03 Mai Comment adapter votre stratégie marketing au RGPD ?
Vous avez entendu de nombreuses fois parler du Règlement Général des Données Personnelles (RGPD), mais vous avez préféré attendre le dernier moment pour vous y mettre ? 1ère chose : ne pas paniquer !
Maintenant, nous allons pouvoir commencer : La date d’entrée en application de ce fameux règlement est le 25/05/18.
Vous avez aussi sûrement entendu parler des amendes exorbitantes prévues par ce Règlement (jusqu’à 4% du chiffre d’affaires, rien que ça !), avec des sanctions encadrées et renforcées par rapport à la Loi Informatique et libertés, qui montre que les institutions européennes et les autorités françaises ont décidé de prendre la question des données personnelles sur internet très au sérieux.
Le RGPD va chambouler bon nombre de règles concernant l’email et l’automation marketing, la participation à des jeux concours, les formulaires d’inscription, la politique sur la gestion des cookies, et bien d’autres encore. Il va donc falloir se retrousser les manches si vous n’avez toujours pas commencé ce travail d’adaptation !
Ce règlement est complexe à décoder, notamment pour les entreprises n’ayant pas de service juridique propre pour les guider. Cette tâche peut donc s’avérer délicate à mettre en place, tant les obligations prévues par ce Règlement peuvent sembler floues.
En effet, si ce texte a pour but de couvrir un maximum de problématiques, il en résulte que sa rédaction ne parait pas très claire au premier abord.
Chez MindFruits, en collaboration avec des juristes spécialisés, nous avons pris cette problématique à bras-le-corps pour vous permettre d’adapter votre marketing avant la date fatidique. En effet, les expertises à la fois juridiques et marketing sont primordiales pour pouvoir interpréter ce règlement européen, et ses conséquences pratiques dans le monde de l’entreprise.
Nous allons, dans la suite de cet article, vous donner des clés pour réussir votre adaptation au RGPD. N’hésitez pas à nous contacter pour bénéficier d’un coaching ou d’un audit personnalisé.
Sommaire
Etes-vous concerné par le RGPD ?
Le RGPD régit toutes les entreprises ayant un établissement dans l’Union Européenne, et toutes les entreprises établies hors UE qui proposent des biens ou services visant des personnes qui se trouvent sur le territoire de l’UE.
Il n’y a donc pas de critère de taille d’entreprise, de volume de contacts traités ou de secteur d’activité : toute entreprise qui vise le territoire européen et qui effectue des traitements de données à caractère personnelles sont concernées.
NB : Un allègement est prévu pour les PME, plus précisément pour les entreprises de moins de 250 salariés. En effet, pour celles-ci, la tenue d’un registre de données de traitement n’est pas obligatoire (sauf si le traitement porte sur des données sensibles).
Que comprennent les « données personnelles » ? L’adresse IP est-elle une donnée personnelle ?
Est entendu comme « donnée personnelle » tout ce qui peut révéler un aspect de l’identité d’une personne, comme les éléments suivants (liste non exhaustive) :
- Noms
- Adresses email
- Photos
- Adresses physiques
- Adresses IP
- Numéros de téléphone
- Âge
- Centres d’intérêt
À savoir que ne sont pas concernées les adresses email génériques, comme contact@société.com par exemple.
Comment peut-on utiliser des données personnelles ?
Pour pouvoir utiliser les données personnelles mentionnées ci-dessus, il faut pour cela qu’elles aient été obtenues par une information complète de l’internaute, un consentement explicite de sa part, et seulement si ces données sont nécessaires pour le but défini.
Par exemple, si vous demandez à l’internaute son adresse physique alors qu’il s’agit seulement de lui envoyer une newsletter, on considérera que cette donnée personnelle a été obtenue de manière illégale car non nécessaire. Il faut donc demander à l’internaute seulement les données personnelles indispensables au traitement de l’opération voulue.
Il demeure une exception à ce principe de consentement explicite, concernant le marketing B2B : il n’y a pas besoin du consentement explicite pour la prospection commerciale et la fidélisation quand celles-ci concernent des professionnels.
Cela s’explique par le fait que les atteintes à la vie privée sont considérées comme moindre comparées à celles potentielles en B2C. Cependant, il faut toujours respecter, même dans le contexte B2B l’information préalable et le droit d’opposition de l’internaute.
Ai-je mis à jour mes formulaires d’inscription ?
Et oui ! Fini le temps où l’on pouvait demander à l’internaute son adresse email pour lui envoyer toute sorte d’emails sans lui expliquer pourquoi cette adresse était utilisée. Désormais, il va falloir détailler les finalités, et demander son consentement à l’internaute pour chaque finalité pour laquelle vous souhaiter lui envoyer vos offres. Il va falloir faire ceci aussi bien pour les inscriptions aux newsletters que pour les créations de compte, et tout autre formulaire par lequel vous souhaitez obtenir des données personnelles de la part d’internautes.
