RGPD : Les grands principes du règlement général sur la protection des données et les clés pour adapter sa stratégie marketing

L’accroissement des usages digitaux, combiné à l’évolution des comportements, a fait exploser le volume des données personnelles recueillies et exploitées par les organisations. Le marketing, en effet, est indissociable du traitement des informations à caractère personnel : les entreprises comptent sur ces données pour approfondir leur connaissance des audiences, cibler plus efficacement leurs prospects, et optimiser leurs processus de conversion et de fidélisation. Or la collecte et le traitement de ces données tombent sous le coup du règlement général sur la protection des données personnelles – le fameux RGPD. Entrées en vigueur en 2018, les obligations imposées par ce texte ont été étendues, en avril 2021, aux cookies et autres traceurs. Faisons le point sur les grands principes du RGPD et sur les bonnes pratiques à adopter pour déployer une stratégie marketing conforme.

Le règlement général sur la protection des données, c’est quoi ?

Mieux connu sous sa forme abrégée, RGPD (ou GDPR, en anglais, pour « General Data Protection Regulation »), le règlement général sur la protection des données personnelles est texte de loi européen qui donne un cadre à la collecte, au traitement et à l’exploitation des informations à caractère personnel au sein de l’Union. Ce texte, qui a pris le relais de la loi française Informatique et Libertés datée de 1978, est entré en vigueur le 25 mai 2018. Il vise principalement trois grands objectifs :

• Uniformiser les règles relatives à la protection des données personnelles et offrir un cadre juridique unique aux professionnels pour leur permettre de développer leurs activités numériques dans toute l’Europe.
• Renforcer le droit des personnes et redonner aux citoyens le contrôle de leurs données personnelles.
• Responsabiliser les entreprises et les sensibiliser à la sécurité des données dont elles sont responsables.

Le RGPD s’applique à toutes les sociétés, organisations et institutions implantées dans un pays membre de l’Union européenne qui collectent et/ou traitent des données personnelles, aux entités installées hors Europe qui exploitent les informations de résidents européens, ainsi qu’aux sous-traitants responsables du traitement des données pour le compte de leurs clients. Ainsi, une entreprise établie en France qui vend des marchandises au Japon est soumise au RGPD, tout comme une société argentine dont les clients sont résidents français. De même, si une entreprise utilise un logiciel de traitement des données (comme un CRM), l’éditeur dudit logiciel est considéré comme un sous-traitant coresponsable.

Le texte du RGPD a été traduit dans le droit national de chaque pays européen. Au niveau local, un organisme est en charge de son application : en France, il s’agit de la Commission nationale de l’informatique et des libertés (CNIL). Le règlement ayant un caractère contraignant, c’est aussi la CNIL qui prend en charge les sanctions : celles-ci ne sont pas anodines, puisque l’amende peut atteindre 4 % du chiffre d’affaires annuel de l’entreprise fautive.

Au-delà des pénalités encourues, les entreprises doivent aussi tenir compte des retombées négatives sur leur réputation, les consommateurs ayant de plus en plus conscience des risques liés à l’utilisation de leurs données. Ainsi, selon un sondage Ifop de novembre 2018 (quelques mois après l’entrée en vigueur du RGPD), 66 % des personnes interrogées se disaient plus sensibles à la question de la protection de leurs données qu’au cours des années précédentes. En 2021, une autre enquête, réalisée cette fois par Odoxa, a montré que 70 % des sondés sont préoccupés par les informations collectées par les sites web, et qu’ils sont autant à avoir le sentiment que leurs données sont mal protégées.

(SONDAGE ODOXA)

De quelles données personnelles parle-t-on ?

Le RGPD porte sur la protection des « données personnelles ». L’expression est suffisamment large pour créer la confusion : de quelles données parle-t-on ?

Le règlement donne des précisions : il s’agit des informations qui se rapportent à une personne physique et qui permettent son identification directe ou indirecte (les entreprises, marques et institutions ne sont donc pas concernées). À savoir : nom et prénom, adresse email, téléphone, numéros d’identification (comme, par exemple, un numéro client), identifiants de connexion, données comportementales, localisation, photo de visage, etc. L’identification peut être réalisée à l’aide d’une seule donnée (nom de famille, numéro de Sécurité sociale…) ou en croisant plusieurs informations indirectes (un homme, né tel jour, vivant à telle adresse, et travaillant pour telle société).

À cela, il faut ajouter les données dites « sensibles », qui touchent à l’identité physique ou physiologique, aux finances, aux opinions, aux croyances, à l’appartenance ethnique ou religieuse, à l’orientation sexuelle, aux infractions et condamnations pénales, etc. Le traitement de ces données nécessite de prendre des mesures de protection supplémentaire. C’est le cas, par exemple, pour les données bancaires ou pour les informations relatives à la santé.

