gdpr-new-digital-age.png
Marketing et génération de leads

Démantèlement du RGPD à l'Ère du Digital

13 minutes de lecture · Listen

Le RGPD a accompagné un changement radical dans l'industrie du marketing digital. Il s'agit d'une réglementation absolue avec de profondes implications pour le marketing numérique au sein de l'UE. Dans ce blog, nos spécialistes présentent les implications les plus probables pour votre marketing dans cette nouvelle ère du digital et la meilleure façon de s'adapter aux nouvelles normes  

Au cours des deux dernières décennies, les données ont pris une valeur considérable par conséquent le rôle du gouvernement est d'assurer la protection des données personnelles. Des processus et des garanties ont été élaborés et améliorés pour assurer la protection des consommateurs avant l'arrivée du digital. A l'ère de la digitalisation, la protection des consommateurs est devenue le sujet sensible.  

Puis, le 14 avril 2016, l'UE a annoncé qu'elle avait adopté une réglementation pour protéger les données des consommateurs et leur vie privée. Le 25 mai 2018, la législation est entrée en vigueur dans tous les pays de l'UE et de l'EEE. Six ans plus tard, cela a généré une vague de protectionnisme des données dans d'autres régions du monde, notamment au Japon, en Argentine et en Corée du Sud.  

Dans ce blog, nous explorons le RGPD pour comprendre comment les professionnels du marketing peuvent affiner leurs stratégies pour débloquer de nouvelles opportunités. 

Démantèlement du RGPD à l'ère du digital

Le RGPD c’est quoi ?

Le RGPD, ou Règlement Général sur la Protection des Données, a été conçu par le Parlement européen dans le but de renforcer les droits individuels en matière de collecte et d’utilisation des données personnelles. Adopté en avril 2016 il entrera en vigueur le 25 mai 2018.

Dans quel but ?

Évolutions technologiques et mondialisation ont créé de nouvelles problématiques dans la protection des données à caractère personnel. Augmentation des volumes de collecte et de partage, accessibilité croissante des informations et technologies au service des entreprises ont facilité le flux des données à caractère personnel au sein de l’UE et vers des pays tiers.  

Aujourd’hui ces évolutions nécessitent de mettre en place un cadre de protection des données plus rigoureux et plus cohérent au sein des différents pays de l’UE. C’est dans cette volontée de garantir la sécurité juridique et pratique des individus qu’est née le RGPD. Ce règlement s’applique à toute société, organisme ou institution récoltant et manipulant des données à caractère personnel sur des individus résidants dans l’UE.  

Pour commencer à parler RGPD, il est essentiel de bien comprendre la notion de donnée personnelle :  

Le terme «données à caractère personnel» englobe toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.  

Ainsi le RGPD, englobe dans sa définition toute donnée se rapportant à un individu dans un sens large du terme. Il est cependant nécessaire de comprendre que chaque donnée “à caractère personnel” ne possède pas le même degré de sensibilité.  

Ainsi le règlement définit comme données sensibles toutes informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. Les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.

Quels sont les principes du RGPD ?

À l'instar de la plupart des autres textes législatifs, le RGPD est un document imposant. Constitué de 11 chapitres, 99 articles et 173 préambules, il s'étend sur 269 pages d'un jargon juridique soporifique. Il est tout à fait compréhensible qu'il soit difficile à lire de A à Z. Dans cette section, nous allons le décomposer en 7 piliers simples.

Légalité, équité et traitement transparent

Cette exigence fixe simplement les normes pour le traitement de toutes les données des consommateurs. La légalité et la justice sont incontournables ; autrement dit les données doivent être collectées dans le strict respect des règles du RGPD. En outre, le traitement doit être transparent. Cela oblige les entreprises à informer les clients concernant la manière dont leurs données sont traitées, et pourquoi.

Limitation de l'objectif

Depuis que l'économie digitale existe, on s'interroge sur la quantité de données des utilisateurs collectées par les entreprises et sur la manière dont ces données sont stockées. Par ailleurs, les violations de données étant plus fréquentes, les consommateurs sont devenus, à juste titre, inquiets.  

