skip to Main Content
MARKETING DIGITAL ET PROFILAGE: CE QUI CHANGE SOUS LE RGPD ET E-PRIVACY

MARKETING DIGITAL ET PROFILAGE: CE QUI CHANGE SOUS LE RGPD ET E-PRIVACY

COUP D’ŒIL

  • Comment adapter votre marketing au RGPD ?
  • Quel consentement au profilage ?
  • Que changer ?
  • Votre police des données personnelles
  • Que faire des anciennes données de vos listes ?
  • Sous-traitance du marketing et du ciblage
  • Opportunités de votre mise en conformité

Les activités de marketing, vente et publicité ciblée vont être soumises [1] à la nouvelle donne sur le traitement des donnée personnelles collectées sur le sol de l’Espace Économique Européen. [2]

Une étude [3] intéressante démontre le degré de confiance qu’ont les personnes dans les secteurs d’activité pour la protection de leurs données personnelles

SECTEURS OÙ LES PERSONNES ONT LE MOINS CONFIANCE POUR LEURS DONNÉES

  • secteur de la vente au détail : 45 %
  • télécommunications : 16 %
  • gouvernement : 15 %

LES NATIONALITÉS LES PLUS DÉCIDÉES À UTILISER LEURS DROITS

  • Italie 90 %
  • Espagne 89 %
  • France 86 %
  • Allemagne 80 %

Entrepreneurs, vous devez comprendre que votre obligation de transparence sur l’utilisation des données privées et votre devoir d’ “ACCOUNTABILITY “ ou de rendre des comptes répond à une réelle inquiétude des individus.

Regardez les réponses à cette question pour vous en convaincre :

Q: Si vous aviez le droit d’effacer vos données personnelles de n’importe quelle entreprise, laquelle, parmi les situations suivantes, motiverait votre action ?

45%  découvrir que mes données ont été vendues ou partagées avec d’autres sociétés

14%  recevoir un appel par un robot ou par télémarketing sur un service sans intérêt pour moi

12%  marketing de produits sans intérêt ou complètement inapproprié pour moi

11%  utilisation d’un marketing intrusif via un média social

9%    trop de marketing , trop fréquent

Le secteur du marketing digital (j’inclue aussi les fonctions publicité ciblée et vente dans le reste du texte) est en mutation et seuls ceux qui ont compris comment utiliser légalement et de façon éthique et transparente les précieuses données personnelles survivront.

Un article [4] rapporte que la société Criteo, un leader mondial du commerce marketing, annonce une diminution de ses revenus 2018 de l’ordre de plus de 1/5 ème à cause du déploiement par le moteur de recherche Safari, qui détient 15 % du marché mondial des moteurs de recherches, d’une technologie empêchant le traçage des personnes , Intelligent Tracking Prevention (ITP).

Apple a développé cette technologie dans le but d’empêcher que des cookies tiers puissent suivre la personne dans son comportement même après avoir quitté sur le site où ce cookie a été déposé.

Nous avons tous vécu le cas d’être bombardés, sur tous les sites où nous naviguons, par la même publicité sur un article que nous avions recherché sur un site particulier, c’est insupportable .

Dans ce même article Apple désire faire cesser le “ re-targeting “ ou re-ciblage qui s’opère sans aucun consentement des personnes, violant ainsi leur vie privée.

Certaines sociétés reconnaissent que le métier du marketing doit s’adapter et trouver d’autres méthodes que le traçage par cookies dont les personnes n’ont pas connaissance [5]

Il serait erroné de penser que le phénomène de devoir rendre des comptes sur ce que les sociétés font des données se limite à la sphère européenne.

Les nouveaux paradigmes s’étendent au monde entier et sont en passe de devenir la référence en matière de traitement de la vie privée dans le digital.

Les textes européens entendent limiter les possibilités de traçage des personnes sans leur consentement.

Le RGPD est très clair sur le devoir d’information et de transparence des personnes avant de démarrer un profilage .

Pour bien savoir de quoi nous parlons, revenons à la définition du profilage sous le RGPD

“ toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique “ [6]

Attention :

Le simple fait de classer les personnes selon leur âge, sexe, taille est déjà un profilage même si ces informations ne sont pas utilisées pour une analyse prédictive [7]

COMMENT ADAPTER LE MARKETING AUX NOUVELLES RÈGLES EUROPÉENNES, RGPD ET RÈGLEMENT E-PRIVACY ?

Bien que le Règlement E-privacy soit toujours à l’état de projet à ce jour (février 2018), il était prévu qu’il entre en vigueur en même temps que le RGPD qu’il complète et précise pour tout ce qui concerne les données transmises par voie électronique, y compris les données personnelles.

