RGPD et Marketing Direct : 5 fondamentaux à respecter

Les marketeurs vont être directement impactés par le Règlement sur la Protection des données (RGPD ou GDPR) applicable en mai 2018. Quels changements dans la collecte et le traitement des données ? Quelles précautions prendre pour les actions de marketing direct?
DataGalaxy, 1ère plateforme agile de cartographie de données a relevé cinq informations essentielles pour les marketeurs

Toutes les entreprises qui traitent les données personnelles de ressortissants européens doivent se mettre en conformité avec le RGPD pour mai 2018.

1 – Définir les données personnelles

Dès qu’une donnée – on line ou off line – permet d’identifier directement ou indirectement par recoupement une personne physique, elle est considérée comme personnelle. Il s’agit des données basiques comme une adresse e-mail ou postale, ou des données avancées comme par exemple :
– Une adresse IP, des coordonnées GPS …
– Les cookies first et third party
– Numéro de sécurité sociale…

2 – E-mail, newsletters, cookies… place au consentement explicite

Tout individu doit désormais signifier son consentement explicite pour chaque donnée collectée. Pour chacune d’elles, il faudra :
– Obtenir une acceptation claire résultant d’un acte positif de la personne
– Mentionner l’indication de sa finalité
– Indiquer sa durée de conservation
– Préciser quels en sont les destinataires

Cela signifie la fin des cases cochées par défaut sur les formulaires : ils devront tous comporter des cases à cocher dites :
– D’opt-in pour que l’internaute signifie son consentement à l’utilisation de ses données
– D’opt-out pour lui permettre d’y mettre un terme

Concrètement tout envoi de mailing, newletters, courriers, propositions commerciales …. devra être accepté en amont par le consommateur.

Il devra également pouvoir choisir d’activer totalement ou partiellement la quasi-totalité des cookies : publicitaires, ceux utilisés à des fins de ciblage et une partie de ceux servant aux analyses web.

3 – Des fichiers soumis à l’obligation de recenser uniquement les données nécessaires

Une donnée est collectée pour un usage défini. Elle doit servir un intérêt marketing légitime, être nécessaire à l’activité de l’entreprise et en rapport avec les services.
La géolocalisation l’est par exemple pour une société de VTC ou de livraison de plats cuisinés mais pas pour une application de e-learning ou un site de cuisine.

Une appli de coaching n’a pas besoin de vous demander d’accéder à votre liste de contacts pour être téléchargée : il n’y a aucun rapport entre donner des conseils sportifs et votre répertoire téléphonique.

4 – Cartographier les données pour justifier de leur conformité

GDPR établit clairement que les données sont la propriété des citoyens. Avec leur consentement, elles sont juste « prêtées » aux entreprises.

La CNIL impose dans son article 10 de cartographier les données personnelles. L’objectif est de pouvoir les identifier et les localiser afin d’établir un registre pour s’assurer notamment :
– Qu’une personne a bien donné son consentement explicite pour chacune des données recueillies
– Que ses demandes de droit à l’effacement ou à l’oubli sont bien notifiées ce qui inclut également toutes celles concernant son opposition au profilage. Cela permet également de garantir que la personne ne sera pas recontactée ultérieurement
– Que la durée de conservation associée à chaque information est bien respectée
– Que la source de la collecte soit mentionnée (suite à un salon, un e-mailing, une visite sur un site…)

Cela implique la fin des répertoires et autres fichiers excel individuels détenus par les marketeurs. Quand un internaute retire son consentement, il est en effet très compliqué de s’assurer de l’avoir bien supprimé de tous les fichiers.

Les entreprises devront également vérifier que le droit à la portabilité est respecté. Toute personne qui en fait la demande doit recevoir ses données dans un format structuré couramment utilisé et lisible par un autre organisme.

5 – Le profilage : légal sous condition

Le profilage à des fins marketing reste légal, mais sous certaines conditions :
– L’entreprise doit informer l’internaute qu’elle traite des données issues de son comportement
– Ce dernier doit l’accepter explicitement
– Le profilage doit cesser dès qu’il en fait la demande
– Toutes ces demandes d’opposition doivent être consignées dans un registre.

Si la mise en conformité avec GDPR peut apparaître contraignante, elle va permettre aux entreprises qui la respecte d’afficher une plus grande transparence envers les consommateurs et donc de renforcer ou regagner leur confiance.

 

Vous souhaitez-avoir plus d'informations ?

Contactez-nous