Liste de contrôle de la conformité au GDPR pour les spécialistes du marketing numérique
Si vous n'avez pas entendu parler du nouveau règlement GDPR, ce billet est pour vous.
Sérieusement, le GDPR est important ; il change la donne, et vous devez agir en conséquence. De préférence maintenant.
C'est pourquoi nous avons élaboré cette liste de contrôle de la conformité au GDPR pour les spécialistes du marketing numérique.
Tout d'abord, cette nouvelle loi entre en vigueur le 25 mai 2018 et affecte tous les spécialistes du marketing numérique et de l'email dans l'UE. Il va sans dire qu'elle ne peut être ignorée. L'impact sera énorme. Commencez à vous préparer dès maintenant.
Qu'est-ce que le GDPR ?
Introduit pour remplacer la loi initiale sur la protection des données de 1998, le GDPR est conçu pour protéger les consommateurs et les entreprises, en normalisant la collecte et le partage des données. À l'avenir, les données des consommateurs ne pourront être utilisées qu'aux fins pour lesquelles elles ont été acquises. La manière dont vous distribuez les données de vos clients est en train de changer, quel que soit l'endroit du monde où ces données sont stockées et traitées. Chacun des 500 millions de citoyens de l'UE sera concerné.
La définition officielle du GDPR est la suivante :
"toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement".
Les données à caractère personnel concernent tout ce qui permet d'identifier une personne, même des caractéristiques aussi granulaires que l'affiliation politique. L'adresse IP est désormais également considérée comme une donnée personnelle identifiable.
Nous vivons dans un monde où les données de première et de tierce parties sont le moteur du numérique, révolutionné par les médias sociaux et les smartphones. Mais le nouveau règlement va complètement transformer les règles pour les spécialistes du marketing.
Qui cela va-t-il affecter ?
La législation affectera tous ceux qui utilisent des données personnelles à des fins de marketing. Qu'il s'agisse de marketing par courriel ou de publicité sociale, vous serez concerné.
Les personnes qui utilisent des données de tiers, par exemple en louant des listes d'adresses électroniques, seront beaucoup plus durement touchées. Pour l'essentiel, vous ne pourrez plus les utiliser, car vous n'avez pas demandé l'accord des personnes figurant sur la liste. Vous ne pourrez pas non plus prouver que ces personnes vous ont donné l'autorisation de les contacter.
En outre, ce sont les propriétaires de ces listes de tiers qui en pâtiront. À moins qu'ils n'obtiennent une nouvelle autorisation pour leurs listes, celles-ci deviendront redondantes. Vous devez être en mesure de prouver que vous avez une relation directe avec la personne que vous cherchez à contacter. Dans le cas contraire, vous ne pouvez pas la contacter et, en outre, vous ne devez pas détenir ses données. Les données doivent toujours être traitées légalement et dans un but précis. Une fois cette finalité atteinte, les données en question doivent être supprimées.
En outre, si une personne souhaite que ses données soient supprimées de votre base de données et qu'elles ne soient plus utilisées aux fins pour lesquelles elles ont été acquises, elle a le droit de le faire. C'est ce que l'on appelle communément le "droit à l'oubli".
Plus précisément, le GDPR s'applique aux "responsables du traitement" et aux "sous-traitants" des données. Même si l'un ou l'autre est basé en dehors de l'UE, tant qu'il traite des données appartenant à des résidents de l'UE, il reste soumis au GDPR.
La collecte de données de prospects par des entreprises telles que Google et Facebook ne sera probablement pas affectée par le GDPR, principalement parce qu'elles entretiennent déjà des relations directes avec les clients. Ces réseaux sont donc susceptibles de bénéficier grandement de la législation, étant donné que les spécialistes du marketing pourraient voir une réduction de la taille de leurs propres données de première partie, et seront donc plus dépendants des réseaux sociaux pour atteindre les consommateurs.
Qu'est-ce qui va changer ?
Vous avez sans doute vu de temps à autre des articles alarmistes, détaillant les réactions spontanées des marques à la législation, certaines allant même jusqu'à supprimer complètement leur base de données d'adresses électroniques. Alors qu'en réalité, il suffit de mettre de l'ordre dans sa maison.
Si vous disposez actuellement d'un consentement explicite pour votre base de données, il est peu probable que cela suffise. Même si vous avez déjà contacté une personne, vous devrez à nouveau obtenir son consentement. ET avoir une trace de cette démarche. C'est là le principal problème : avoir une trace de la déclaration d'un utilisateur qui accepte de recevoir vos messages marketing, du moment où il a donné son consentement et de la manière dont il l'a donné.
Et vous devez dire COMMENT leurs données seront utilisées. Même si quelqu'un vous a tendu sa carte de visite et vous a dit "contactez-moi", cela ne suffit pas. Même un accord verbal ne résistera pas au GDPR. Le consentement doit être démontrable et enregistré.
Sans le consentement explicite de ces utilisateurs, la seule alternative est de disposer d'une base de données d'utilisateurs totalement redondante. C'est une situation qu'aucune entreprise ne souhaite et qui serait catastrophique.
Qu'en est-il du Brexit ?
Il n'y a aucun moyen d'y échapper : la législation sera mise en place, indépendamment du Brexit. Au moment où le GDPR entrera en vigueur, le Royaume-Uni fera toujours partie de l'UE. Nous savons déjà que le Royaume-Uni ne quittera pas l'UE avant au moins deux ans. Le gouvernement britannique a déjà confirmé que les changements se poursuivront.
Il est possible qu'ils revoient les réglementations une fois le Brexit terminé, mais il n'y a pas lieu d'anticiper cette possibilité ! Le GDPR est en train de se mettre en place et les entreprises doivent s'y conformer.