Ce texte concerne toutes les activités de marketing, vente, prospection, publicité par voie de transmission électronique.

Il va entraîner une refonte du métier de marketing, sales et publicité digitale puisqu’à ce jour la version issue des négociations entre les 3 parties, la Commission européenne, le Parlement et le Conseil de l’Union Européenne tend vers une base légale unique pour ces activités, le consentement.

Cela touchera le marketing sous toutes les formes: écrite, orale, appels automatiques avec ou sans intervention humaine, SMS, mails …

Le B to B est aussi concerné, les données de l’entreprise ne pourront être utilisées à des fins de marketing sans le consentement des personnes (e mail professionnel des personnes par exemple)

Le profilage notamment ne pourra se faire sans consentement explicite des personnes.

QUEL CONSENTEMENT ? NOUVEAU POUR LE E-MARKETING !

Les critère du consentement sont identiques sous le régime du RGPD et E-Privacy.

C’est un acte positif clair par lequel la personne concernée manifeste de façon

  • libre,
  • spécifique,
  • éclairée et
  • univoque

son accord

CAS PARTICULIER DES ENFANTS

Attention, les enfants sont une catégorie particulièrement protégée.

La validité de leur consentement à une “offre directe de service de la société de l’information“, par exemple offrir des informations sur un service ou un produit par du marketing direct, est soumise à des conditions plus strictes.

À noter que le RGPD n’a pas hélas pas instauré une uniformisation de l’âge du consentement légal au traitement des données personnelles de l’enfant.

Il vous appartiendra d’être très prudent quant à l’âge légal du pays où vous collectez les données personnelles d’enfants, vous devrez par ailleurs instaurer un mécanisme de contrôle fiable de l’autorisation des personnes détenant l’autorité parentale.

Le profilage des enfants nécessitera aussi une analyse d’impact sérieuse afin de protéger les intérêts d’une population particulièrement influençable et vulnérable.

QUE CHANGER ? TOUT OU PRESQUE

FORMULAIRE SITE, PAGE WEB, INBOUND MARKETING, CAMPAGNES MAILS …

Ces types de canaux pour collecter des informations personnelles sont très courants, vous offrez une newsletter, un livre blanc, un guide, un blog…

Vous pouvez trouver aussi des cases pré-cochées autorisant l’envoi de publicité au moment de remplir votre achat sur un site de e-commerce.

Beaucoup de sites appliquent encore l’ancienne forme de bandeau informant que des cookies publicitaires ou de traçage sont installés par défaut et que votre simple navigation suffit à démontrer votre accord.

Tout cela est terminé,

IL N’EXISTE PAS D’ACCORD PAR DÉFAUT À TOUTE FORME DE TRAÇAGE DIGITAL

Partez du principe que le traçage ayant pour but le marketing ciblé, la publicité, est interdit si la personne ne vous a pas donné une autorisation après avoir été informée en détails .

Faîtes vite disparaître de vos sites et pages web les cases pré-remplies, le langage confus avec des doubles négations, les petites lettres illisibles en bas de vos formulaires…

Une information précise, granulaire doit être donnée

  • sur les types de cookies, de traçage utilisés, la raison pour laquelle vous les utilisez,
  • sur la durée de votre traitement
  • sur qui va traiter les données personnelles,
  • sur l’éventuel transfert des données hors territoire de l ‘Union Européenne, la base juridique de ce transfert …

Cette information ne devrait pas être délivrée en un seul bloc indigeste de vocabulaire pseudo- juridique mais être concise et présentée au moment du recueil de l’information.

Il existe des logiciels à cet effet pour les entreprises qui ne disposent pas de moyens suffisants pour développer leur propre outil.

C’est un investissement utile pour les PME et petites entreprises.

VOTRE POLICE SUR LES DONNÉES PERSONNELLES

Il sera nécessaire de réécrire votre police sur les données personnelles et de la présenter séparément de vos conditions générales afin qu’elle soit aisément accessible par tous.

Une présentation juste au moment de la collecte des éléments essentiels justifiant votre demande,  serait idéale pour démontrer que vous avez obtenu un consentement éclairé, c’est à dire que la personne sait exactement tout ce que vous ou d’autres organisations que vous nommerez, ferez de ses données, pendant combien de temps…

De plus il faut garder une trace de ce consentement et des conditions qui l’entouraient.

Si vous changez les conditions de la collecte par un changement de but du traitement par exemple, il faut redemander un consentement.

1 consentement => 1 finalité de traitement des données personnelles ou une finalité similaire.

PROJET E-PRIVACY

À l’heure actuelle (février 2018) le régime E-Privacy est beaucoup plus restrictif que le RGPD concernant le marketing digital en général.

