Marketing et RGPD : 5 grands principes à respecter
Le Marketing à l’ère du digital est devenu indissociable du traitement de données à caractère personnel.
Les outils digitaux permettent une optimisation des leads en « leads intentionnistes » (ceux qui débouchent sur un acte d’achat) : grâce à la connaissance accrue de la cible – nombre et granularité des informations la concernant – il est possible de lui adresser le bon produit au bon moment.
Les informations collectées à l’égard d’une cible personne physique sont des données à caractère personnel au sens du Règlement Général sur la Protection des Données. Et l’utilisation de ces données par les outils du marketing digital, qu’il s’agisse d’opérations de collecte, d’organisation, de structuration, etc., constituent des traitements de données à caractère personnel soumis à la réglementation en matière de protection des données à caractère personnel.
Marketing & RGPD étant particulièrement liés de part la prédisposition de ce dernier à utiliser des données, les Directions Marketing se doivent de respecter un certain nombre de règles liées à la protection de données personnelles et tout particulièrement :
- recueillir le consentement des personnes concernées
- respecter le principe de minimisation
- gérer les durées de conservations
- gérer les demandes d’exercice des droits des personnes concernées
- respecter les principes de privacy by design et privacy by default
1. Respecter le consentement des personnes
Le consentement est l’une des six bases juridiques prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.
Le consentement est « une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement des données».
Les mises en demeure publiques Fidzup, Teemo, Singlespot et Vectaury prononcées par la CNIL au cours des derniers mois, de même que la décision du 21 janvier 2019 par laquelle Google LLC a été condamné à hauteur de 50 millions d’euros, visent des situations dans lesquelles les professionnels (Responsables de Traitements) ont omis de recueillir le consentement des personnes concernées.
Il s’agit d’un véritable enjeu pour les entreprises, qui risquent de lourdes sanctions et une dégradation de leur image.
Nota : pour info les mises en demeure ne sont pas des sanctions au sens strict. En savoir plus sur les sanctions.
Le consentement préalable des personnes physiques est requis pour certains types de traitements qui sont encadrés par des dispositions légales spécifiques, comme par exemple pour les opérations de prospection directe par voie électronique.
Les opérations de marketing ciblé, qui reposent sur l’analyse des traces de navigation sur internet, les cookies liés aux opérations de publicité ciblée, de mesures d’audience (sauf exception) et aux boutons de partage sur les réseaux sociaux sont, à ce jour, soumis au recueil du consentement.
L’opt-in
Le consentement des personnes doit être recueilli dans des conditions particulières assurant sa validité. On parle d’«opt in», parce qu’il s’agit généralement d’une case à cocher sur un formulaire en ligne. Et la transmission des données à des partenaires à des fins de prospection électronique suppose un double «opt-in» (l’«opt in» partenaire).
Dans certains cas il sera fait exception au principe du consentement préalable, à travers un «opt-out» (une case pré-cochée sur un formulaire en ligne).
La personne doit avoir la possibilité de retirer son consentement à tout moment et par des moyens simples. Il est recommandé d‘offrir systématiquement, dans chaque message, la possibilité de se désinscrire.
Marketing & RGPD : Les pratiques à proscrire
A ce jour il convient de proscrire les pratiques suivantes :
- l’acceptation de CGU pour la mise en place de cookies
- l’installation de cookies alors que l’internaute ne poursuit pas sa navigation
- l’absence de bandeau de recueil du consentement cookies sur le site web et une information des personnes via les CGU ou la politique de confidentialité
2. Appliquer le principe de minimisation
Le principe de minimisation impose que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Il s’agit d’un principe majeur à respecter par tous les marketeurs, notamment lorsqu’il est question de formulaire de collecte de données.
Exemple : collecter et conserver le statut marital d’un prospect en échange d’un livre blanc n’apparaît pas comme nécessaire afin de procéder à l’envoi dudit livre blanc. Il s’agirait donc d’une donnée à proscrire lors de la collecte.
3. Fixer des durées de conservation
Aucune durée n’a été fixée par les textes concernant les données collectées & utilisées à des fins marketing.
Néanmoins, il est communément admis que les données à caractère personnel peuvent être conservées 3 ans à compter de la fin de la relation commerciale pour un client, à compter du dernier contact pour ce qui est d’un prospect (il peut s’agir d’un lien hypertexte contenu dans un email par exemple)
Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques des responsables de traitement et/ou de leurs sous-traitants : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant déterminé la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).
Bonnes pratiques :
La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.
4. Répondre aux demandes des personnes concernées
Les personnes concernées disposent de droits afin de garder la maîtrise de leurs données. Le responsable du traitement doit notamment leur expliquer comment elles peuvent les exercer (auprès de quel service ? Sous quelle forme ? Etc.). l’objectif ici est d’assurer le respect des droits et libertés individuelles.
En cas de demande d’exercice de droits, le responsable de traitement dispose d’un mois pour traiter la demande.
Ces demandes peuvent prendre plusieurs formes pour les marketeurs.
Par exemple, en cas d’envoi d’email sur une base de prospect, le destinataire peut :
- demander à savoir avec précision quelle(s) donnée(s) l’entreprise possède le concernant
- demander la rectification des données si par exemple son nom est erroné en début de mail
- s’il n’est pas satisfait / ne veut plus recevoir d’email, demander simplement la suppression de ses données (effacement)
Découvrez l'ensemble des droits auxquels sont susceptibles de faire appel les prospects
Bonnes pratiques :
- Mettre en place un service dédiée pour traiter les demandes d’exercice de droit
- Informer le DPO lorsqu’il y en a un
- Surveiller les délais de réponses
5. Rendre ses démarches Privacy by Design & privacy by default
Avant de lancer la moindre campagne, ou quoi que ce soit d’autre impliquant le traitement de données à caractère personnel, il est important pour les services marketing de solliciter leur DPO et de bien réfléchir en amont du projet afin de :
- prendre en compte les aspects protection des données dès la conception de la campagne
- maintenir la conformité tout au long du cycle de vie de la campagne
- prendre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, les principes de la protection des données seront respectés
Par exemple, en cas de marketing géolocalisé, pour adresser de la publicité de manière ciblée localement, de nombreux aspects sont à prendre en compte avant même de penser à déployer le dispositif (sécurité des données, comment elles seront utilisées, quel impact leur traitement aura sur la vie privée des personnes concernées …).
Pour en savoir plus :
https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes
https://www.cnil.fr/fr/cnil-direct/question/opt-opt-out-ca-veut-dire-quoi
