Les 19 & 20 mars derniers, l’agence organisait deux sessions Insiders sur le thème : « RGPD, quels changements concrets pour le marketing ». Benoit Lebreton, juriste, nous y accompagnait. Ces sessions ont abouti à la création d’un support détaillé et illustré sur les évolutions à appliquer aux pratiques marketing dans les entreprises, suite à l’entrée en vigueur prochaine du RGPD.
Cet article est un résumé du support « RGPD, les 6 étapes concrètes pour le marketing et la communication », téléchargeable gratuitement à ce lien.
Avant d’entamer les évolutions concrètes à appliquer à vos pratiques marketing, rappelons un point essentiel. Seules les données personnelles, c’est à dire celles qui directement ou par regroupement permettent d’identifier un individu, sont concernées par le RGPD. Les données anonymisées ne sont pas soumises à réglementation.
Avant propos : RGPD et expérience client
Il y a deux façons d’aborder le RGPD. Soit, en considérant que le règlement est une source d’ennuis et une perte de temps. Soit, en estimant qu’il représente, au niveau du marketing, une chance d’améliorer l’expérience vécue par vos clients. Alternativement, vous pouvez également partager ces deux visions !
Dans tous les cas, garder l’approche “Expérience client” en tête ne peut être qu’un avantage. Et cela à deux égards :
- Parce que l’expérience client est un guide. En marketing, si le RGPD a un bénéfice, c’est certainement celui de mettre l’utilisateur au centre de la réflexion. Pour toutes vos activités marketing, basez-vous sur l’expérience que vous lui faîtes vivre.
- Pour vos performances long-terme. Sur le court terme, le RGPD fera grincer certaines dentitions. Sur le long terme en revanche, il est évident que les entreprises qui auront appliquées intelligemment la logique du RGPD verront leurs performances augmenter, comparativement à leurs concurrents.
Un rappel que vous pourrez toujours faire à vos collègues, en cas de besoin
RGPD, étape 1 : Cartographier les traitements et les registres des traitements
Le registre des traitements est un document, un fichier Excel par exemple, dans lequel devront être consignés :
- les finalités d’un traitement
- les mesures de sécurité techniques et organisationnelles
- les catégories de données personnelles concernées et les données sensibles
- les délais d’effacement des données
- le lieu où les données sont hébergées
- les destinataires de ces données (au sein et hors de l’UE)
Pour constituer ce registre, vous devez :
- lister l’ensemble de vos traitements (envoi de newsletters, ajout à une base de donnée…).
- les cartographier. Cette cartographie vous permet de qualifier un traitement.
- Regrouper les traitements par finalité.
- Remplir une fiche de registre, par finalité de traitement
- Regrouper les fiches pour constituer le registre des traitements
Si vous avez lu que le registre était limité aux entreprises de plus de 250 salariés, sachez que cette information est… fausse. Toutes les entreprises réalisant des traitements habituels de données (données clients, collaborateurs, fournisseurs…) sont concernées. Si vous lisez cet article, vous êtes donc très certainement concerné.
RGPD, étape 2 : Nettoyer les bases des données
Vous disposez très certainement de bases de données clients ou prospects. Dans le cas où vous disposeriez d’informations sans aucune trace de consentement donné par l’utilisateur, vous êtes dans l’obligation de mener des campagnes de régularisation (pour plus de précisions sur les critères de consentement, consultez la slide 9).
Le principe de ces campagnes est clair :
- Soit l’utilisateur vous donne son consentement, par mail exemple, pour être récepteur de votre démarche marketing. Dans ce cas, vous pouvez continuer cette démarche.
- Soit il ne répond pas à votre demande de consentement (ou la refuse). A partir du 25 mai, vous ne pourrez donc plus exercer la démarche souhaitée envers cet utilisateur.
Très probablement, le nettoyage des bases de données va faire grincer en interne de beaucoup d’entreprises. Est-ce pour autant une mauvaise nouvelle pour vos performances marketing ?
- Si l’on considère que ce nettoyage pourrait réactiver des contacts inactifs ou, au moins, de leur dire au revoir avec classe. Bonus non négligeable, vos coûts de stockage de mailing lists devraient automatiquement diminuer.
- Si vos performances dépendaient de pratiques push à destination de bases acquises « à la volée », ce nettoyage pourrait être problématique…
RGPD, étape 3 : Mettre en conformité vos formulaires
L’opt-in fonctionne sur la base d’un consentement préalable explicite de l’individu. Il est désormais obligatoire, en lieu et place de l’opt-out, que l’on trouvait encore (rarement) sur certains formulaires. Désormais, votre cible ne pourra plus recevoir un email commercial ou une newsletter s’il elle n’a indiqué son accord à cette finalité.