En marketing, ces données personnelles sont utilisées par les entreprises pour lancer des actions de communication : campagnes publicitaires, acquisition physique ou digitale des prospects, suivi marketing (lead nurturing et lead scoring), retargeting, fidélisation, etc. Elles sont donc au cœur des préoccupations des organisations, qui doivent mettre en œuvre les moyens nécessaires à leur sécurisation et au respect des droits des personnes.

À quoi correspond le traitement des données personnelles ?

Allons plus loin. Ce qui est visé par le RGPD, c’est le traitement des données personnelles. Qu’est-ce que cela veut dire ? Par « traitement », on entend toute opération portant sur les informations fournies par les utilisateurs :

• la collecte,
• l’extraction,
• le stockage,
• la segmentation,
• la conservation,
• la modification,
• l’exploitation,
• la communication,
• la diffusion,
• le rapprochement,
• etc.

Concrètement, dans quelles circonstances êtes-vous amené(e) à traiter des informations personnelles ? Le simple fait de tenir un fichier client ou de gérer une base de données vous qualifie en tant que responsable du traitement. Lorsqu’un internaute remplit un formulaire sur une page web et qu’il laisse son nom, son prénom et son adresse email, ces informations sont intégrées au fichier client et font l’objet d’un traitement. Il est important de comprendre que ce processus n’est pas forcément informatisé : le RGPD s’applique tout autant au fait de conserver les données au format papier.

Autre point important à avoir en tête : le traitement des données est caractérisé par sa finalité. Cette finalité rejoint vos objectifs marketing ou commerciaux. De fait, on ne stocke pas des données personnelles pour le plaisir : chaque opération de traitement a une finalité, qui doit être communiquée aux utilisateurs.

Par exemple, l’identification d’une personne et sa localisation (nom, prénom, adresse postale) permet d’assurer la livraison du produit commandé et d’éditer une facture. Dans le cadre de l’inscription à une newsletter, la communication d’une adresse email a pour finalité la réception régulière d’un email d’information. Ces précisions doivent être indiquées clairement aux utilisateurs avant la collecte de leurs données.

Comment adapter sa stratégie marketing au RGPD ?

On l’a dit : la fonction marketing consomme d’importants volumes de données personnelles. Au sein des entreprises, les marketeurs ont donc fort à faire pour se conformer aux règles du RGPD. Quelles sont les bonnes pratiques à adopter pour se mettre en conformité avec le texte européen ?

Recueillir le consentement des personnes

La notion de consentement est l’un des piliers du RGPD. Le principe en est simple : l’entreprise qui collecte les données personnelles a l’obligation de s’assurer du consentement libre, spécifique, éclairé et univoque des utilisateurs qui les fournissent. En d’autres termes, ceux-ci doivent être d’accord pour vous livrer des informations à caractère personnel qui les concernent.

Ce consentement doit être recueilli dans des conditions qui garantissent sa validité, de sorte qu’il ne suffit pas de « dire » qu’on a respecté ce processus, mais qu’il faut pouvoir le « prouver ». En cas de contrôle de la CNIL, en effet, vous pouvez être amené(e) à démontrer que le consentement a été recueilli dans les règles. Pour cela, on emploie un système d’ « opt-in », le plus souvent sous la forme d’une case à cocher sur un formulaire en ligne. Par comparaison, autrefois, il suffisait d’afficher une case pré-cochée : la validation du formulaire valait consentement.

Pour une conformité absolue avec le RGPD, l’idéal est de mettre en place un système de « double opt-in », dit aussi de « consentement répété ». Si l’on reprend l’exemple du formulaire web, l’internaute coche la case ad hoc lors du remplissage, puis confirme son consentement en cliquant sur un lien dédié, inséré dans le mail qui lui est automatiquement envoyé dans la foulée.

Cette contrainte liée au consentement s’accompagne d’une clarification quant à la finalité du traitement des données. En marge du formulaire, un texte doit exprimer cette finalité de manière explicite et claire, de sorte que l’accord de l’utilisateur soit donné uniquement dans ce cadre précis.

Attention, car le règlement européen sur la protection des données est rétroactif : il s’applique aussi aux informations recueillies avant son entrée en vigueur. Ce qui veut dire que les données stockées antérieurement à mai 2018 doivent faire l’objet d’un processus de collecte du consentement pour pouvoir être exploitées en toute légalité.

Rationaliser le volume des données collectées

Une autre bonne pratique de conformité avec le RGPD consiste à limiter le nombre de données personnelles recueillies au strict nécessaire. Pour cela, il s’agit de se focaliser exclusivement sur les informations pertinentes au regard des finalités de traitement, par exemple le nom, le prénom et l’adresse mail pour l’envoi d’une newsletter, l’adresse postale et le numéro de téléphone pour une livraison, etc.

