.svg)
Si vous n'avez pas encore entendu parler du nouveau règlement RGPD, cet article est fait pour vous.
Sérieusement, le RGPD, c'est du sérieux ; ça change la donne, et vous devez vous y mettre. De préférence dès maintenant.
Nous avons donc élaboré cette liste de contrôle pour la conformité au RGPD à l'intention des professionnels du marketing numérique.
Tout d'abord, cette nouvelle loi entrera en vigueur le 25 mai 2018 et concernera tous les professionnels du marketing numérique et de l'emailing au sein de l'UE. Inutile de préciser qu'il est impossible de l'ignorer. Son impact sera considérable. Commencez dès maintenant à vous y préparer.
Qu'est-ce que le RGPD ?
Destiné à remplacer la loi initiale sur la protection des données de 1998, le RGPD vise à protéger tant les consommateurs que les entreprises en harmonisant la collecte et le partage des données. À l’avenir, les données des consommateurs ne pourront être utilisées qu’aux fins pour lesquelles elles ont été collectées. La manière dont vous diffusez les données clients est en train de changer, quel que soit l'endroit dans le monde où ces données sont stockées et traitées. Chacun des 500 millions de citoyens de l'UE sera concerné.
La définition officielle du RGPD est la suivante :
« toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée, par une déclaration ou par un acte positif clair, indique qu’elle accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement ».
Les données à caractère personnel désignent tout élément permettant d'identifier une personne, y compris des caractéristiques aussi précises que l'appartenance politique. L'adresse IP est désormais également considérée comme une donnée à caractère personnel.
Nous vivons dans un monde où les données de première et de tierce main sont le moteur du numérique, un secteur révolutionné par les réseaux sociaux et les smartphones. Mais la nouvelle réglementation va bouleverser les règles du jeu pour les professionnels du marketing.
Qui cela va-t-il concerner ?
Cette législation concernera toute personne qui utilise des données à caractère personnel à des fins de marketing. Qu'il s'agisse de marketing par e-mail ou de publicité sur les réseaux sociaux, vous serez concerné.
Ceux qui seront le plus durement touchés sont les personnes qui utilisent des données provenant de tiers, par exemple en louant des listes d'adresses e-mail. En substance, vous ne pourrez plus les utiliser, car vous n'avez pas personnellement obtenu le consentement des personnes figurant sur ces listes. De plus, vous ne pouvez pas prouver qu'elles vous ont donné l'autorisation de les contacter.
De plus, ce sont les propriétaires de ces listes tierces qui en feront également les frais. À moins qu’ils ne parviennent à obtenir un nouveau consentement pour leurs listes, celles-ci deviendront inutiles. Vous devez être en mesure de prouver que vous entretenez une relation directe avec la personne que vous souhaitez contacter. Dans le cas contraire, vous ne pouvez pas la contacter et, de plus, vous ne devez pas conserver ses données. Les données doivent toujours être traitées de manière licite et dans un but précis. Une fois cet objectif atteint, les données en question doivent être supprimées.
De plus, si une personne souhaite que ses données soient supprimées de votre base de données et que celles-ci ne sont plus utilisées aux fins pour lesquelles elles ont été collectées, elle a le droit de le faire. C'est ce que l'on appelle communément « le droit à l'oubli ».
Plus précisément, le RGPD s'applique aux « responsables du traitement » et aux « sous-traitants ». Même si l'un ou l'autre est établi en dehors de l'UE, dès lors qu'il traite des données appartenant à des résidents de l'UE, il reste soumis au RGPD.
La collecte proprement dite de données de prospects par des entreprises telles que Google et Facebook ne devrait pas être affectée par le RGPD, principalement parce qu'elles entretiennent déjà des relations directes avec leurs clients. Ces réseaux devraient donc tirer un énorme avantage de cette législation, étant donné que les spécialistes du marketing pourraient voir le volume de leurs propres données de première main diminuer et qu'ils dépendront donc davantage des réseaux sociaux pour atteindre les consommateurs.
