Plus le mois de mai approche, plus le terme « RGPD » est sur toutes les bouches dans l’écosystème marketing. A la fois source de craintes et d’opportunités, le règlement entraîne un questionnement des entreprises sur leur rapport aux données personnelles.
Que se cache-t-il derrière cet acronyme ? Quels leviers seront les plus impactés ? Quelles opportunités commerciales ?
Afin d’y voir plus clair, nous profitons de l’arrivée du cabinet M13h au sein du Groupe Labelium (auquel Feed Manager appartient également) pour poser quelques questions à Mickaël Avoledo, directeur associé en charge de l’offre règlementation.
Le RGPD, qu’est-ce que c’est ?
On désigne par RGPD (GDPR en anglais) le Règlement Général sur la Protection des Données. Il s’agit d’un règlement européen qui s’appliquera à toutes les organisations qui, dans le cadre de leur activité, utilisent les données à caractère personnel d’individus résidant au sein de l’UE.
Quel est son but ?
Le législateur a trois grands objectifs avec ce texte :
- Uniformiser les règles de protection des données personnelles au niveau européen. S’agissant d’un règlement et non d’une directive, il est d’application immédiate et uniforme dans tous les pays membres
- Protéger davantage les données à caractère personnel des citoyens UE, et instaurer plus de transparence sur les modalités de collecte et de traitement de ces données par les entreprises
- Faciliter la libre circulation des données en contrepartie d’une responsabilisation des acteurs qui les traitent (ces derniers devront pouvoir prouver à tout moment leur conformité)
Quand va-t-il être appliqué ?
La date d’entrée en vigueur est fixée au 25 mai 2018. Selon une étude du cabinet EY publiée le 31 janvier dernier, seule la moitié des entreprises répondantes aurait déclaré être en conformité avec le RGPD. Il ne reste désormais à l’autre moitié plus que quelques semaines pour y remédier !
Cependant, le 25 mai ne sera pas une réelle date butoir. Les autorités ont bien conscience de l’ampleur de la tâche pour les entreprises et certains points pourront faire l’objet de « tolérances » dans un premier temps. La CNIL cherche avant tout à vérifier que des démarches sérieuses de mise en conformité ont été initiées et que certains principes clés du texte sont respectés.
Quelles sont les sanctions encourues ?
Les organisations ne se soumettant pas à ce règlement risquent une lourde amende : elle pourra atteindre soit 4% du chiffre d’affaires global, soit 20 millions d’euros, le montant le plus élevé étant retenu.
Qu’est-ce qui va changer ?
Outre l’importance accrue des sanctions, plusieurs points changent par rapport à la loi informatique et libertés actuellement en vigueur en France.
En termes de périmètre, le texte est d’application extraterritoriale : les entreprises hors UE qui traitent les données de citoyens européens sont concernées. Par ailleurs, les entreprises et leurs sous-traitants deviennent co-responsables du respect du texte.
L’approche change aussi. Premièrement, d’un système de déclaration préalable des traitements, on passe à une logique de « démontrabilité » (accountability) qui implique une documentation renforcée. Les entreprises devront ainsi par exemple formaliser leurs traitements au sein d’un registre des traitements, en indiquant la provenance, le lieu de stockage ou encore les parties tierces de l’organisation qui ont accès à ces données. Deuxièmement, le texte introduit la notion de « privacy by design » : les paramètres de confidentialité les plus stricts sont appliqués par défaut (fini l’opt-out par exemple) et seules les données strictement nécessaires aux finalités de traitement pourront être collectées (principe de minimisation).
Les droits des personnes sont aussi renforcés. En plus des droits d’accès et de modification, le texte introduit de nouveaux droits comme le droit à l’oubli, le droit à la portabilité, le droit d’opposition au profilage, … L’entreprise devra informer les personnes de ces droits avant la collecte.
Autre sujet d’importance pour les marketeurs, les bases légales de collecte de données. L’entreprise peut invoquer plusieurs bases pour justifier la collecte des données personnelles, comme l’intérêt légitime ou l’exécution du contrat. Mais la base la plus solide reste celle du consentement de l’utilisateur. Ce dernier devra être exprimé par un acte positif clair. Cette notion continue de faire débat à l’heure actuelle, notamment en ce qui concerne le consentement pour le dépôt et la collecte d’informations liées aux cookies, matière première pour alimenter le marketing digital.
Enfin, en termes d’organisation, un délégué à la protection des données – ou DPO pour Data Protection Officer – devra être désigné dans l’entreprise. Il devra veiller à l’usage et à la sécurité des données au sein de l’organisation. Il sera aussi l’intermédiaire privilégié pour échanger avec les parties prenantes autour de la gestion des données personnelles.
Quels leviers seront impactés ?
Pour commencer, tous les leviers de conquête pure de nouveaux clients et prospects devront être rigoureusement contrôlés. Si des fournisseurs externes de données sont utilisés (3rd party data, bases emails, …), il faudra vérifier que ces derniers ont collecté des consentements valides au sens du RGPD et l’exiger contractuellement.
Concernant le reciblage web, quel que soit le canal (search, display, social, …), le principal impact pourrait être le reach. Comme évoqué plus haut, plusieurs bases légales peuvent être utilisées pour le dépôt de cookies à des fins de ciblage publicitaire. La base retenue (intérêt légitime ou plus probablement le consentement) aura un impact important sur le reach du retargeting, tout comme les modalités de mise en œuvre du consentement s’il est retenu (notamment le fameux « acte positif clair » qui fait débat).
Enfin, l’emailing publicitaire et de fidélisation est également un levier en ligne de mire du règlement et sera particulièrement observé. L’opt-in est le mot d’ordre. Malgré que la pratique reste répandue aujourd’hui, il sera interdit de pré-cocher une case d’inscription à une liste de diffusion : c’est à l’internaute de faire activement cette démarche. Par ailleurs, les finalités devront être clairement séparées dans le recueil du consentement, entraînant potentiellement une multiplication des cases à cocher et la fin du mélange des genres avec un consentement « trop générique ». Enfin, les informations légales (listées dans les articles 13 & 14 du règlement) devront clairement apparaître au moment du recueil du consentement, et bien entendu, les liens de désabonnement (= « retrait du consentement ») devront perdurer dans les emails, voire devenir plus sophistiqués, en donnant accès à un véritable privacy center permettant de retirer le consentement par finalité.
Y-a-t-il des opportunités ?
Si le RGPD semble relativement contraignant, il présente plusieurs avantages pour les entreprises.
Si l’on devait en retenir deux :
- L’augmentation de la qualité globale de la donnée. Le RGPD amène en effet les organisations à ne collecter et conserver que ce qui est réellement nécessaire, ce qui leur permet de rester concentrées sur l’essentiel : la data réellement exploitable.
- Le développement de la confiance. Le règlement est une bonne occasion de favoriser la transparence pour susciter la confiance. Dans la même idée, les entreprises qui passeront d’un marketing « push » à une approche « pull » seront clairement avantagées par le règlement et les exigences qu’il fait porter sur le consentement, en plus de limiter le gâchis publicitaire sur des cibles faiblement engagées.
En conclusion, si le RGPD est d’abord perçu comme une nouvelle contrainte pour les marketeurs, il est une réelle source d’opportunités et mérite un questionnement stratégique sous deux axes : comment limiter l’impact sur mes opérations marketing tout en étant conforme ? Quel avantage concurrentiel tirer de la mise en conformité ?