Le scandale tristement célèbre de Cambridge Analytica a montré à quel point des données apparemment inoffensives pouvaient se transformer en véritables armes. Pour éviter l'utilisation abusive ou malveillante potentielle des données, ce pilier de la réglementation RGPD exige que les entreprises limitent l'utilisation des données des consommateurs uniquement aux fins pour lesquelles elles ont informé les clients. Elle exige également que seuls les ensembles de données spécifiques nécessaires à cette finalité soient collectés, et qu'ils soient supprimés une fois cette finalité atteinte.

Droits des personnes concernées

Outre les restrictions générales imposées sur la manière dont les données peuvent être collectées, utilisées et stockées, les règles du RGPD accordent en outre aux personnes concernées le droit de contrôler leurs données. Il y a 8 droits fondamentaux, accordés aux clients, dans cette section.

  • Droit de demander des informations à l'entreprise.
  • Droit d'accès à ses propres données.
  • Droit de rectification des données personnelles.
  • Droit de retrait de son consentement.
  • Droit d'opposition au traitement des données personnelles.
  • Droit d'opposition au traitement automatisé.
  • Droit de suppression des données personnelles.
  • Droit de demander le transfert des données personnelles.

Consentement explicite

La loi exige que les entreprises obtiennent un consentement explicite avant de collecter et de traiter des données. De plus, si les données collectées doivent être utilisées à des fins autres que celles pour lesquelles elles ont été collectées, un nouveau consentement doit être demandé aux personnes concernées.

Violations des données personnelles

Lorsque des violations se produisent, la réglementation oblige les entreprises à les enregistrer dans un registre des violations de données. Et ensuite, le cas échéant, dans les 72 heures, en informer à la fois les régulateurs et les personnes concernées, afin que les deux parties puissent prendre les mesures appropriées avant que cela ne cause beaucoup de dommages. La pertinence est déterminée par le fait qu'il existe un risque pour les droits et libertés des personnes libres ; autrement dit, le traitement pourrait avoir les conséquences suivantes :

  • Discrimination
  • Usurpation d'identité ou fraude
  • Perte financière
  • Atteinte à la réputation
  • Perte de confidentialité des données personnelles protégées par le secret professionnel
  • Tout autre préjudice économique ou social important

Délégué à la protection des données

Pour les entreprises qui traitent d'importants volumes de données sur les consommateurs, la loi les oblige à nommer des délégués à la protection des données, dont la mission consisterait à faire respecter le RGPD. À l'instar des entreprises de l'économie physique disposant de services de la conformité dirigés par des avocats pour garantir le respect des règles du secteur.

Formation et sensibilisation continues du personnel

Enfin, les entreprises sont mandatées pour former leur personnel en matière de RGPD. Pour veiller à ce que chacun soit pleinement informé de la législation et de la manière d'agir conformément à celle-ci.

Quelles sont les nouveautés du RGPD ?

Une des volontés forte du RGPD est la responsabilisation des entreprises concernées avec un double enjeu de traçabilité et de transparence, essentiels à la confiance. Le principe “d’accountability” oblige l’entreprise à garantir, à tout moment, que les processus en place sont conformes, sécurisés et garantissent la confidentialité des données dès la conception de tout projet (Privacy by design) et ce par défaut (Privacy by default).  

Les entreprises devront maintenant tenir un “registre des traitements des données” où sera recensé et consigné chaque traitement de données personnelles au sein de l’entreprise. Vous devrez ainsi repenser tous vos processus pour être à chaque instant en mesure de prouver votre conformité !  

Le règlement décline les nouvelles obligations des entreprises au travers de plusieurs grands principes à mettre en oeuvre pour être en conformité !

Légitimité !

Les données personnelles ne peuvent être obtenues que pour des “finalités déterminées, explicites et légitimes” (article 5.1.b). L’entreprise doit ainsi informer l’individu de la raison de sa collecte en explicitant les finalités d'utilisation et en les respectant. Elle doit aussi garantir de minimiser les données récoltées au minimum nécessaire pour répondre à la finalité énoncée et indiquer de manière explicite les durées de conservation des données dans ses bases.

Licéité et transparence !

Finit le consentement tacite, les individus doivent systématiquement pouvoir donner leur accord ou refuser l’utilisation de leurs données. L’individu devra donner son consentement (article 7) explicite à l’utilisation desdites données (plus de cases précochées …).  