Ai-je créé un centre de préférences ?
Cela découle de l’obligation pour les entreprises de laisser aux utilisateurs la possibilité de se désinscrire de votre liste de contacts. Certes, la création du centre de préférences n’est pas une obligation, mais est fortement conseillée pour permettre à l’utilisateur de gérer ses abonnements à vos newsletters, actualités sur vos produits… Cela va permettre aux internautes de garder seulement les abonnements qu’ils désirent, et pour vous, cela a pour avantage que ces internautes ne se désinscrivent pas purement et simplement.
Et le DPO dans tout ça ?
Qui ça ?? Le DPO : Délégué à la Protection des Données. Il lui incombe la responsabilité de s’assurer que l’entreprise respecte la législation lorsqu’elle utilise les données à des fins commerciales (mailing par exemple) mais aussi à des fins internes (logiciels RH). Quelles sont les entreprises concernées pour la nomination du DPO ? Le RGPD énonce cette obligation lorsque les « activités de base consistent en des traitements qui exigent, du fait de leur nature, de leur portée et/ou de leur finalité, un suivi régulier et systématique à grande échelle des personnes concernées ». Concrètement cela signifie que seules les entreprises qui possèdent une base de données de plus d’1 million de contacts sont concernées.
Comment le RGPD impacte t-il mon email marketing ?
Tout simplement car la nouvelle législation va impliquer une reprise des données. En effet, il va falloir s’assurer aussi bien que les données personnelles de prospects, clients et autres contacts futurs ont été collectées selon les règles du RGPD, mais cette règle concerne également les données personnelles obtenues avant l’entrée en application du RGPD !
Vous l’aurez compris, c’est là que ça se complique. En effet, ce détail va impliquer un nettoyage de la base de contacts, car à moins d’acquérir à nouveau le consentement de façon valable pour les contacts dont on n’a pas la preuve de ce consentement, il va falloir les supprimer de la base de données. Cela signifie qu’on ne pourra plus utiliser leurs données personnelles (exemple : leur adresse email pour leur envoyer une newsletter).
Si vous ne pouvez pas prouver que la personne a explicitement donné son consentement pour vous accorder cette donnée personnelle, et dans quel but, ainsi que la date où elle a été obtenue, avec l’adresse IP, vous n’aurez pas le droit d’utiliser cette ou ces données personnelles.
Cette nouvelle contrainte, certes très contraignante, reste à nuancer. Même si vous êtes obligé de supprimer bon nombre de contacts de votre base de données, celle-ci s’en trouvera nettoyée et optimisée : seuls vos contacts réellement intéressés continueront à recevoir vos campagnes de promotion.
Mes Conditions générales de ventes et ma politique d’utilisation des cookies sont-elles affectées par le RGPD ?
Tout à fait ! Cela fait même partie des grands axes du Règlement Européen. Il va donc falloir mettre à jour votre Politique de confidentialité et CGUV de votre site web :
- Lister les applications utilisant des cookies et détailler leurs différentes utilisations.
- Indiquer comment sont réglés les sujets tels que la licéité du traitement, les conditions applicables au consentement, le droit d’accès, rectification, opposition, suppression et portabilité des données, la sécurité des traitements, le droit à l’oubli, etc.
- Nommer un DPO, si votre entreprise est concernée.
Concernant les cookies, vous connaissez tous les fameux bandeaux qui vous informent de leur utilisation quand vous entrez sur un site web. Ceux-ci relevaient plus de la décoration de Noël qu’autre chose avant le RGPD, car il n’y avait pas d’obligation de consentement explicite pour que le site envoie des cookies sur la machine de l’internaute. Désormais, ce consentement explicite est OBLIGATOIRE. Il ne s’agit donc plus d’une simple information, mais d’une demande de consentement. Vous devez alors laisser la possibilité au visiteur de refuser l’utilisation de ces cookies.
Checklist :
✔ Nommer le DPO si votre entreprise est concernée
✔ Définir la politique d’opt-in / préférences
✔ Revue des formulaires (opt-in non cochés par défaut…)
✔ Mise en place d’un centre de préférences
✔ Définir et exécuter les reprises de données
✔ Modifier votre politique concernant les cookies
✔ Organiser les campagnes dans un dossier RGPD afin de garantir une lisibilité et une traçabilité des processus liés à la RGPD
✔ Revue des contrats clients / fournisseurs et s’assurer que les parties prenantes respectent aussi la RGPD
✔ Informer via vos pages Politique de Confidentialité et CGUV à mettre à jour et prévoir une communication adaptée pour informer les clients
✔ Mais le plus simple : KEEP CALM & CALL US : car chaque cas est différent. Nous restons donc à votre disposition pour que vous bénéficiez d’un accompagnement personnalisé et une adaptation au RGPD en douceur !
No Comments