Qui ?
Quentin Franque, responsable marketing de l'agence Intuiti (en photo) et Benoît Lebreton, Associé du cabinet de conseil en propriété intellectuelle Sparlann.
Quoi ?
Une tribune pour les retardataires du RGPD, extraite de la présentation "RGPD, 6 étapes concrètes pour le marketing et la communication".
Comment ?
Avertissement préalable : seules les données personnelles sont concernées par la réglementation RGPD. De fait, si les données exploitées ne permettent pas, directement ou par recoupement, d’identifier un individu, elles n’ont pas à respecter les règles que nous allons développer.
Etape 1 : cartographier les traitements et le registre des traitements
La première chose à faire est de s’occuper du registre des traitements, un document (un fichier Excel par exemple) dans lequel devront être consignés :
- les finalités d'un traitement,
- les mesures de sécurité techniques et organisationnelles,
- les catégories de données personnelles concernées et les données sensibles,
- les délais d'effacement des données,
- le lieu où les données sont hébergées,
- les destinataires de ces données (au sein et hors de l'UE).
Pour constituer ce registre, le responsable devra passer par plusieurs étapes :
1. lister l'ensemble des traitements,
2. les cartographier. Cette cartographie vous permet de qualifier un traitement,
3. Regrouper les traitements par finalité,
4. Remplir une fiche de registre, par finalité de traitement,
5. Regrouper les fiches pour constituer le registre des traitements.
Les entreprises demandent souvent à leurs directions marketing d’accompagner le responsable des traitements dans l’identification des traitements spécifiques au marketing (envoi de newsletters, ajout à une base de donnée…).
La constitution d’un registre des traitements ne concerne pas que les entreprises de plus de 250 salariés. Toutes les entreprises réalisant des traitements habituels de données (données clients, collaborateurs, fournisseurs...) sont concernées. Si vous lisez cet article, vous êtes donc concerné.
Etape 2 : nettoyer les bases des données
Encore peu nombreuses, les campagnes de régularisation devraient fleurir dans les prochaines semaines. Si votre entreprise ne dispose pas du consentement de l'individu à la démarche imposée et en dehors de quelques cas de dispense (emailing BtoB en rapport avec la profession de l'intéressé et mail d'information client B2C/B2B notamment), vous devez mener une campagne de régularisation.
Pour être valable, le consentement doit être :
- préalable à la collecte de données,
- nécessaire (pourquoi est-ce que je m’inscris ?),
- exercé lors d’un choix réel et libre (j’ai conscience de m’inscrire),
- facilement accessible ou retirable par l’internaute.
Mauvaise nouvelle pour vos performances marketing ? Très certainement, si votre usage de bases sans consentement aboutissait à des performances honorables. Beaucoup moins si ce nettoyage vous permet de réactiver des contacts inactifs (ou d'en laisser partir, avec classe).
Etape 3 : mettre en conformité vos formulaires
L'opt-in est désormais obligatoire, en lieu et place de l'opt-out, que l'on trouvait encore (rarement) sur certains formulaires. Désormais, votre cible ne pourra plus recevoir un email commercial ou une newsletter s'il elle n'a signifié son accord.
Dans le cas de propositions commerciales partenaires (entreprises tierces), il faudra afficher deux cases distinctes :
- une première, pour obtenir le consentement de l'internaute concernant l'envoi de propositions commerciales propres à votre entreprise ou entité,
- une deuxième case, pour les "propositions commerciales de nos partenaires", en mentionnant si possible ces partenaires.
Si le double opt-in n'est pas obligatoire en France, mais pourrait le devenir. Ce parcours, dans lequel une personne donne deux fois son accord, est déjà obligatoire en Allemagne, par exemple.
Etape 4 : respecter les deux règles de l'emailing marketing
Pour mettre en conformité vos emailings marketing, deux règles à respecter : les raisons de l'envoi et un lien de désabonnement. La raison pour laquelle la personne reçoit ce mail doit être explicitée. Il est également nécessaire d'inclure un lien de désabonnement visible où votre abonné peut :
- se désabonner de cette communication marketing,
- se désabonner de toutes vos communications,
- contacter une adresse email de retour.
Dans un souci d'amélioration de l'expérience utilisateur (et donc de vos taux d'engagement), la désinscription personnalisée est recommandée.
Etape 5 : adapter votre politique de cookies
Deux règles simples :
Règle 1 : Informer l'utilisateur par un message succinct. Ce message doit mentionner la finalité des cookies intégrés, la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau, et le fait que la poursuite de la navigation vaut accord au dépôt de cookies sur son terminal
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton " rechercher ").
Règle 2 : Créer une page dédiée "En savoir plus". Cette page doit comporter l'ensemble des informations nécessaires à la compréhension, par l'utilisateur, des raisons d'utilisation de cookies sur votre site. Attention, vous devez absolument mentionner comment l'utilisateur peut refuser les cookies (voir l'exemple Rexel).
Etape 6 : vous assurer de la conformité de vos prestataires
Avec le RGPD, vous êtes dans l'obligation de vous assurer que votre prestataire effectue les traitements correctement. Lors d'une éventuelle inspection, vous devrez en apporter la preuve.
Aux yeux du RGPD, le sous-traitant est celui qui traite des données personnelles pour le compte d'un responsable de traitement. Il peut s'agir de prestataires de services informatiques (hébergement, maintenance…), de sociétés de sécurité informatique, SSII, agences de communication et de marketing qui traitent des données personnelles pour le compte de clients… Cela concerne les sous-traitants établis sur le territoire de l'UE mais aussi ceux non établis sur l'UE dont les activités de traitement concernent des offres de biens ou de services proposées à des personnes basées dans l'UE.
Le sous-traitant dispose d'une liste d'obligations que vous retrouverez sur le support de présentation. Dans tous les cas, les contrats de sous-traitance en cours d'exécution devront être modifiés pour intégrer les modifications du RGPD. En cas de doute, vous pouvez demander à vos prestataires de vous fournir les preuves de conformité par mail, pour garder une trace écrite.
Il y a deux façons d'aborder le RGPD. En considérant que le règlement est une source d'ennuis et une perte de temps. Ou en estimant qu'il représente une chance d'améliorer l'expérience vécue par vos clients.
En effet, privilégier l'approche "Expérience client" s'avère bénéfique :
o l'expérience client est un guide. Le RGPD met l'utilisateur au centre de la réflexion. Pour toutes vos activités marketing, basez-vous sur l'expérience que vous lui faîtes vivre. Et votre marketing en sera régénéré.
o Pour vos performances. Sur le court terme, le RGPD fera grincer des dents. Sur le long terme en revanche, les entreprises qui auront appliqué intelligemment la logique du RGPD verront leurs performances augmenter, comparativement à leurs concurrents.
Quentin Franque, Benoît Lebreton
