RGPD et marketing : des règles renforcées

Par Marc Husquinet  - 5 avril 2018 à 14:04 | 270 vues

L’entrée en vigueur, le 25 mai prochain, du nouveau Règlement Général sur la Protection des Données (RGPD) exigera de la part des marketeurs une rigueur plus grande (encore) dans le traitement d’informations relatives aux consommateurs. Êtes-vous prêt ?

Au 25 mai prochain en effet, plus question pour une entreprise – et son département marketing notamment – de collecter et d’exploiter en toute impunité ou presque les données personnelles de consommateurs. En pratique, la nouvelle législation impose aux organisations à la fois la mise en place de dispositions nouvelles ainsi que le renforcement de mesures déjà existantes. En effet, les entreprises étaient déjà tenues, dans le cadre de la loi de décembre 1992 relative à la protection de la vie privée, de respecter plusieurs principes relatifs au traitement de données à caractère personnel.

 

Nouveautés

Fanny Coton

Le premier changement concerne ces deux catégories de marketeurs. Il ne sera plus question d’enregistrer automatiquement l’e-mail d’un prospect par un opt-in passif, c’est-à-dire après avoir obtenu son consentement à recevoir des offres en pré-cochant par exemple une case « Je souhaite recevoir… ». Désormais, cette pratique sera interdite : il faudra un acte positif du consommateur, par exemple en cochant lui-même cette case, et ce consommateur pourra malgré tout retirer son accord par la suite. Il s’agit en quelque sorte d’un double opt-in, à savoir l’obligation d’obtenir d’abord le consentement du contact avant de l’enregistrer, et de permettre ensuite de façon visible au destinataire du mail de se désabonner de la campagne marketing ou de communication. En outre, l’entreprise devra stocker les preuves des consentements obtenus. L’entreprise devra également mettre en place une démarche de totale transparence, en indiquant clairement dans sa communication les détails de sa politique de respect des données privées et de confidentialité.

L’autre impact majeur du RGPD concerne le profilage, une pratique bien connue dans le monde du marketing et qui consiste à enrichir une base de données de contacts par le biais de croisements, puis de la segmenter en fonction de critères précis pour envoyer des e-mails automatisés avec du contenu personnalisé. Le RGPD vise maintenant spécifiquement les activités de profilage. Ce point concerne surtout les marketeurs professionnels, qui agissent en sous-traitance pour d’autres entreprises. Cela étant, les entreprises qui font appel à ce type de services de marketing devront être attentives lors du choix du prestataire, car elles seront responsables des actes posés par celui-ci. Les activités de profilage entraînent désormais l’obligation de désigner un délégué à la protection des données et de procéder à une analyse d’impact, pour vérifier si ce que l’entreprise fait est raisonnable et si ses procédures ne créent pas un risque démesuré. La CNIL française propose un outil permettant d’effectuer cette analyse d’impact, qui reste malgré tout assez complexe et fastidieuse.

 

Comment se conformer ?

Le non-respect du RGPD s’accompagne de sanctions sévères : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel global de l’entreprise (ou du groupe mondial dont elle fait partie) si ce chiffre est plus élevé. Précisons que ces sanctions seront désormais décidées par une Autorité de Protection des Données (l’ex-Commission Vie Privée), dont ce sera la mission totale et entière, et non plus par le procureur du Roi, ce qui augmentera le nombre de sanctions infligées et accélérera les procédures, tandis que l’entreprise sera tenue de d’abord payer l’amende avant de pouvoir introduire un recours contre celle-ci.

Mais quid de l’entreprise qui ne serait pas (encore) conforme ? « Sans doute toutes les entreprises ne seront-elles pas prêtes », note encore Fanny Coton. « Dans ce cas, il sera important de pouvoir prouver que des mesures ont malgré tout déjà été prises. Puisqu’un nombre croissant de consommateurs sont sensibilisés à la problématique de la protection de leurs données personnelles, d’aucuns pourraient être tentés de porter plainte, ce qui induira un contrôle de l’Autorité de Protection des Données. »

Le RGPD nécessitera donc de revoir l’ensemble des bases de données qu’exploite l’entreprise, en analysant la façon dont ont été obtenues les informations qu’elles renferment, puis en demandant l’accord exprès des consommateurs pour lesquels l’entreprise ne dispose pas encore de ce consentement. Après quoi, il conviendra de la nettoyer en effaçant les données non-autorisées.

Jean-François Henrotte

Cela dit, Jean-François Henrotte, associé au sein du cabinet d’avocats Lexing Belgium, insiste sur le fait qu’au-delà de l’impact financier que peut représenter une mise en conformité (d’autant qu’il n’existe que peu d’outils automatisés de nettoyage des bases de données), « le fait pour un consommateur de recevoir un mail ‘non-autorisé’ ne grandit pas l’image de l’entreprise qui l’envoie. En outre, ce RGPD est l’occasion de remettre à plat l’ensemble de ses fichiers et de repartir sur de bonnes bases, en visant une clientèle intéressée. »

Bref, puisque toute entreprise sera de toute façon obligée de se conformer au RGPD, autant essayer d’y voir davantage une opportunité d’améliorer l’effectivité de ses démarches vis-à-vis des consommateurs et d’améliorer son image de marque, de même que de mettre en place des procédures susceptibles d’offrir des gains de productivité…

 

Les précisions de la BAM

Pour renforcer les droits fondamentaux du citoyen, la responsabilité dans le traitement des données n’incombe plus seulement au responsable des traitements, comme dans la directive actuelle, mais également au sous-traitant qui agit pour le compte de ce responsable. Un changement crucial par lequel le RGPD impose, pour la première fois à l’échelle de l’UE, des obligations directes à ce sous-traitant, qu’il s’agisse d’un sous-traitant local ou d’un fournisseur de services de cloud computing.

Par ailleurs, les responsables du traitement ne peuvent nommer que des sous-traitants qui fournissent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées, afin de garantir que le traitement répond aux exigences du RGPD. En outre, les sous-traitants sont tenus de traiter les données personnelles conformément aux instructions du responsable du traitement. De même, ils sont tenus de mettre en place des mesures de sécurité appropriées, qui doivent être évaluées en fonction de divers facteurs, comme la sensibilité des données, les risques pour les personnes concernées par une atteinte à la sécurité, les coûts de la mise en œuvre et la nature du traitement. Des tests réguliers de l’efficacité de toute mesure de sécurité sont également nécessaires, le cas échéant. Le tout doit être verrouillé par des contrats.

Enfin, les personnes concernées par le traitement peuvent faire maintenant valoir leurs droits directement, également contre les sous-traitants, et le nouveau régime prévoit des sanctions.

Partager