Pour toute donnée collectée, l’individu devra être en mesure d’appliquer son droit à l’oubli (destruction ou anonymisation des données, article 17) et son droit à la portabilité (export des données sous un format intelligible, article 20) quand il le souhaite.

Sécurité et respect de la vie privée !

En cas de violation de la vie privée, vol ou perte de données, les entreprises ont 72h pour notifier la CNIL. Tout responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles pour garantir la confidentialité des données, leur intégrité et leur disponibilité dans des délais appropriés.  

La notion d’évaluation du risque devient une pièce centrale de sa stratégie RGPD et implique une réelle remise en question des traitements à chaque niveau organisationnel. 

Quels sont les impacts du RGPD sur les entreprises ?

Vous l’avez bien compris, le RGPD va demander aux entreprises une remise en question profonde des processus de traitement des données. La gouvernance est l’enjeu réel pour chaque entreprise concernée. Il s’agit d’intégrer à son organisation les notions de “Privacy by design” et “privacy by default”.  

Il faut repenser ses processus à l’échelle de chaque collaborateur pour sensibiliser chacun dans la gestion des données personnelles. On parle ici d’une refonte des processus métiers autours des grands principes énoncés (Guide: “Se préparer en 6 étapes”, CNIL).

Responsable de traitement et DPO (article 37)

Une des premières actions à mettre en œuvre pour chaque entreprise va être de désigner un responsable de traitement et un DPO (Data Protection Officer). Le responsable de traitement est le garant dans l’entreprise que les mesures techniques et organisationnelles ont été mises en œuvre pour effectuer des traitements en conformité. La désignation d’un DPO est nécessaire lorsque :

  • le traitement est effectué par une autorité ou un organisme public,
  • l’activité de l’entreprise la conduit à effectuer un suivi régulier et systématique des personnes à grande échelle,
  • leur activité de base les amène à traiter à grande échelle des données sensibles, ou qui ont trait à des condamnations ou infractions pénales.

Le DPO est le “chef d’orchestre” qui accompagne chaque collaborateur de l’entreprise à travers des missions de conseil et d’assistance, c’est lui qui s’informe sur les nouvelles obligations. Le DPO doit être indépendant et ne surtout pas être placé en situation de conflit d'intérêt.

Sous-traitance

Tout prestataire de services informatiques, intégrateur de logiciel, société de sécurité informatique, SSII, ou encore société de marketing / communication traitant des données personnelles pour le compte de ses clients est considéré comme un sous-traitant au regard du RGPD.  

Ces derniers sont tenus d’appliquer les principes de sécurité et de protection des données dès la conception de leur service / produit et de mettre en place les mesures de garantie correspondantes.  

Il est important que chaque entreprise consulte ses partenaires (sous-traitants) pour se tenir au fait de leur conformité. En cas de contrôle une co-responsabilité peut en effet être engagée s’il s’avère que le règlement n’est pas respecté.

Gestion du risque

La mise en conformité implique une réelle réflexion des processus existant pour chaque entreprise. Un moyen efficace d’auditer son organisation est de réaliser une analyse d’impact sur la protection des données (PIA). Cette étude va vous permettre de vérifier le respect des principes et droits fondamentaux édités par le règlement, de même que de déterminer les mesures techniques et d’organisation appropriés.

Comment le RGPD concerne les professionnels du marketing digital

Pour les entreprises du secteur du marketing digital, la mise en œuvre du RGPD a été un moment décisif qui a changé à jamais la façon de mener des affaires.  

Peu importe que votre entreprise soit enregistrée à Tuvalu ou quelque part en Afrique, la loi vous oblige à respecter ses exigences dans vos relations avec les membres de l'Union européenne de votre audience. Alors, comment le RGPD concerne-t-il les professionnels du marketing ? 

RGPD dans la nouvelle ere digitale

Une audience en ligne réduite

Un inconvénient majeur de la réglementation pour les professionnels du marketing? Le consentement doit désormais être obtenu explicitement des consommateurs avant de pouvoir suivre, collecter ou utiliser leurs données sous quelque forme que ce soit. Naturellement, cela conduit à une réduction significative de la taille des audiences en ligne.

