obligation de résultat, l’obligation de moyens imposée se rapproche cependant de cette obligation. L’anticipation des risques doit être assurée et justifiée au travers de la réalisation :

– d’un registre des traitements

– d’un référentiel sécurité

– de déclenchement régulier de tests d’intrusion et de leur analyse

– de la sensibilisation du personnel de l’entreprise aux enjeux de sécurité et confidentialité des données.

Ajoutons que le RGPD intègre des éléments directement liés aux droits des individus : le droit à la portabilité des données (pour faciliter notamment le passage d’un prestataire de service à un autre) et un droit à l’oubli notamment lorsqu’une personne s’oppose au traitement des données à des fins de prospection ou lorsqu’une personne retire son consentement – « la personne concernée a le droit d’obtenir du responsable du traitement, l’effacement, dans les meilleurs délais, de données la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais ».

Le RGPD instaure également pour les entreprises de plus de 250 salariés, la nomination d’un Data Protection Officer (le DPO). Il sera le point de contact auprès de la CNIL (pour la France).  Il contrôlera surtout le bon respect du règlement dans l’entreprise tout en veillant à la sensibilisation et formation des acteurs de l’entreprise sur le sujet.

Le chantier RGPD est vaste et il n’y aura pas de trop des 5 à 6 mois qui restent pour se préparer. Nombre de décisions vont devoir être prises et nombre d’actions vont devoir être déployées. Ainsi que le met en évidence la CNIL dans le document « Règlement européen : se préparer en 6 étapes », les entreprises vont devoir désigner un pilote des données, recenser de façon précise les traitement existants de données personnelles, élaborer un plan d’actions hiérarchisé, identifier les éventuels traitements de données à risque élevé afin de mettre en œuvre sur ces traitements une analyse d’impact, puis organiser les nouvelles procédures internes et documenter enfin la conformité (responsabilité de la preuve).

Oui, ce nouveau règlement ne va pas être simple à intégrer. Que ce soit globalement au sein des entreprises et particulièrement dans les pratiques marketing et e-marketing. Il y a là en revanche 3 opportunités :

– Faire partie des entreprises vertueuses qui vont profiter de ce règlement pour rationaliser et assainir la relation qu’elles construisent avec leurs cibles. Faire preuve de transparence, de pédagogie et de sens des responsabilités sur les sujets de privacy qui sont associés à ce règlement, ne manquera de conférer à ces entreprises un avantage concurrentiel notable.

– En profiter pour challenger et améliorer tous les ingrédients, infrastructures, process, qui garantissent la sécurité des données gérées par l’entreprise. Dans un monde qui produit chaque jour un peu plus de données et qui interconnecte les individus et les objets qui les entourent, il n’est plus concevable de prendre ce sujet à la légère. Chaque faille représente un risque majeur pour la pérennité de l’entreprise qui s’expose à des impacts juridiques et économiques importants.

– Capitaliser sur ce chantier pour mettre autour de la table toutes les parties prenantes de la donnée dans l’entreprise. Il y a là une opportunité évidente de réconcilier les mondes de la technologie avec les mondes du marketing et du commerce. Et au-delà de cette réconciliation, il y a surtout l’opportunité de se poser les bonnes questions sur les données qui ont réellement du sens, qui construisent de la valeur. Le RGPD représente de toute évidence aussi, l’occasion d’optimiser les processus de gestion de la data dans l’entreprise.

Entre contraintes et obligations, les raisons de s’attaquer au chantier RGPD ne manquent pas. Alors commencez à gravir la montagne très vite. La pente sera rude mais le résultat au bout, en vaut la peine.

>> A lire aussi : Tout ce qu’il faut savoir sur la RGPD ou Data Privacy