Le RGPD semblait laisser la porte ouverte au marketing sur la base de l’intérêt légitime.  

“Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.“ [8]

E-Privacy pour l’instant reste sur la position du consentement comme seule base légale au marketing digital et au traçage pour profilage à des fins de marketing, de publicité ou de prospection.

QUE FAIRE DES DONNÉES PERSONNELLES UTILISÉES POUR LE E-MARKETING ET COLLECTÉES SOUS L’ANCIEN RÉGIME LÉGAL ?

REVOIR COMMENT ET POURQUOI VOUS AVEZ RECUEILLI ET CONSERVÉ LES DONNÉES PERSONNELLES DE VOS LISTES

Si vous utilisez des listes, propres ou achetées auprès de tiers, il reste très important de vérifier que les personnes ont consenti à votre marketing, votre publicité, d’une façon similaire à celle exigée par le RGPD. La définition du consentement sera identique sous E-Privacy.

Il est de votre responsabilité de vérifier la base légale des données personnelles que vous utilisez.

Achetez vos listes auprès de vendeurs sérieux et demandez-leur les bases légales des données qu’ils vous vendent. [9]

Si le vendeur de listes de données à des fins de publicité ou marketing ne peut prouver que les données ont été acquises sur des bases légales sous le RGPD, changez de fournisseurs.

Vous ne devrez pas forcément tout effacer, dans votre base de données marketing, sales ou publicité, cependant il est nécessaire de vérifier si vous avez obtenu ces données sous des conditions de consentement identiques à celle du RGPD ou sous une autre base légale du RGPD.

Sinon il faudra trouver une autre base légale aux données de vos listes.

Au cas où vous traitez de données sans base légale, vous devez les effacer.

Si vous conservez des données personnelles sans aucune base légale, cela sera un manquement grave et vous risquez une amende administrative dans la tranche maximale [10] de 20 millions d’Euros ou 4% de votre chiffre d’affaires mondial, le plus grand chiffre étant retenu.

On ne vous demande pas d’avoir informé les personnes d’une façon aussi détaillée et précise que sous le RGPD ou E-Privacy, mais il faut démontrer que la personne a donné un consentement suffisamment informé et libre.

Tout élément d’une pression ou d’une influence sur la personne invalidera votre collecte.

Pas de consentement automatique au marketing avec une case pré-cochée lors d’un achat par exemple. Cela n’est pas un consentement valable. [11]

Pas de “cookie wall “ empêchant l’accès au site si la personne n’accepte pas vos conditions de traçage par cookies. Le consentement sous cette forme est invalide sous les nouvelles règles. L’accès au service ne peut dépendre de l’abandon du contrôle des données personnelles.

OBLIGATIONS DES SOCIÉTÉS DE E-MARKETING VIS À VIS DE LEURS CLIENTS EN B TO B

En tant que marketeurs agissants comme sous-traitants [12] , vous devrez démontrer votre conformité RGPD.

“Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.“ [13]

NOUVEAU 

Vous perdrez des marchés avec les entreprises elles-mêmes soumises au RGPD si vous ne démontrez pas que vous avez pris toutes les mesures organisationnelles et techniques demandées par le texte.

Vous devrez aussi être capables de proposer à vos clients business des processus, des offres de marketing qui intègrent la protection des données personnelles dès la conception.

La conformité RGPD n’est pas que technologique (assurer la sécurité des données) elle est surtout organisationnelle. C’est un changement de culture de la gestion des données.

La protection des droits et libertés DE LA PERSONNE doivent être au centre des préoccupations durant tout le cycle d’utilisation de ses données, du recueil à l’effacement.

DEVOIR DE CONSEIL AUPRÈS DE VOS CLIENTS BUSINESS

“le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.“ [14]

Le texte est clair, vous ne pouvez accepter d’exécuter un traitement non conforme au RGPD, que votre client, responsable du traitement, inclurait dans votre contrat de sous-traitance.

DEVOIR D’ACCOUNTABILITY, DE RENDRE DES COMPTES

À qui ?

  • au responsable des données
  • aux personnes concernées
  • aux autorités centrales

Même en tant que sous-traitant vous serez responsable de la totalité des dommages causés par le traitement sur les données. [15]

CONSEIL 

Revoyez vos contrats de sous-traitance en établissant une répartition claire des responsabilités, des assurances ou compensations au cas de poursuite.

Une personne concernée peut s’adresser uniquement à vous pour exercer ses droits dont celui d’accès à ses données, de portabilité (sous certaines conditions), d’effacement (dans des conditions particulières)

OPPORTUNITÉS DE VOTRE MISE EN CONFORMITÉ

Certaines sociétés devront revoir leur modèle de business, par exemple celles qui adaptent le prix de leurs offres selon un profilage des visiteurs de leurs sites, celles qui vivent de la collecte massive de données personnelles qu’elles revendent à des fins publicitaires ou de marketing direct.

