La fin d’année approche à grands pas. Partout en France et en Europe, les entreprises finalisent leurs plans d’action marketing pour 2018. Toutes ces stratégies, aussi diverses et variées soient-elles, ont un point commun : le RGPD (Règlement Général sur la Protection des Données). Cette nouvelle législation est sur toutes les lèvres ! Ces échanges mettent généralement en lumière des craintes le plus souvent infondées, même si l’échange des informations de contacts peut être périlleux dans votre travail Mais quelles obligations concrètes l’entrée en application de ce règlement va-t-il donc imposer ? Les réponses dans cet article.
RGPD 2018 - C’est quoi déjà ?
Avant de se lancer dans le vif du sujet et d’aborder les implications pour vos équipes marketing, nous vous proposons un bref rappel des principales informations à connaître sur le RGPD.
C’est quoi ? Le RGPD, ou Règlement Général sur la Protection des Données, a été voulu et conçu par le Parlement européen dans le but de renforcer les droits individuels en matière de collecte et d’utilisation des données personnelles.
C’est quand ? Le texte a été adopté en avril 2016 (après plus de 4 ans de préparation) et entrera en application le 25 mai 2018 (il est déjà en vigueur), d’où la nécessité de se doter de plans d’actions marketing rigoureux !
Pour qui ? Le RGPD concerne le traitement des données des citoyens européens, mais a une application extraterritoriale. Cela signifie qu’il sera applicable à tous les individus et sociétés, quels que soient leurs pays d’origine, qui collectent et/ou traitent les données d’internautes européens. Le RGPD est également applicable aux parties tierces comme les sous-traitants ou les sociétés d'hébergement.
À quoi s’attendre en cas de non-respect du RGPD ? Plusieurs paliers d’amendes ont été prévus par le Parlement européen. Les pénalités les plus élevées atteignent 4% du chiffre d’affaires ou 20 millions d’euros.
Lire aussi : Gérez vos cookies pour votre conformité RGPD
Lire aussi : Les nouvelles règles sur la gestion des cookies, coup de tonnerre pour les éditeurs de logiciels et web apps
RGPD 2018 : quelles obligations pour les marketeurs ?
Les équipes marketing sont directement concernées par le RGPD car ce sont elles qui collectent et utilisent la majorité des données personnelles au sein de l’entreprise. Il leur faudra désormais respecter les obligations suivantes :
- droit d’accès : fournir un accès complet aux données détenues sur un utilisateur si celui-ci en fait la demande
- droit d’information : informer clairement l’utilisateur de la façon dont sont collectées et utilisées ses données personnelles
- droit à la rectification : modifier ou effacer les données personnelles d’un utilisateur si celui-ci en fait la demande
- droit de portabilité : offrir la possibilité aux internautes de récupérer leurs données dans un format lisible et ouvert pour qu’ils puissent les réutiliser à des fins personnelles
Parmi les autres règles que les marketeurs devront observer, les plus importantes concernent le registre des traitements, le consentement, l’utilisation d’une base de contacts existante et l’achat de listes.
1 - Le registre
Contrairement à ce que l’on pourrait croire, le RGPD ne bouleverse pas les obligations légales auxquelles sont tenues les entreprises. C’est particulièrement vrai en France où la législation, et notamment la loi “Informatique et Libertés”, prévoit déjà des contraintes similaires à celles du RGPD.
Ce qui va vraiment changer pour les marketeurs ? Les entreprises devront à présent rendre des comptes, ce qui n’était pas toujours le cas auparavant. Concrètement, elles devront cartographier chaque traitement de données personnelles qu’elles effectuent. Cela prendra la forme d’un registre (un fichier Excel) dans lequel devront être consignés :
- les finalités du traitement des données
- les mesures de sécurité techniques et organisationnelles
- les catégories de données personnelles concernées et les données sensibles si besoin
- les délais d’effacement des données
- le lieu où les données sont hébergées
- les destinataires de ces données (au sein et hors de l’UE)
- les preuves de consentement des propriétaires des données
Vous pouvez télécharger un modèle de registre sur le site de la CNIL.
2 - Le consentement explicite
À l’ère du RGPD, les entreprises doivent obtenir le consentement explicite des internautes afin de pouvoir collecter et traiter leurs données personnelles.
L’opt-in passif est mort donc, vive le double opt-in ! Fini le temps où le consentement était obtenu par défaut grâce à une case pré-cochée tout en bas d’un formulaire (opt-in passif) : ces pratiques ne seront plus tolérées. À la place, il est recommandé d’utiliser le double opt-in. Cette méthode consiste à obtenir deux fois le consentement de l’internaute avant de l’inscrire dans vos listes marketing :
- la première fois lorsqu’il remplit un formulaire sur votre site par exemple
- la deuxième fois en lui envoyant un email de confirmation dans lequel il aura la possibilité de réitérer son consentement (en cliquant sur un lien de confirmation ou en entrant à nouveau son adresse email par exemple)
Le double opt-in est la bonne pratique en matière de consentement. En effet, pour se conformer au RGPD, les entreprises devront conserver les preuves de consentement et pouvoir les montrer sur demande de la CNIL ou du consommateur. Le double opt-in aura donc l’avantage de ne plus laisser de doute quant à la volonté des internautes.
3 - Utilisation d’une liste de contacts existante
Vous êtes maintenant au point sur les démarches à entreprendre en matière de consentement pour vos futures actions marketing. Il vous faut cependant garder à l’esprit que le RGPD s’appliquera à l’ensemble de vos données, et pas seulement à celles collectées après l’entrée en application du texte, le 25 mai 2018.
Pour les marketeurs, cela signifie être en mesure de fournir les preuves du consentement explicite des contacts actuels. Il va falloir faire le tri dans votre base de contacts et lancer des campagnes d’opt-in afin d’obtenir le consentement de ces contacts existants !
4 - Achat et échange de liste de contacts
D’un point de vue purement marketing, nous vous déconseillons d’avoir recours à l’achat ou à l’échange de listes. Tout simplement parce qu’aujourd’hui il est évident que les tactiques traditionnelles de vente et marketing comme le cold-calling ou cold-emailing ne sont plus considérées comme des bonnes pratiques. Personne n’aime recevoir un appel de démarchage ou se demander comment une entreprise a réussi à obtenir son adresse email personnelle. Cela détériore votre image de marque.
Du point de vue de la loi, il existe des cas de figure où l’achat et l’échange de listes de contacts ne sont pas illégaux, mais cela reste une mauvaise idée tant les conditions sont strictes pour respecter la réglementation.
Les actions de mise en conformité risquent donc d’être nombreuses et chronophages pour les équipes marketing. Il vous reste cependant plusieurs mois pour vous préparer à l’entrée en application du RGPD (25 mai 2018) et de nombreuses ressources sont disponibles en ligne pour vous aider. La solution d’emailing Mailjet propose ainsi des dossiers complets pour se préparer au RGPD. Rassurez-vous donc, il n’est pas trop tard pour vous mettre aux normes du RGPD en 2018 !
Cet article a été rédigé par notre partenaire Mailjet.