En revanche, collecter des renseignements au sujet du statut marital d’un prospect ou de son niveau d’études, en contrepartie du téléchargement d’un cas client B2B, ne semble pas pertinent.

Cette rationalisation du volume des données collectées revêt un autre avantage pour l’entreprise, puisqu’elle réduit les besoins en stockage et permet aux personnes concernées (marketeurs, commerciaux…) de retrouver plus facilement les informations recherchées dans le fichier client.

Respecter les durées admises pour la conservation des données

Le RGPD prévoit également d’indiquer la durée de conservation des informations recueillies, celles-ci ne pouvant pas être stockées de façon indéfinie. Bien qu’aucune durée ne soit fixée par le texte européen, les délais doivent être déterminés au cas par cas de manière rationnelle, en tenant compte de la finalité du traitement. L’idée étant qu’une fois l’objectif atteint, la conservation des données ne fait plus sens : on peut alors les supprimer, les archiver ou les anonymiser (afin d’en tirer des éléments statistiques, par exemple).

Pour la CNIL, la durée de conservation des données à caractère personnel ne doit pas excéder 3 ans à compter de la fin de la relation commerciale (pour un client) ou du dernier contact (pour un prospect).

Autres bonnes pratiques

Les trois points traités plus haut sont les plus importants, mais il existe quantité d’autres bonnes pratiques à adopter au regard du RGPD :

• La mise en œuvre d’un audit des processus de traitement des informations à caractère personnel, afin de s’assurer de leur conformité.
• La tenue d’un registre du traitement des données.
• La surveillance pointue des données transférées hors de l’Union européenne.
• L’intégration des concepts de « Privacy by Design » et de « Privacy by Default » dans les pratiques quotidiennes.
• La mise en place de procédures permettant aux utilisateurs de disposer pleinement de leurs droits sur leurs données : demande de modification, de transfert, de suppression, etc.
• Le contrôle du respect, par les sous-traitants, des dispositions du RGPD.

RGPD : les règles en matière de cookies et de traceurs

Les cookies – ces petits fichiers informatiques associés au navigateur de l’internaute, destinés à la collecte de données relatives aux pages visitées – font l’objet de débats enflammés sur la protection des données depuis plusieurs années. En effet, cette collecte mettant en jeu des informations à caractère personnel, il était naturel d’adapter la réglementation de façon à intégrer le traitement des cookies aux obligations des organisations : en 2018, ce processus s’est concrétisé par l’apparition du bandeau de consentement demandant aux utilisateurs de confirmer l’acceptation des cookies.

En avril 2021, de nouvelles règles sont venues renforcer les règles relatives à l’utilisation des cookies et autres traceurs. Les sites web et les applications mobiles ont ainsi l’obligation d’informer clairement les utilisateurs au sujet de la collecte de cookies et de la finalité de celle-ci. Comme le prévoit le RGPD, le consentement doit être exprimé de façon explicite, par un acte positif clair (le fait de cliquer sur un bouton « accepter les cookies »), et indépendamment pour chaque finalité. En outre, ce consentement doit pouvoir être retiré à tout moment.

La CNIL précise quels cookies sont soumis à l’obligation du recueil du consentement, et lesquels ne le sont pas :

• Y sont soumis : les cookies servant à des campagnes publicitaires, ainsi que les cookies des réseaux sociaux.
• En sont exclus : les traceurs qui conservent le choix des utilisateurs quant au dépôt de cookies, ceux qui servent à l’authentification auprès d’un service, ceux qui gardent en mémoire le contenu d’un panier d’achat, ceux qui sont dédiés à la mesure de l’audience (sous conditions), etc.

De sorte que vos campagnes marketing et publicitaires doivent tenir compte de ces obligations de consentement au regard des cookies et des traceurs, avec des conséquences sur la mesure des performances – les internautes n’ayant pas donné leur accord n’apparaissant pas dans les statistiques. Le RGPD a certes chamboulé les processus de traitement des données personnelles, et contraint les entreprises à se mettre en conformité, le texte européen n’a pourtant pas eu que des conséquences négatives. Au contraire, le RGPD pousse les organisations à rationaliser leur collecte d’informations, à nettoyer leur base de données, et à se montrer plus transparentes vis-à-vis de leurs utilisateurs. Un défi se profile, néanmoins : parvenir à offrir aux internautes toujours plus de personnalisation dans les échanges (comme ils en expriment le souhait) tout en respectant au plus près les obligations européennes, alors que les navigateurs ont déjà entamé des démarches pour éliminer tous les cookies tiers. Il sera intéressant de voir, à l’avenir, comment les pratiques marketing vont répondre à ce challenge !