La RGPD est l’un des “buzzwords” du moment : et pour cause, cette nouvelle règlementation, adoptée par le Parlement européen le 14 avril 2016, va entrer en vigueur le 25 mai 2018 prochain sur toute l’Union Européenne. Elle permettra une meilleure protection des données des internautes citoyens européens, mais va imposer des changements importants aux entreprises, organisations, associations, startups… afin d’être en conformité.
Nous venons de mettre en ligne un livre blanc complet sur le RGPD, qui vous aidera à mieux comprendre les enjeux de cette nouvelle règlementation, et surtout d’obtenir des conseils pratiques pour vous y préparer. Maintenant, découvrons les impacts concrets sur une stratégie digitale.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Toute stratégie digitale implique la collecte de données utilisateurs.
Qui dit digital, dit données collectées. Qu’il s’agisse d’une boutique e-commerce, d’une solution logicielle en mode SaaS, d’une application mobile, d’un intranet / extranet, ou tout simplement d’un site vitrine, les internautes laissent des traces que vous récupérez lors de leur passage pour pouvoir les identifier (cookies, adresse IP), les relancer (e-mail, adresse postale), les recontacter (téléphone)…
Prenons 3 exemples fréquents au sein des entreprises ou organisations qui ont adopté une stratégie digitale :
#1 Email marketing & RGPD : l’envoi de newsletter suite à l’action de l’internaute
L’email marketing est un outil répandu et accessible : et pour cause, demander l’adresse e-mail à son audience est monnaie courante, c’est devenu une habitude aussi bien lors d’un achat en ligne, d’une participation à un jeu-concours, ou d’une demande de devis sur un formulaire.
Cependant, force est de constater que de nombreux sites web envoient des newsletters à l’ensemble des utilisateurs, les abonnés à la newsletter, mais également les simples inscrits qui n’ont pas consenti à en recevoir. Et cela enfreint les règles de la collecte et l’exploitation d’adresse e-mail.
La règle sera dorénavant simple : il faudra obtenir le consentement préalable de l’utilisateur, de manière claire et explicite, et lui permettre de revenir sur cette décision facilement, afin de pouvoir exploiter son adresse e-mail dans un but marketing ou commercial. Concrètement :
– on ne pourra pas pré-cocher une case “s’abonner à la newsletter” sur un formulaire d’inscription (ouverture de compte, demande de devis), mais il faudra au contraire afficher une case décochée invitant l’internaute à la cocher (en lui expliquant comment se désabonner par la suite).
– dans le cas de propositions commerciales partenaires (entreprises tierces), il faudra afficher deux cases distinctes : une pour pour obtenir le consentement de l’internaute concernant l’envoi de propositions commerciales propres à votre entreprise ou entité, et une deuxième case pour les “propositions commerciales de nos partenaires” (souvent les sites utilisent la même case à cocher pour inclure les 2, ce qui n’est pas correct),
– on ne pourra pas envoyer de newsletter à une personne détenteur d’un compte sans qu’elle ait expressément demandé à s’abonner à la newsletter,
– il faudra garder une trace / un historique de la demande d’abonnement à la newsletter, mais également du désabonnement (date, heure, formulaire utilisé…).
Dernière chose à noter, et non des moindres : toute constitution de base de données emailing sans avoir respecté l’ensemble de ces règles la rendra inutilisable, sauf si l’entité détentrice de cette base demande le consentement des contacts y figurant, par exemple à travers l’envoi d’un e-mail invitant les contacts intéressés à se manifester. Cela implique de garder une preuve que cette action a été réalisée.
#2 Logiciels CRM & RGPD : votre logiciel devra être conforme
Si vous disposez d’une solution CRM, ce passage vous concerne. En effet, il est fréquent que les données contenues dans vos bases de données (clients, prospects, etc.) soient également présentes dans votre système CRM. Ici, le CRM est un “sous-traitant de données”. Et vous êtes responsables, d’une part, des données transmises, mais d’autre part de la bonne exploitation de ces données par votre système CRM, en conformité avec la RPGD.