Dans le cas de propositions commerciales partenaires (entreprises tierces), il faut afficher deux cases distinctes :
- une pour pour obtenir le consentement de l’internaute concernant l’envoi de propositions commerciales propres à votre entreprise ou entité
- une deuxième case pour les “propositions commerciales de nos partenaires”, dans l’idéal en mentionnant ces partenaires
A noter que, si le double opt-in n’est pas encore obligatoire en France, il pourrait le devenir dans quelques temps. Ce parcours, dans lequel une personne donne par deux fois son accord, est déjà obligatoire en Allemagne, par exemple.
RGPD, étape 4 : Respecter les deux règles de l’emailing marketing
Mettre en conformité vos emailing/newsletters ne devrait pas être trop difficile. Deux règles simples sont à respecter :
- Règle 1 : Rappeler les raisons de l’envoi. Dans chaque mail, la raison pour laquelle la personne reçoit ce mail doit être explicitée. De nombreuses solutions d’emailing obligent déjà l’envoyeur à spécifier la raison de l’envoi du mail.
- Règle 2 : Permettre la désinscription. Il est nécessaire d’inclure un lien de désabonnement visible dans chaque email marketing où votre abonné peut :
- se désabonner de cette communication marketing,
- se désabonner de toutes vos communications
- contacter une adresse email de retour.
Dans un souci d’amélioration de l’expérience utilisateur (et donc de vos taux d’engagement), la désinscription personnalisée est recommandée (plus d’informations sur la désinscription personnalisée slide 29).
RGPD, étape 5 : Adapter votre politique de cookies
Les cookies regroupent l’ensemble des traceurs déposés et lus lors de la consultation d’un site internet, mail, installation/utilisation d’un logiciel ou application mobile quel que soit le type de terminal utilisé. Il existe donc une foule de cookies ! Bonne nouvelle cependant, seuls 3 types de cookies sont concernés par le consentement et seuls deux d’entre eux concernent le marketing, ceux :
- liés aux opérations de publicité ciblée
- de mesure d’audience
A savoir que la CNIL a publié une liste de conditions (disponibles sur cette page) permettant d’éviter de récupérer le consentement lors de l’installation de cookies de mesure d’audience. Il ne fait aucun doute que ces conditions sont trop strictes pour vous permettre de les éviter, puisque les éviter reviendrait (en résumé) à ne pas utiliser la mesure de l’audience.
Une nouvelle fois, deux règles simples sont à appliquer :
- Règle 1 : Informer l’utilisateur par un message succinct. Ce message doit mentionner :
- la finalité des cookies intégrés
- la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau
- le fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton ” rechercher “).
- Règle 2 : Créer une page dédiée “En savoir plus”. Cette page doit comporter l’ensemble des informations nécessaires à la compréhension, par l’utilisateur, des raisons d’utilisation de cookies sur votre site. Attention, vous devez absolument mentionner comment l’utilisateur peut refuser les cookies (voir l’exemple Rexel).
RGPD, étape 6 : Vous assurer de la conformité de vos prestataires
Avec le RGPD, vous êtes dans l’obligation de vous assurer que votre prestataire effectue les traitements correctement. En tout cas, lors d’une éventuelle inspection, vous devrez en apporter la preuve.
Aux yeux du RGPD, le sous-traitant est celui qui traite des données personnelles pour le compte d’un responsable de traitement. Il peut s’agir de prestataires de services informatiques (hébergement, maintenance…), de sociétés de sécurité informatique, SSII, agences de communication et de marketing qui traitent des données personnelles pour le compte de clients… Cela concerne les sous-traitants établis sur le territoire de l’UE mais aussi ceux non établis sur l’UE dont les activités de traitement concernent des offres de biens ou de services proposées à des personnes basées dans l’UE.
Le sous-traitant dispose d’une liste d’obligations que vous retrouverez sur le support de présentation. Dans tous les cas, les contrats de sous-traitance en cours d’exécution devront être modifiés pour intégrer les modifications du RGPD. En cas de doute, vous pouvez demander à vos prestataires de vous fournir les preuves de conformité, par mail afin de garder une trace écrite.
Pour aller plus loin, téléchargez le support de présentation « RGPD, les 6 étapes concrètes pour le marketing et la communication ».