Le RGPD, vous l’avez subi pendant des mois. Vous avez reçu des tonnes d’emails et lu des centaines d’articles à son sujet. Vous vous êtes arraché les cheveux pour bien comprendre le texte, jusqu’à décrypter ses passages les plus obscurs, afin de ne pas risquer de mettre votre entreprise en situation de non-conformité…
Maintenant, ça y est, le Règlement général sur la protection des données est passé. Mais avez-vous bien tout saisi ? Êtes-vous en mesure d’appliquer ses dispositions ? De démontrer à l’autorité compétente (la CNIL) que vous respectez les règles ?
Plus globalement, savez-vous précisément comment le RGPD impacte votre stratégie digitale ?
Quelques mois après son entrée en vigueur, il est temps de revenir sur le Règlement européen pour visualiser ses effets concrets sur vos actions marketing – et notamment sur vos campagnes de publicité en ligne.
Piqûre de rappel : les grandes lignes du RGPD
Le Règlement général sur la protection des données est le texte de référence en matière de collecte, de traitement et d’exploitation des informations personnelles fournies par les utilisateurs, dans toute l’Union européenne.
Le précédent texte sur le sujet datait de 1995. Trois ans avant la naissance de Google ! C’était la préhistoire du web… et de l’Europe, qui ne comptait alors que quinze membres, contre vingt-huit aujourd’hui. Il était donc temps de se mettre à jour et d’harmoniser la réglementation.
Dans les grandes lignes, voici ce que change le RGPD au regard du traitement des données personnelles :
- Les entreprises qui collectent les données doivent obtenir le consentement explicite, éclairé et libre des utilisateurs.
- Toute personne ayant fourni des données personnelles peut demander à les récupérer, à ce qu’elles soient effacées ou transmises à un autre organisme.
- Les prestataires de services doivent intégrer le principe de « privacy by design » à leurs solutions de collecte et de traitement des données.
- Toute fuite de données ou violation des règles de sécurité d’une entreprise doit être signalée à la CNIL ainsi qu’aux utilisateurs concernés, dans un délai de 72 heures.
- Toutes les entreprises qui collectent et traitent des données dites « sensibles », ainsi que certaines organisations spécifiques et les structures de plus de 250 salariés, ont pour obligation de nommer une personne chargée d’assurer la conformité des processus avec le RGPD (un Data Protection Officer).
Avec, à la clé, une grosse pénalité en cas de manquement : la sanction prévue par les autorités européennes peut aller jusqu’à 4 % du chiffre d’affaires de l’entreprise fautive. De quoi vous faire passer l’envie de jouer avec le feu.
Pourquoi êtes-vous concernés par le RGPD ?
Connaître les dispositions du RGPD, c’est une chose. Savoir dans quelle mesure elles impactent votre stratégie digitale, et comment vous devez vous y adapter, c’en est une autre.
D’abord, soyons clairs sur un point : si vous déployez une stratégie digitale, vous collectez des données d’utilisateurs. Tous les échanges digitaux impliquent de recueillir des données.
C’est vrai dans tous les cas de figure : que vous soyez un e-commerçant ou une entreprise vendant des aspirateurs dans des boutiques physiques, que vous utilisiez un site web ou une application mobile, vous avez forcément des utilisateurs qui laissent des traces sur vos supports digitaux – dès lors que vous avez mis en place une stratégie en ligne.
C’est vrai également pour tous les leviers d’acquisition : référencement naturel ou payant, Google AdWords ou publicités sociales, etc.
Dans tous les cas, vous récupérez des informations permettant d’identifier les utilisateurs (noms et prénoms, adresses IP, cookies…) et des données indispensables pour pouvoir communiquer avec eux dans l’avenir (adresse mail ou postale, numéro de téléphone, etc.).
Voilà pourquoi vous êtes concernés !
Quel impact sur votre stratégie digitale ?
L’impact du RGPD sur votre stratégie digitale se fait à plusieurs niveaux :
- La règle d’or de toute relation avec vos prospects, c’est le consentement. Plus question d’acheter des adresses email en masse et de balancer des messages impersonnels, ou de pratiquer le « cold calling ». Vous pouvez dire adieu aux méthodes marketing intrusives. En lieu et place, il faudra pouvoir démontrer à la CNIL que l’acceptation de l’utilisateur découle d’une démarche active et personnelle, en toute connaissance de cause. Le double opt-in (la sur-validation via un mail) est fortement recommandé.
- Le traitement des données personnelles doit répondre à une logique de transparence et de rationalité. À chaque fois qu’un internaute remplit un formulaire sur votre site web, la finalité de l’utilisation de ses données doit être clairement renseignée – et vous ne pourrez pas vous en servir pour autre chose. Une adresse mail destinée à l’envoi d’une newsletter ne devra être utilisée que dans ce but. Le bon côté des choses, c’est que le RGPD vous contraint à rationaliser votre collecte des données pour privilégier l’essentiel (ce qui ne peut pas vous faire de mal).
- La collecte et le traitement des données personnelles de vos utilisateurs sont sous votre responsabilité. Si vos processus ne sont pas à jour ou pas suffisamment sécurisés, si vos logiciels (CRM, logiciel de gestion, outil de facturation…) ne répondent pas aux obligations du RGPD, c’est pour votre pomme. Oui, vous avez bien lu : vous avez tout intérêt à choisir des sous-traitants (éditeurs de logiciels, sociétés de traitement des données, agences SEO ou SEA…) qui sont eux-mêmes en conformité avec la loi !
- Le suivi de votre stratégie digitale est soumis aux directives du nouveau règlement. Dans la mesure où le cookie tombe sous le coup du RGPD, vous êtes dans l’obligation de recueillir le consentement de vos utilisateurs pour pouvoir analyser leur comportement et les suivre via des outils Analytics. Conséquence directe : vous devez adapter (si ce n’est pas encore fait) votre message d’acceptation des cookies, la fenêtre pop-up qui s’affiche quand un internaute arrive sur votre site web. En donnant à celui-ci la possibilité de révoquer son consentement quand il le souhaite.
N’oubliez pas que vos publicités en ligne sont concernées, aussi bien que vos actions de référencement naturel. Et qu’il en va aussi de votre e-réputation : à l’heure où 90 % des Français se disent préoccupés par la protection de leurs données personnelles en ligne (sondage CSA de 2017), un manquement de votre part aux obligations stipulées dans le RGPD vous mettrait en porte-à-faux vis-à-vis de vos prospects et clients.
L’impact serait alors étendu à votre image de marque, avec des conséquences difficilement réversibles !