La plupart du temps, ce lien entre l’entreprise et son sous-traitant se caractérise sous forme de flux de données, entre la base de données interne à l’entreprise et le CRM externe. Par exemple, lorsqu’un internaute crée un compte sur un site e-commerce, les données collectées sont sauvegardées sur la base de données e-commerce, mais sont également synchronisées avec le logiciel CRM.
Vous devrez vérifier que votre solution CRM est en conformité avec la RGPD :
– votre “sous-traitant” devra prouver sa conformité à la nouvelle règlementation (en gardant une trace écrite de vos échanges sur le sujet),
– il devra également garantir l’intégrité et la sécurité des données récoltées de manière continuelle, pour éviter tout cas de piratage ou de brèche informatiques,
– il devra prouver la suppression des données si l’internaute en fait la demande (en gardant en historique la date d’ajout, la date de demande de suppression, et la preuve de la suppression effective des données).
Pour résumer, il faudra veiller à ce que les informations collectées et transmises à votre CRM soient systématiquement à jour : si un utilisateur supprime son compte en ligne ou demande expressément la suppression de ses données, sa fiche contact / client devra également être supprimée définitivement chez vos sous-traitants de données. Pour en savoir plus sur le sujet, n’hésitez pas à télécharger notre livre blanc dédié à la RGPD.
#3 Solutions analytiques : mesurer l’audience nécessitera un consentement révocable de l’internaute
Google Analytics, AT Internet, Adobe Analytics… ces solutions permettent à de nombreuses entreprises de suivre de manière précise leur audience, le comportement utilisateur et les résultats obtenus de manière générale dans le cadre de votre stratégie digitale.
La RGPD, dans son article 4.1, cite l’ensemble des éléments qui permettent d’identifier une personne : “«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”.
L’élément qui nous intéresse dans cet article est “un identifiant en ligne”, qui de fait inclut le cookie, ce fichier informatique au format texte qui permet de conserver des données d’utilisateurs, dans le but de faciliter la navigation et l’utilisation de fonctionnalités spécifiques.
L’ensemble des solutions web analytiques fonctionnent sur le principe du fichier cookie, et afin de se mettre en conformité avec la RGPD, il faudra obtenir le consentement préalable des internautes, à la lumière du texte de la règlementation : “«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”.
Cela signifie que le popup actuellement en place sur de nombreux sites web, demandant aux internautes, de façon vague, d’accepter l’utilisation des cookies pendant sa navigation, devra être beaucoup plus explicite qu’actuellement. Il devra dire précisément quels seront les usages résultant de cette collecte de données. Mais il faudra également donner à l’internaute le pouvoir de révoquer cette autorisation à tout moment. Autant dire que le challenge s’annonce difficile, et donnera du fil à retordre aux digital marketeurs. Il faudra repenser complètement son approche digitale pour être RGPD friendly
Nous avons abordé 3 impacts concrets de la nouvelle règlementation de protection des données européenne, mais en réalité il en existe une multitude. Pour synthétiser, dès qu’il s’agira de données personnelles, vous devrez adopter tous les bons réflexes de la RGPD : obtenir le consentement préalable et permettre la révocabilité à tout moment et de manière simplifiée.
Cela s’appliquera donc aussi bien à :
– votre CRM,
– votre solution de routage emailing,
– votre solution de web analytiques,
– votre outil de gestion des SAV,
– votre logiciel de facturation,
– votre solution de jeu-concours,
– votre logiciel SIRH,
– solution analytique,
– votre solution de paiement sécurisé,
– etc..
Afin de préparer au mieux l’arrivée de la RGPD, nous vous invitons à télécharger notre livre blanc, qui, en plus d’expliquer comment les différents départements peuvent travailler ensemble (IT / Web / Marketing…), vous donnera des conseils concrets pour mettre en place une stratégie de conformité au RPGD. Il vous fournira également de nombreuses astuces sur le sujet, comme le fait de pouvoir élire un DPO, Data Privacy Officer, qui jouera le rôle de chef de projet RGPD en interne et externe.