Qu'en est-il du reciblage par le biais d'audiences personnalisées ?
On pourrait arguer que les données étant pré-hachées avant d'être téléchargées sur Facebook, elles ne sont pas identifiables. Cependant, cela n'empêche pas qu'il s'agisse de données personnelles, car une fois que le téléchargement atteint Facebook, il est toujours associé aux données personnelles d'une personne sur Facebook. Par essence, vous essayez toujours de les identifier et de les atteindre avec de la publicité.
Avant l'entrée en vigueur du GDPR, vous pouviez potentiellement exécuter votre nettoyage de ré-autorisation sous forme de campagne publicitaire. Avec les annonces de prospects Facebook, vous pouvez simplifier ce processus et, en outre, enrichir vos données avec des questions supplémentaires. Considérez la réautorisation comme une opportunité d'enrichir votre base de données.
Comment le GDPR affecte-t-il le reciblage via Facebook Custom Audiences, LinkedIn Matched Audiences ou Google Customer Match ?
En utilisant les solutions de synchronisation d'audience de Driftrock, vous pouvez vous assurer que vous êtes du bon côté de la conformité GDPR. Notre logiciel peut synchroniser vos listes et segments CRM toutes les trois heures. Ainsi, chaque fois qu'une personne se désinscrit de votre CRM, elle sera supprimée de votre audience personnalisée sur Facebook, LinkedIn ou Google Matched Audiences. En savoir plus sur nos solutions GDPR pour le marketing numérique.
Quelles sont les conséquences de la non-conformité ?
Sérieusement, vous ne devriez même pas envisager d'essayer de vous en sortir. Les sanctions en cas de non-respect du GDPR sont des amendes pouvant aller jusqu'à 20 millions d'euros, ou 4 % de votre chiffre d'affaires annuel mondial.
N'oubliez pas non plus qu'au fur et à mesure que le GDPR se généralise, les consommateurs en prendront de plus en plus conscience, connaissant ainsi leurs droits, leur capacité à déposer une plainte et la possibilité de réclamer une indemnisation. Vous ne voudriez pas vous retrouver dans cette situation - le risque pour la réputation de votre marque n'en vaut tout simplement pas la peine.
Pensez à l'IPP : personne n'en avait entendu parler il y a dix ans. Aujourd'hui, il fait partie intégrante de la conscience des consommateurs, tout comme leurs possibilités de dédommagement.
Si vous avez des doutes sur une partie de vos données et sur la manière dont vous les avez collectées au départ (c'est-à-dire si vous ne savez pas si l'autorisation a été demandée), plutôt que d'essayer d'obtenir une nouvelle autorisation, il peut être plus sûr de les supprimer tout simplement.
Quelle est la meilleure façon d'obtenir une nouvelle autorisation ?
Tout d'abord, vous devez vous préparer à ce que les personnes ne répondent pas à votre demande de réautorisation. Il y a de fortes chances que vous réduisiez la taille de votre base de données de contacts grâce à cet exercice. Potentiellement, ce sera un carnage pour les spécialistes du marketing. Et si vous n'obtenez pas la réautorisation, l'option suivante consiste à supprimer les données de l'utilisateur. C'est l'option la plus sûre, afin d'éviter toute sanction.
Vous avez bien sûr la possibilité de ne plus jamais contacter de clients de l'UE, puisque la législation ne concerne que l'UE. Mais il est peu probable que cette option soit judicieuse pour la plupart des entreprises de l'UE.
Avant de demander une nouvelle autorisation, il convient de se poser quelques questions, afin de s'assurer que l'on souhaite bien signaler que l'on détient des données à caractère personnel. Même si vous détenez les coordonnées d'une personne qui a téléchargé un PDF sur votre site, vous ne pouvez pas en déduire qu'elle a accepté d'être ajoutée à votre liste d'adresses électroniques.
- Auriez-vous dû disposer de ces données dès le départ ?
- D'où proviennent les données ? S'agit-il de données de première ou de tierce partie ?
- Pourquoi disposez-vous de ces données ?
- Avez-vous l'autorisation explicite de faire du marketing auprès d'une personne ?
Si, à l'issue de ces questions, vous pouvez toujours affirmer que vous détenez les données de manière légitime, il est alors temps de décider de la manière exacte dont vous allez demander une nouvelle autorisation. En outre, comme nous l'avons déjà mentionné, vous pouvez profiter de l'occasion pour obtenir des informations supplémentaires auprès de vos contacts, par exemple en sondant leur opinion et en enrichissant les données que vous détenez à leur sujet.
L'essentiel est que vous puissiez au moins démontrer que vous avez pris des mesures pour vous préparer au GDPR. Il ne suffit pas de dire que nous avons planifié ceci et cela - il faut que de véritables efforts soient faits pour nettoyer vos données. D'ailleurs, pouvez-vous vraiment vous permettre de subir un préjudice représentant 4 % de votre chiffre d'affaires ? Je ne le pense pas.
C'est donc l'occasion de vous constituer une base de données de contacts qui VOULENT être contactés et qui vous ont dit COMMENT ils aimeraient être contactés et sur QUOI ils aimeraient être contactés. Constituez une base de données de personnes qui souhaitent être contactées par vous et découvrez exactement comment elles souhaitent être contactées.
Il est temps de mettre vos données en ligne.
Vous voulez savoir comment Driftrock peut vous garder du bon côté de la GDPR avec nos outils d'automatisation de l'audience CRM? En savoir plus sur les solutions de Driftrock en matière de GDPR :
