RGPD : Ce qui attend vos équipes marketing

< Retourner au blog

RGPD : Ce qui attend vos équipes marketing

Le RGPD fait beaucoup parler de lui et c’est normal, presque toutes les entreprises sont dans l’obligation de revoir l’ensemble de leurs processus de gestion des données pour être en conformité avec ce que prévoient le nouveau règlement européen.

À partir du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) sera applicable à toutes les entreprises qui collectent des données personnelles (ce qui est surement votre cas si vous avez une stratégie de marketing digital). Adopté par tous les membres de l’Union Européenne, il va permettre la constitution d’un nouveau cadre juridique pour les traitements des données à caractère personnel.

Si le règlement induit de nouvelles contraintes pour les équipes marketing de chaque entreprise (et de lourdes amendes en cas d’infraction), il est également source d’opportunités qu’il faut savoir identifier.

Comment en sommes-nous arrivés là ?

L’application de ce nouveau règlement n’est pas un hasard ! En effet, de plus en plus d’entreprises collectent et utilisent les données de leurs prospects ou clients afin de mieux personnaliser leur relation avec chaque contact.

Parfois utilisées à outrance, le non-respect de la vie privée des utilisateurs est un sujet qui ne cesse de préoccuper les internautes et les gouvernements.

De plus, les récurrentes affaires de vol de données personnelles viennent renforcer cette idée de la création d’un cadre juridique pour limiter les risques de diffusion de données sensibles auprès de pirates malveillants.

En réponse à ces risques portés sur les données privées, le RGPD implique d’importants changements et notamment pour tous les professionnels du marketing. La réglementation impose une véritable démarche de mise en conformité que votre entreprise ne doit en aucun cas sous-estimer.

Quelles sont les entreprises concernées par le RGPD ?

Toutes les entreprises qui collectent des données à caractère personnel (toute information permettant d’identifier de manière directe ou indirecte une personne physique) sont concernées.

En fonction de la taille de l’entreprise, des ajustements sont prévus pour alléger les différentes procédures qui peuvent être complexes et chronophages pour les Petites et Moyennes Entreprises (PME).

Par exemple, la tenue d’un registre des activités de traitement n’est pas obligatoire pour toutes les sociétés qui ont moins de 250 salariés. Cependant, cette exception dépend tout de même du degré de sensibilité des données et du type de traitement opéré.

Pourquoi devez-vous prendre le RGPD au sérieux ?

La conformité au RGPD est obligatoire pour toutes les entreprises collectant des données sur des citoyens européens, en cas de non-respect du règlement, l’Union Européenne prévoit des sanctions financières administratives importantes.

Deux cas sont possibles :

  1. L’amende administrative peut s’élever jusqu’à 20 millions d’euros en fonction des différents cas.
  2. Elle peut être équivalente à 4% du chiffre d’affaires mondial de la société.

Les sanctions ne se limitent pas uniquement à une amende pécuniaire. En effet, la Cour de Justice de l’Union Européenne peut également selon le contexte :

  • Exprimer un avertissement
  • Mettre en demeure l’entreprise
  • Réduire la capacité de traitement des données
  • Interrompre les flux de données
  • Obliger aux manquements des obligations pour le droit des personnes
  • Corriger, limiter ou supprimer des données

À l’heure actuelle, il est encore impossible de connaître les dispositifs qui vont être mis en place pour réaliser les contrôles. Cependant, la gravité des sanctions encourues est un signal assez fort pour que les dispositions de la réglementation ne soient pas prises à la légère.

Comme symbole des préoccupations liées à la protection des données, Uber s’est récemment fait pirater une partie de son système et cela implique des données personnelles sur 50 millions de clients et 7 millions de chauffeurs.

Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit personnellement à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage. Il reproche à la firme américaine de ne pas avoir fait part de l’existence de cet incident auprès des autorités françaises et que cela deviendra obligatoire dès la mise en application du RGPD en mai 2018.

Comment votre équipe marketing doit-elle réagir face au RGPD ?

Concrètement l’objectif de la RGPD est de renforcer la confiance des consommateurs envers les entreprises qui utilisent leurs données au quotidien pour divers usages.

Des données personnelles, oui, mais lesquels ?

Le règlement prévoit de considérer les adresses email, numéro de téléphone, fonction, adresse postale, adresse IP, cookies et autres éléments physiques comme des données personnelles. Ainsi, les techniques de profilage (ou de scoring) sont notamment particulièrement visées.