Augmentation obligatoire des investissements dans la protection des données

Auparavant, la norme consistait à stocker les informations des consommateurs dans le cloud, grâce aux choix de stockage relativement illimités proposés par les fournisseurs de services cloud. Mais, en vertu de cette loi, les entreprises sont tenues d'investir davantage dans la protection des données, notamment en employant des délégués à la protection des données, en formant et en recyclant le personnel existant. Plus important encore, les entreprises sont tenues d'intégrer des mécanismes pour assurer la « vie privée dès la conception ».

Restrictions de la liste de diffusion

Puisque la loi exige désormais que le consentement soit obtenu pour chaque objectif, il n'est plus possible d'acheter des listes de diffusion ou simplement de les transférer à d'autres fins. Les utilisateurs doivent explicitement s'inscrire pour recevoir des e-mails. Et les utilisateurs qui se désengagent doivent être supprimés des listes de diffusion.

L'automatisation est entravée

L'automatisation est devenue un peu le fondement du marketing digital moderne. Avec plusieurs points de données sur chaque personne concernée, les entreprises peuvent générer automatiquement du contenu publicitaire pour cibler et obtenir les meilleurs ROI possibles.  

Cependant, le RGPD limitant la quantité de données pouvant être collectées et ce qui peut en être fait, le pool de données disponible pour les logiciels d'automatisation sera limité.

Comment surmonter les enjeux liés au marketing B2B posés par le RGPD

Les restrictions imposées par le RGPD s'accompagnent évidemment de graves enjeux en matière de marketing B2B. Mais les professionnels du marketing digital ne peuvent pas simplement déclarer forfait. Au lieu de cela, ils peuvent se remettre sur les rails avec une pile technologique optimisée pour le RGPD ainsi qu'avec le bon jeu de ressources.  

Même si les limitations de consentement et les listes de diffusion réduites pourraient être synonymes d'un marketing axé sur des audiences beaucoup plus restreintes pour les entreprises, tout n'est pas aussi sombre. Même si, bien sûr, le volume est une bonne chose, la qualité attire davantage la conversion que la quantité.  

De la même manière que les prospects ayant consenti au suivi de leurs données sont plus susceptibles de se convertir que ceux qui n'ont pas donné leur consentement, au lieu d'une liste d'abonnés saturée avec de faibles taux d'ouverture et de clics, une liste de diffusion post-RGPD aurait probablement plus d'abonnés réceptif aux efforts de vente. Les entreprises doivent tirer le meilleur parti de cette opportunité en affinant davantage leur stratégie marketing.  

Une autre chose tout aussi importante que la taille de votre audience : le logiciel que vous utilisez pour la gérer. Déjà, on enregistre plus de 1 000 amendes ; la plus élevée à ce jour étant 746 millions d'euros accordés à Amazon par le Luxembourg. Il est prudent de dire qu'une partie importante de ces violations n'étaient pas délibérées, mais plutôt en raison d'un manque de systèmes et d'une pile technologique pas encore optimisée pour l'approche du RGPD.  

C'est pourquoi il reste crucial pour les professionnels du marketing digital d'examiner immédiatement leurs options et de trouver des fournisseurs de solutions marketing capables de gérer au mieux ces réglementations. efficy CRM, par exemple, a perfectionné la sécurité des données CRM et la rationalisation des processus marketing conformément à la réglementation, aidant ainsi nos clients à éviter de lourdes amendes RGPD.

Remettez-vous sur les rails avec efficy CRM

Le RGPD, tout en ouvrant de nouvelles frontières passionnantes en matière de confidentialité des utilisateurs et de contrôle des données en ligne, a considérablement modifié la façon dont les professionnels du marketing digital travaillent. Mais tout n'est pas perdu ; avec les bonnes ressources, les professionnels du marketing peuvent générer un ROI encore plus élevé sur leurs dépenses marketing dans cette approche.  

Notre manuel d'e-mail marketing est un guide complet, regorgeant de conseils importants dédiés aux professionnels du marketing, en parallèle aux questions liées à la conformité au RGPD. Chez efficy CRM, nous avons accumulé des années d'expérience dans la fourniture de fonctionnalités de base de données et de solutions marketing à notre clientèle nombreuse.  

Réservez une démonstration gratuite aujourd'hui pour participer à l'expérience !