De très nombreuses pratiques marketing reposent sur la notion de profilage, collecte de données à caractère personnel dans le but de dresser le profil de vos prospects, clients ou utilisateurs afin de leur proposer des offres ou services personnalisés.
Le profilage à des fins de marketing est autorisé par le RGPD pour autant qu’il réponde aux conditions fixées par le RGPD, à savoir que la personne en soit informée et puisse s’y opposer.
- Opt-in renforcé et gestion des
L’obligation d’information accrue de l’internaute implique qu’il puisse donner librement son consentement pour des traitements parfaitement identifiés (nature et finalité de la collecte doivent être précisées).
Sauf exception, l’internaute doit donner son accord préalable pour le dépôt de cookies. Un bandeau d’information doit donc être présent sur tout site internet.
L’opt-out (pratique consistant à inscrire d’office un utilisateur à une liste après une inscription à un service, en lui laissant la charge de se désinscrire) et l’opt-in passif (pratique consistant à obtenir le consentement d’un internaute de manière détournée, le plus souvent en pré-cochant la case correspondant au souhait de recevoir des emails de la part de l’entreprise) sont désormais interdits. Seules les listes 100% opt-in seront utilisables légalement.
CALCULEZ GRATUITEMENT LE SCORE RGPD DE VOTRE ENTREPRISE
2. Transparence et information
La transparence est un concept clé du RGPD.
Pour vous mettre en conformité, nous vous recommandons d’adapter dès aujourd’hui vos processus d’acquisition des données personnelles :
- Vérifier et nettoyer vos bases de données actuelles (Quelles données stockez-vous ? Comment avez-vous obtenu ces données ? Sont-elles à jour ? À quoi servent-elles ?…).
- Informer les personnes concernées qu’elles peuvent à tout moment accéder à leurs données personnelles, les faire supprimer ou transférer. Cela passe par la modification de vos CGV, contrats, disclaimers sur site, politique de confidentialité,…
- Garantir la conformité de vos futures actions marketing. Préparer toute nouvelle action marketing en intégrant le respect des droits des personnes et la sécurité des données dès le départ.
- Vos contacts vous ont-ils donné leur autorisation explicite de leur envoyer des emails via un formulaire opt-in ? Si vous avez simplement demandé l’autorisation d’envoyer votre newsletter, elle n’est pas suffisante pour profiler vos utilisateurs dans le cadre d’un scénario de marketing automation.
- Êtes-vous en mesure de démontrer que vous avez obtenu le consentement explicite de vos contacts ?
- Votre liste contient-elle des adresses de mineurs ?
3. Impact sur les sites e-commerce et plateformes commerciales
La transparence et la sécurisation des données à caractère personnelles est encore plus critique sur les sites e-commerce, bancaires et toutes plateformes de transaction en ligne.
Cela se traduira à travers :
- Une politique de confidentialité renforcée
- Une charte de gestion des cookies (avec bandeau d’information) permettant à vos utilisateurs de demander une copie, une modification ou un effacement de leurs données
- Des mentions claires dans vos formulaires opt-in
Le cybermarchand, en tant que responsable de traitement, devra ainsi veiller à s’assurer de la mise en conformité de l’ensemble de sa plateforme digitale et ce, dès le stade de la collecte des données (cookies, formulaires d’inscription,…). Actions de fidélisation, offres promotionnelles, transmission tarifée ou non de tout ou une partie du fichier clients à des partenaires,… chacune de ces actions devra s’inscrire dans une « Politique Data » respectueuse de la législation.
4. Et vos prestataires ?
La nouvelle législation prévoit une responsabilité commune des entreprises et des prestataires qui hébergent leurs données.
Évitez de vous faire sanctionner à cause d’un prestataire non-conforme :
- Faites la liste de tous les prestataires et services Cloud qui hébergent vos données
- Demandez-leur si ils sont conformes au RGPD
- Commencez à évaluer la concurrence de vos prestataires qui ne pourront pas être conformes au RGPD à temps
5. Et les cookies ?
Le principal changement avec le RGPD vis-à-vis des cookies est que ces derniers sont dorénavant considérés comme des données personnelles.
Dans le cas particulier des cookies, le règlement imposera aux navigateurs internet de soumettre aux utilisateurs l’acceptation ou le refus du dépôt des cookies dès la configuration initiale de ceux-ci. Ce sera le cas d’office pour les navigateurs installés après l’entrée en application du texte mais également pour les autres suites aux mises à jour ultérieures (quoiqu’il en soit, au plus tard le 25 août 2018). De surcroît, ce consentement sera redemandé tous les 6 mois « tant que le traitement se poursuit ».
Nous allons voir disparaître les bandeaux sur les cookies au profit d’une pré-configuration dans les navigateurs. Il sera intéressant de voir comment le paysage de la publicité en ligne, en partie basée sur les cookies, va évoluer pour répondre à cette nouvelle législation.
Les navigateurs proposeront donc un choix de niveaux de confidentialité à l’utilisateur, qui pourra ainsi possiblement refuser tous les cookies non-vitaux au fonctionnement des sites web. C’est la fin des bannières d’information sur les cookies, car pour une bonne partie d’entre eux, le consentement libre et avisé voulu par le règlement n’était pas obtenu au travers de la bannière.
Le consentement implicite n’est plus suffisant. Le consentement doit être donné via une action affirmative claire telle que, cocher une case d’acceptation ou choisir les paramètres ou les préférences via un menu de configuration. La simple visite d’un site ne compte donc pas comme consentement.
Les messages tels que « en utilisant ce site, vous acceptez notre politique de cookies », ne suffisent pas non plus et ce pour les mêmes raisons. S’il n’y a pas de prise de décision légitime et libre alors le consentement n’est pas valide. Vous devez offrir la possibilité d’accepter ou non les cookies.
Il doit être aussi facile de retirer son consentement que de le donner. Si les entreprises souhaitent demander aux utilisateurs de bloquer les cookies dans le cas où ils ne donneraient pas leur consentement, elles doivent alors leur demander de commencer par accepter les cookies.
Les sites doivent fournir une option d’opt-out (désinscription). Après avoir reçu un consentement valide, les sites doivent offrir aux utilisateurs l’option de se désinscrire. Si vous demandez le consentement via des cases à cocher dans un menu de paramétrage, les utilisateurs doivent pouvoir retourner à ce menu afin de modifier leurs préférences.