Consentement explicite

Autre point essentiel, le recueil du consentement explicite des utilisateurs est au coeur des enjeux du RGPD. Tout utilisateur qui reçoit des contenus, emails et autres types de communication doit avoir exprimé au préalable son accord de manière explicite.

Longtemps ambigu pour une bonne partie des professionnels du secteur, la prise de contact avec des ressortissants de l’Union Européenne ne peut se faire seulement s’ils ont décidé de fournir leurs informations personnelles

En d’autres termes, c’est la fin des emails B2C à des masses d’utilisateurs non consentants.

Étude d’impact sur la vie privée

L’article 35 de la RGPD oblige les entreprises à prendre en compte deux problématiques lors du traitement des données :

  1. Identifier les traitements présentant un risque élevé pour la vie privée des personnes
  2. Réaliser un PIA (Privacy Impact Assessment) afin de réviser et améliorer les procédures de sorte à renforcer la sécurité des données personnelles

Pour évaluer le niveau du risque, plusieurs critères sont à prendre en compte :

  • Données sensibles
  • Données de personnes vulnérables
  • Transferts de données hors Union Européenne
  • Traitements de données à grande échelle
  • Méthode de scoring des individus

Pour aller plus loin, vous pouvez consulter les informations diffusées par le G29 (Groupe de travail Article 29 sur la protection des données).

Quelles actions marketing concrètes le RGPD implique-t-il ?

Afin de répondre à toutes les exigences du nouveau règlement, vous allez devoir réviser vos différents processus, notamment :

Provenance du contact

Vous devez être capable de noter le moyen par lequel vous avez acquis un nouveau contact dans votre base. Cette information doit être visible pour tous les contacts et c’est également applicable à toutes vos bases de données.

Exportation des données

Vous devez être capable d’exporter toutes vos données en cas de contrôle ou sous la demande explicite d’un de vos clients, sous un format consultable électroniquement.

Mentions légales

Vous devez réécrire vos mentions légales afin de les faire correspondre avec les nouvelles exigences de la RGPD. Vos utilisateurs doivent comprendre explicitement la finalité des données collectées.

Formulaires

Vos formulaires doivent comporter des cases à cocher qui permettent de mentionner clairement l’accord d’un individu pour rentrer dans votre base de données. Il doit exprimer son contentement pour chaque finalité (prise de contact, emails, revente de données à un tiers…).

Suppression de données

Si vous avez des contacts inactifs depuis plus de 3 ans, vous devrez mettre en place des procédures pour automatiser la suppression de leurs informations.

Cookies explicites

Les bandeaux qui indiquent la présence de cookies doivent évoluer, il est nécessaire de présenter leur durée de vie (13 mois au maximum) et de recueillir une nouvelle fois le consentement de l’utilisateur lorsque le délai est passé.

Exemple de présentation des cookies par la CNIL : "En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites]."

Source : CNIL.

 

Le RGPD implique de nombreuses modifications dans vos procédures de traitement des données qui mèneront à des bases mieux qualifiées et un respect des droits des utilisateurs. L’ensemble peut vous paraître chronophage et c’est normal, faites-vous accompagner par un expert pour assurer votre transition vers les bonnes pratiques. C’est à cette condition que se construira une relation de confiance entre les utilisateurs et votre marque.

 


L'antisèche

  • L'instauration du Réglement Général sur la Protection de Données (RGPD) vise a contrôler la collecte et l'utilisation des données privées, en réponse à des abus de plus en plus fréquents et à des risques de vols eux aussi en augmentation. 
  • Toutes les entreprises collectant des données sur des citoyens européens sont concernées. Les amendes encourues en cas de manquement sont très élevées et disuasives à la fois pour les TPE-PME et pour les grands groupes internationaux.
  • Le règlement donne davantage de pouvoir à l'utilisateur qui est actif du consentement qu'il donne pour l'utilisation de ses informations personnelles. L'utilisation faite de ses données doit désormais être explicite et spécifique.
  • Pour les équipes marketing, l'application du RGPD implique de délivrer une meilleure information aux prospects et clients quant à l'usage qui est fait de leurs informations personnelles (mentions légales, cookies, formulaires, etc.). Il devient également nécessaire de mettre en place des process permettant de prouver la conformité de vos actions en cas de contrôle (export de votre base de données).

Rejoignez la discussion