Alors, qu'est-ce qui va changer ?
Vous avez sans doute déjà vu ici et là des articles alarmistes qui détaillent les réactions des marques face à cette législation, certaines allant même jusqu'à supprimer purement et simplement leur base de données d'adresses e-mail. Or, en réalité, il suffit simplement de mettre de l'ordre dans ses affaires.
Même si vous disposez actuellement d'un consentement explicite pour votre base de données, cela ne suffira probablement pas. Même si vous avez déjà contacté une personne, vous devrez obtenir son consentement à nouveau. ET conserver une trace de cette démarche. C'est là le point essentiel : disposer d'une trace attestant qu'un utilisateur accepte de recevoir vos messages marketing, indiquant quand il a donné son consentement et de quelle manière.
Et vous devez préciser COMMENT leurs données seront utilisées. Même si quelqu’un vous a remis sa carte de visite en vous disant « n’hésitez pas à me contacter », cela ne suffit pas. Même un accord verbal ne tiendra pas la route face au RGPD. Le consentement doit être démontrable et consigné par écrit.
Sans obtenir le consentement explicite de ces utilisateurs, la seule alternative serait de disposer d'une base de données contenant des informations sur les utilisateurs qui serait totalement redondante. C'est une situation qu'aucune entreprise ne souhaite voir se produire et qui serait catastrophique.
Et le Brexit, alors ?
Il n'y a pas d'échappatoire : la législation entrera en vigueur, quel que soit le sort du Brexit. Au moment où le RGPD entrera en vigueur, le Royaume-Uni fera toujours partie de l'UE. Nous savons déjà que le Royaume-Uni ne quittera pas l'Union avant au moins deux ans. Le gouvernement britannique a déjà confirmé que ces changements seraient bel et bien mis en œuvre.
Il est possible que les réglementations soient réexaminées une fois le Brexit achevé, mais il ne sert à rien d'anticiper cette éventualité ! Le RGPD est en vigueur, et les entreprises doivent s'y conformer.
Et le reciblage via des audiences personnalisées ?
On pourrait faire valoir que, puisque les données sont pré-hachées avant d'être téléchargées sur Facebook, elles ne sont pas identifiables. Cependant, cela n'empêche pas qu'il s'agisse de données à caractère personnel : une fois le téléchargement effectué sur Facebook, ces données sont toujours recoupées avec les données personnelles d'un utilisateur sur Facebook. En substance, vous essayez toujours de cibler ces personnes et de leur envoyer des publicités.
Avant l'entrée en vigueur du RGPD, vous pouviez mener votre campagne de recueil de consentement sous la forme d'une campagne publicitaire. Grâce aux publicités à formulaire de Facebook, vous pouvez simplifier ce processus et, en outre, enrichir vos données à l'aide de questions supplémentaires. Considérez le recueil de consentement comme une occasion d'enrichir votre base de données.
Quel est l'impact du RGPD sur le reciblage via les audiences personnalisées de Facebook, les audiences correspondantes de LinkedIn ou Google Customer Match ?
En utilisant les solutions de synchronisation d'audience de Driftrock, vous pouvez vous assurer d'être en totale conformité avec le RGPD. Notre logiciel peut synchroniser vos listes et segments CRM toutes les trois heures. Ainsi, dès qu'un utilisateur se désabonne de votre CRM, il sera automatiquement supprimé de votre audience personnalisée sur Facebook, LinkedIn ou Google Matched Audiences. Découvrez nos solutions RGPD pour le marketing numérique.
Quelles sont les conséquences d'un manquement aux exigences ?
Sérieusement, vous ne devriez même pas songer à tenter de vous en tirer à bon compte. Le non-respect du RGPD est passible d'amendes pouvant atteindre 20 millions d'euros ou 4 % de votre chiffre d'affaires mondial annuel.