Au bout du compte, ne désirez-vous pas des données de personnes impliquées dans votre offre au lieu de faire confiance à des sociétés qui restent opaques sur leurs critères de sélection des clients cibles ?

Peut-être rechercherez-vous un engagement plus sain des prospects , moins intrusif sur leur vie privée.

Votre mise en conformité portera surtout la révision de vos processus d’information des personnes, de collecte, de conservation, d’accès, de transfert, d’effacement des données.

Toute votre réflexion devrait être enregistrée dans un but de transparence.

ATTENTION :

La mise en conformité n’est pas remplie en une seule étape, c’est un processus à vérifier très régulièrement (tous les 6 mois, 1 an ?) selon votre utilisation des données personnelles dans votre activité.

Changer un processus, lui donner une autre finalité vous imposera de revoir votre conformité et de vous poser la question d’un changement de base légale qui justifierait cette évolution.

NE NÉGLIGEZ PAS LES INDICES D’UN PHÉNOMÈNE DE PRISE DE CONSCIENCE DES PERSONNES DES RISQUES POUR LEURS DONNÉES PERSONNELLES.

L’information sur les droits des personnes dans le RGPD va circuler dans les journaux grand public.

Les incidents sur les données sont de plus en plus importants et de plus en plus médiatisés, la gratuité de toutes des offres internet va certainement évoluer vers un modèle où le produit ne sera pas seulement la personne.

Les excès de profilage publicitaires devront être corrigés pour respecter la nouvelle donne RGPD et E-Privacy.

Reste à voir l’application des moyens de contrainte des textes à l’avenir. Dans quelle mesure les Autorités centrales de contrôle (CNIL en France) vont utiliser leurs pouvoirs d’amendes très augmentés.

Est-ce que les personnes vont utiliser leur droit de recours collectif [16] en cas de manquement au texte par une organisation ?

Des questions ?

Des remarques constructives ?

Contactez-moi via le formulaire de contact ci-dessous

Suivez-moi sur Twitter

NOTES

[1] Voir mon article “Suis-je concerné(e)par le RGPD (GDPR) ?“ https://mementosafe.com/concerne-rgpd-gdpr/

[2] EEE : tous les États membres de l’Union Européenne plus le Liechtenstein, la Norvège et l’Islande.

[3] Étude par PEGASYSTEMS Inc. Déc. 2017, 7 pays européens U.K., France, Allemagne, Espagne, Suède, Italie, Pays Bas “Show Me The Data,” www.pega.com/GDPR-survey

[4] THE GUARDIAN , Alex HERN, 9/01/2018, “ “No tracking, no revenue: Apple’s privacy feature costs ad companies millions“ https://www.theguardian.com/technology/2018/jan/09/apple-tracking-block-costs-advertising-companies-millions-dollars-criteo-web-browser-safari

[5] Commentaire de la société Sizmeck par exemple “Ultimately, advertising is changing, and many leading companies including Sizmek have already taken steps to prepare for a future where cookies are simply not as important as they once were. From cross-device graphs that use probabilistic and deterministic methods to aid in identification to mobile advertising IDs for in-app advertising to using other forms of data, such as campaign, contextual, creative and cost, that improve the relevance of advertising—there’s never been a better time to be a marketer.“ “Understanding Safari Intelligent Tracking Prevention (ITP)“ September 22, 2017 https://www.sizmek.com/blog/understanding-safari-intelligent-tracking-prevention-itp/

[6] Art 4-4 , emphase ajoutée par l’auteure – RGPD Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[7] “ Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 “ ARTICLE 29 DATA PROTECTION WORKING PARTY, 3 october 2018. http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47963

[8] RGPD Récital 47, supra, note 6. Mais attention, les récitals ne sont pas le droit, seuls les articles sont une base légale.

[9] VOIR mon article “ Perdus dans le RGPD ? Les bases légales “ https://mementosafe.com/rgpd-collecte-donnees/

[10] RGPD, Art 83-5 a), supra, note 6

[11] Guidelines on Consent under Regulation 2016/679, ARTICLE 29 DATA PROTECTION WORKING- PARTY, 28 november 2017, http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849

[12] RGPD, Art 28, supra, note 6

[13] Art 28-1, ibid.

[14] Art 28-3 h) al.2, ibid

[15] RGPD, Art 82-4, ibid.

[16] RGPD, Art 80, ibid.

error: Ce Contenu est protégé
Back To Top