Infographie RGPD: Questions Fréquemment Posées

Qu'est-ce que le RGPD?

Le Règlement Général sur la Protection des Données étend la protection des consommateurs en matière d'utilisation des données privées par les entreprises. À partir du 25 mai 2018, les entreprises qui enfreignent les nouvelles règles seront passibles de lourdes sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Ce règlement remplacera les lois existantes adoptées en application de la directive 95/46/CE relative à la protection des données.

Quelles sont les nouvelles règles concernant le stockage des données?

Les données personnelles doivent être stockées en toute sécurité et seulement pour une durée nécessaire. La notion de « droit à l'oubli » est clarifiée. Toute personne peut demander à une entreprise de lui communiquer ou de supprimer les données la concernant. La définition de « données personnelles » a été étendue pour inclure non seulement le nom, l'adresse, les antécédents médicaux et la date de naissance, mais aussi de nouveaux identifiants, tels que les noms d'utilisateurs sur les réseaux sociaux. Toute violation des règles de sécurité doit être signalée à l'organisme de surveillance de l'information du pays, comme la CNIL (Commission Nationale de l'Informatique et des Libertés) en France. Les amendes peuvent s'élever jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise.

Qu'est-ce qui change pour les données marketing?

Le changement le plus significatif concerne le consentement : celui-ci doit désormais être démontrable par une affirmation claire du consommateur. Une acceptation passive à travers une case pré-cochée n'est plus acceptable, pas plus qu'une inscription (opt-in) supposée qui nécessite de cocher une case pour se désinscrire (opt-out). Ces moyens trompeurs d'inciter les personnes à s'inscrire pour fournir leurs données en vue de contacts futurs sont révolus. Au lieu de cela, les entreprises devront indiquer clairement à quelles fins les données seront utilisées et le consentement devra être donné sans contrepartie, c'est-à-dire qu'il ne pourra pas être acheté à l’aide d’une offre réservée uniquement aux personnes qui s'inscrivent.

Quels canaux marketing seront affectés par le RGPD?

Tous les canaux reposant sur des informations personnelles qui révèlent clairement l'identité d'un individu sont concernés. Ainsi, pour l'envoi de messages aux clients et aux prospects, les principaux canaux touchés sont le publipostage, car il repose sur des adresses postales ; les réseaux sociaux, car ils nécessitent des noms d’utilisateurs ; les ventes et promotions par téléphone et SMS, car elles requièrent un numéro, ainsi que l'envoi d'e-mails qui nécessite une adresse e-mail pour atterrir dans une boîte de réception. Le consentement doit être clair et sans ambiguïté, de même que l'utilisation que l'entreprise compte en faire. Les entreprises devront donc demander une autorisation explicite si, pour mieux servir un client, elles désirent utiliser des données autres que ses coordonnées. Les entreprises souhaitant tirer davantage profit d’un appel de courtoisie pour informer une personne que sa voiture est réparée ou que les chaussures qu'elle a commandées sont de nouveau en stock devront obtenir une autorisation claire et sans ambiguïté pour chaque utilisation de chaque type de données personnelles. Les informations ne peuvent pas être automatiquement ajoutées à une base de données marketing.

Le marketing B2B est-il également concerné?

C'est peut-être le marketing B2B qui connaîtra le plus grand changement, par rapport au secteur du B2C dont la législation a toujours été plus stricte. Les pratiques du B2B, caractérisées par de grandes zones d'ombre, s'aligneront sur celles du B2C. Ainsi, les cartes de visite sur un stand événementiel pourront être utilisées pour un concours, mais pas pour créer une base de données de contacts en vue de réaliser une future campagne de publipostage ou d’e-mailing. Les données personnelles, telles que les adresses e-mail contenant le nom d'une personne plutôt que celui d'un service générique et l'adresse ou le numéro de téléphone d'un entrepreneur, ne pourront être stockées et utilisées à des fins de marketing qu'avec un consentement explicite. Les données génériques, telles que l'adresse d'un siège social ou une adresse e-mail non personnelle telle que « ventes@entreprise.com », ne seront pas affectées. Les contacts professionnels auront le droit de refuser d’être sollicités et ce choix devra être respecté. Chaque nouvelle liste devra être comparée à la liste des désinscriptions (opt-out) de l'entreprise. Les contacts pourront également demander à connaître les informations qu'une entreprise détient sur eux et exiger qu'elles soient rectifiées ou supprimées.