Gardez également à l'esprit qu'à mesure que le RGPD s'impose, les consommateurs en prendront de plus en plus conscience et connaîtront ainsi leurs droits, leur capacité à déposer une plainte et la possibilité de demander une indemnisation. Vous ne voulez pas vous retrouver du mauvais côté de la barrière : cela ne vaut tout simplement pas la peine de prendre un tel risque pour la réputation de votre marque.
Pensez aux PPI : personne n'en avait entendu parler il y a dix ans. Aujourd'hui, ils occupent une place importante dans l'esprit des consommateurs, tout comme la possibilité d'obtenir un dédommagement.
Si vous avez le moindre doute concernant une partie de vos données ou la manière dont vous les avez collectées à l'origine (par exemple, si vous ne savez pas avec certitude si une autorisation a été demandée), plutôt que d'essayer d'obtenir une nouvelle autorisation, il serait sans doute plus prudent pour tout le monde de simplement les supprimer.
Quelle est la meilleure façon d'obtenir une nouvelle autorisation ?
Tout d'abord, vous devez vous préparer à ce que certaines personnes ne répondent pas à votre demande de renouvellement de consentement. Il y a de fortes chances que cette opération réduise considérablement la taille de votre base de données de contacts. Cela risque fort de se transformer en véritable carnage pour les spécialistes du marketing. Et si vous n'obtenez pas ce renouvellement de consentement, la seule solution sera alors de supprimer les données de cet utilisateur. C'est l'option la plus sûre pour éviter toute sanction.
Vous avez bien sûr la possibilité de ne plus jamais contacter de clients de l'UE, puisque la législation ne s'applique qu'à l'Union européenne. Mais cela ne semble guère être une option judicieuse pour la plupart des entreprises de l'UE.
Avant de demander une nouvelle autorisation, il est utile de vous poser quelques questions au préalable, afin de vous assurer que vous souhaitez effectivement signaler que vous détenez les données personnelles d'une personne. Même si vous disposez des coordonnées d'une personne ayant téléchargé un fichier PDF depuis votre site, on ne peut pas en déduire qu'elle a accepté d'être ajoutée à votre liste de diffusion.
- Avez-vous jamais dû disposer de ces données ?
- D'où proviennent ces données ? S'agit-il de données primaires ou secondaires ?
- Pourquoi disposez-vous de ces données ?
- Avez-vous l'autorisation expresse de lui envoyer des messages publicitaires ?
Si, à l'issue de ces questions, vous pouvez toujours affirmer que vous détenez ces données de manière légitime, il est alors temps de décider comment vous allez précisément vous y prendre pour demander une nouvelle autorisation. De plus, comme mentionné précédemment, vous pouvez saisir cette occasion pour recueillir des informations supplémentaires auprès de vos contacts, par exemple en sondant leurs opinions, et ainsi enrichir les données que vous détenez à leur sujet. Par exemple : quelle est votre voiture préférée ?
Ce qu'il faut retenir avant tout, c'est que vous devez au moins pouvoir démontrer que vous avez pris des mesures pour vous préparer au RGPD. Il ne suffit pas de dire simplement que vous avez prévu telle ou telle chose : il faut que vous ayez réellement tenté de nettoyer vos données. D'ailleurs, pouvez-vous vraiment vous permettre de subir une amende équivalente à 4 % de votre chiffre d'affaires ? Je ne pense pas.
C'est donc l'occasion pour vous de constituer une base de données de contacts qui SOUHAITENT être contactés, qui vous ont indiqué COMMENT ils souhaitent l'être et sur QUELS SUJETS. Créez-vous une base de données de personnes qui souhaitent que vous les contactiez, et découvrez exactement comment elles souhaitent être contactées.
Il est temps de mettre de l'ordre dans vos données.
Vous souhaitez savoir comment Driftrock peut vous aider à respecter le RGPD grâce à nos outils d'automatisation des audiences CRM? Découvrez les solutions de Driftrock en matière de RGPD :