Ca y est. Le RGPD nouveau est arrivé. C’est un peu comme le beaujolais mais en moins enivrant. Désormais vous ne pourrez plus fermer les yeux, ni poursuivre vos mauvaises habitudes ou négliger les données à caractère personnel de vos prospects et clients. Gare aux sanctions !
Sommaire
L’essentiel du RGPD
Pour rappel, le RGPD renforce les droits de tous citoyens européens quant à l’utilisation de leurs données personnelles. Quels sont ces droits :
- Consentement: aucun donnée personnelle ne peut être collectée sans autorisation expresse de la personne concernée (sauf si les données sont nécessaires pour une transaction commerciale)
- Droit d’accès: chacun doit pouvoir consulter à tout moment les informations qu’une entreprise détient sur lui
- Portabilité: les données personnelles doivent pouvoir être exportées à tout moment dans un format structuré et lisible par machine
- Droit à l’oubli: toute personne peut demander l’effacement de ses données personnelles et les données ont une durée de vie.
- Droit d’opposition: chacun peut refuser d’être sollicité commercialement ou s’opposer au traitement de ses données personnelles (à des fins de profilage ou autre).
Pour plus d’explications : Les enjeux du RGPD pour les PME : ce qui change et comment s’y préparer
Concrètement, quel est l’impact du RGPD sur votre marketing digital ?
Tout dépend de vos pratiques marketing ! Le virage à prendre ne sera pas de la même si vous pratiquiez déjà l’inbound marketing ou si vous étiez encore dans une logique de marketing de masse. Dans le premier cas, vous aviez sans doute déjà mis en place des procédures d’opt-in et opt-out, dans l’autre vous devrez faire plus d’effort pour changer vos habitudes, communiquer plus clairement, adapter vos pratiques dans le respect des individus, organiser et sécuriser les données personnelles que vous traitez. Et, bien sûr, dans tous les cas de figure, vous devrez tenir un registre des données traitées (quand, dans quel but et comment), voire nommer un DPO ou responsable RGPD.
Mais dans l’immédiat, pour canaliser l’essentiel, je vous propose une check-list (non exhaustive) d’actions à mettre en place au plus vite (si ce n’est déjà fait) :
Votre site web
- Maîtriser les cookies: ajouter un bandeau ou popup pour obtenir le consentement actif des visiteurs + préciser quels cookies sont collectés, pourquoi et pour combien de temps
- Pratiquer l’opt-in actif: éliminer toutes les cases pré-cochées de vos formulaires
- Informer clairement : compléter et mettre à jour votre Privacy Policy , expliquer pourquoi vous collecter des données sur vos formulaires
- Sécuriser les données : minimiser les risque de piratage ou de perte de données
A lire aussi : Marketing digital : comment se préparer au RGPD sans devenir aveugle ?
15 bonnes pratiques pour obtenir le consentement des utilisateurs – Qualifio
GDPR/RGPD : ne faites SURTOUT PAS table rase du passé – E. Drouard
Vos emailings
- Nettoyer sa base de données: trier et éliminer toutes les données qui n’ont pas été obtenues via opt-in (ou demander aux personnes de confirmer leur intérêt).
- Adopter le double opt-in: même s’il n’est pas obligatoire, c’est une bonne pratique et cela permet de garder une trace du consentement.
- Faciliter l’accès aux données : chacun doit pouvoir modifier ou supprimer à tout moment ses données.
- Prévoir une durée de conservation: définir une durée de conservation des données récoltées
- Vérifier la conformité de vos prestataires : vous êtes responsables des données que vous traitez, même si elles sont en partie traitées par un tiers.
Vos campagnes publicitaires
- Information & consentement explicite : jeu concours, carte de fidélité, retargeting, tag, pixel, …
- Garder une trace de toutes les activités publicitaires
- Profilage : réduire les données collectées au strict nécessaire
- Sécurité : mettre tout en œuvre pour éviter les pertes et violation des données personnelles
Vos contrats de sous-traitance
Le RGPD veut responsabiliser tous les acteurs impliqués dans le traitement des données personnelles. Vos prestataires et fournisseurs et sous-traitants sont co-responsables. Prévoyez de remplir un cahier des charges précis pour garantir la sécurité, la confidentialité et la durée de vie des données.
« Consentement: aucun donnée personnelle ne peut être collectée sans autorisation expresse de la personne concernée (sauf si les données sont nécessaires pour une transaction commerciale) »
C’est totalement faux, il existe 6 bases juridiques permettant le traitement de donnée personnelles. Le consentement n’est que l’une d’entre d’elle !
Merci pour votre commentaire qui mérite nuance. Effectivement, l’article 6 du RGPD (= Licéité du traitement) prévoit bien 6 cas de figure. Mais dans la mesure où mon article porte sur le marketing digital, je confirme qu’il faut toujours un consentement préalable de la personne puisqu’on n’est pas, stricto sensu, dans un des autres cas de figure prévus par le Règlement, à savoir : exécution d’un contrat, respect d’une obligation légale, sauvegarde des intérêts vitaux, exécution d’une mission d’intérêt public ou intérêt légitime du responsable du traitement (brêche dans laquelle tenteront sans doute de s’engouffrer pas mal de marketeurs).
De plus, en matière de traitement des données e-marketing, il convient de rappeler que le RGPD n’est pas le seul Règlement d’application. Comme le rappelle cet article :
« L’actuelle Directive e-Privacy (bientôt remplacée par un Règlement) permet d’encadrer l’utilisation des données personnelles dans le secteur des communications électroniques. Elle s’applique notamment aux cookies et à l’e-marketing. La règlementation e-Privacy est une lex specialis par rapport au GDPR, ce qui signifie qu’elle prime sur le GDPR pour toutes les questions qu’elle règlemente spécifiquement.
Actuellement, le Directive e-Privacy impose d’obtenir le consentement préalable des personnes physiques pour l’envoi d’e-mails publicitaires (opt-in). Cette règle connaît toutefois quelques exceptions. »