Existe-t-il des alternatives au consentement?

Oui, mais elles sont généralement destinées à des organisations, telles que les banques et les autorités gouvernementales, qui ont besoin de stocker des données personnelles pour lutter contre la fraude et offrir des services de haute qualité. Au Royaume-Uni, le Bureau du Commissaire à l'information (ICO) (équivalent de la CNIL en France) a pleinement pris conscience de l’existence d’un risque de détournement par les professionnels du marketing d'un tel « intérêt légitime », qui pourrait facilement être utilisé en lieu et place du consentement. Il a donc été prévu de mettre en garde la profession contre la tentation d’utiliser des alternatives au consentement, uniquement envisageables dans le cas où une entreprise présente un « intérêt légitime » irréfutable. Par exemple, une entreprise de service public qui doit émettre une facture ou un avis de retard de paiement doit pouvoir détenir l’adresse postale de son débiteur sans avoir à lui demander la permission, sinon elle ne serait pas en mesure de réclamer son paiement. Autre cas, une autorité locale ne pourrait pas adresser d’amendes de stationnement aux contrevenants si elle devait respecter leur consentement à recevoir du courrier non sollicité.

Qu'est-ce que cela signifie pour les professionnels du marketing et les bases de données clients?

Si les professionnels du marketing ne peuvent pas prouver qu'un consentement éclairé a été donné librement pour stocker et utiliser des données personnelles, ils devront demander un renouvellement de consentement de leurs bases de données. Très peu d'entreprises ont anticipé l’impact du RGPD, de sorte que les demandes de renouvellement de consentement sont maintenant largement répandues. Les entreprises doivent afficher clairement leurs intentions pour pouvoir continuer à contacter leurs clients par téléphone, SMS, e-mail ou courrier, et leur offrir la possibilité de s'inscrire pour maintenir ce contact. Dans le cas contraire, les données personnelles concernées devront être retirées des bases de données marketing. Cela aura bien sûr un impact majeur sur la taille des listes de diffusion de chaque canal marketing, mais cela entraînera également un tri complet des informations détenues et permettra de retirer des bases de données les clients qui ne manifestent aucun intérêt pour un ensemble de produits ou services particulier.

Qu'en est-il du marketing ciblant les enfants?

Les enfants sont considérés comme des « personnes vulnérables » par le RGPD. Pour détenir des données concernant un enfant de moins de 16 ans et les utiliser à des fins de marketing, une autorisation parentale est requise. 16 ans est donc l'âge à respecter, bien que certains pays de l'UE autorisent la conservation des données sans autorisation parentale pour les enfants âgés de 13 ans ou plus. Chaque pays est différent mais par précaution il vaut mieux supposer que les moins de 16 ans ont besoin d'une autorisation parentale.

Qui seront les gagnants et les perdants?

Les entreprises où il y existe un échange de valeur clair en contrepartie d’informations personnelles ne rencontreront aucune difficulté à obtenir le renouvellement de consentement. Par exemple, les réseaux sociaux, les fournisseurs de messageries électroniques, les moteurs de recherche et les publications de qualité parviendront toujours à trouver des individus désireux d'offrir leurs données personnelles en échange d'un service qu'ils apprécient. De même, les marques ayant des clients fidèles et actifs verront la taille de leurs listes de diffusion peu impactée. Ce sont les entreprises qui se montrent floues sur la façon dont elles réussissent à obtenir les données personnelles et la permission de les utiliser qui seront les plus affectées.

Le RGPD s'appliquera-t-il malgré le Brexit?

Oui, étant donné que le Royaume-Uni fera toujours partie de l'UE le 25 mai 2018, le RGPD s'appliquera automatiquement. Même après le Brexit, il est très peu probable que le Royaume-Uni veuille limiter le travail des professionnels du marketing avec des marques qui s’adressent à des citoyens de l'UE. Par conséquent, il est presque certain que le RGPD fera force de loi, bien que probablement sous un nom différent.

Topic RGPD