GDPR et marketing direct : comment se mettre en conformité ?

Le règlement général sur la protection des données (RGPD) ou plus couramment connu sous le terme « General Data Protection Regulation » ou GDPR, a été adopté en avril 2016 au Parlement Européen et devrait entrer en vigueur dès le 25 mai 2018.

La GDPR concerne toute entreprise qui collecte, stocke et traite des données à caractère personnel qui permettent directement ou indirectement d’identifier une personne.

La GDPR vise à donner aux individus, aux prospects, aux clients et aux employés plus de pouvoir sur leurs données personnelles et à réduire à l’inverse le pouvoir des entreprises qui collectent et utilisent les données à des fins de monétisation ou de prospection marketing et commerciale.

La GDPR oblige notamment les entreprises (aussi bien les TPE, PME que les grands groupes et le Service Public) à revoir leur politique de collecte de données personnelles ainsi que la manière dont elles traitent ces informations afin de garantir aux citoyens davantage de garanties et de transparence quant à leurs données qu’ils partagent.

Ce nouveau règlement implique ainsi une remise en cause des stratégies de Relation Client et de Marketing Direct, nécessitant dans la plupart des cas l’implémentation de solutions techniques capables d’organiser, de sécuriser et d’automatiser les processus de gestion des données personnelles (CRM, formulaires en ligne, emailing, …).

 

 

En quoi consiste le Règlement général de Protection des Données (GDPR) ?

 

GDPR

 

La GDPR, ou Règlement Général de Protection des Données, offre aux citoyens des Etats membres de l’UE de meilleures garanties de sécurité et un meilleur contrôle quant au traitement fait de leurs données personnelles.

La GDPR définit les données personnelles comme « toute information concernant une personne physique identifiée ou identifiable », soit directement (prénom, nom), soit indirectement (email, téléphone, identifiant, adresse IP, données comportementales). Sont concernées aussi bien les données privées, professionnelles que publiques rattachées à un individu.

Les sanctions pour non-conformité aux obligations de la GDPR prévues sont très lourdes : 4% du chiffre d’affaires annuel mondial, et jusqu’à 20 millions d’euros. La mise en oeuvre des nouvelles règles de protection des données personnelles a des implications sur le fonctionnement global des entreprises, notamment dans leurs activités marketing.

Le règlement sur la protection des données offrira aux individus les droits suivants:

 

#1 : Consentement explicite pour la collecte et la communication directe.

La nouvelle réglementation relative à la protection des données à caractère personnel (GDPR ou RGPD) sera applicable, dès lors qu’une donnée à caractère personnel sera identifiée et qu’elle fera l’objet d’un traitement, quelle que soit sa forme.

Aussi, en plus du consentement pour utiliser des cookies sur leur site Web pour suivre le comportement des individus, les entreprises devront obtenir de leur part un consentement explicite et prouvable pour pouvoir leur envoyer une communication, quelle qu’elle soit (email, SMS, courrier,…). Ce consentement pourra être retiré à tout moment.

Le consentement devra être :

  • Libre : non forcé ;
  • Spécifique : la collecte de données doit avoir une finalité précise ;
  • Éclairé : les individus doivent être avertis clairement sur les objectifs;
  • Univoque : le consentement ne doit pas être détourné pour une autre utilisation.

 

Afin d’être en conformité totale avec la GDPR, les entreprises devront pouvoir démontrer que le consentement a été donné par l’utilisateur pour le traitement des données personnelles, ce qui exclut le recours aux cases pré-cochées par défaut.

Ainsi, à moins que vous ne disposiez d’une trace prouvant le consentement de vos contacts actuels, vous ne pourrez plus leurs envoyer de campagnes d’emails marketing, même s’ils sont déjà clients. Votre liste de contacts existante devra alors faire l’objet d’une campagne d’activation via un mécanisme de double opt-in conforme à la GDPR.

Pour gérer leurs campagnes de génération de prospects (leads), les entreprises vont devoir utiliser des mécanismes de double opt-in ainsi que des outils permettant de savoir en détail à quel moment leurs clients ou prospects ont donné leur consentement et de quelle manière.

Si vous traitez des données fournies par des fournisseurs, vous devrez au préalable vous assurer que ces contacts ont donné leur consentement pour être contacté par d’autres sociétés et disposer d’un contrat clair avec vos fournisseurs afin de respecter la nouvelle réglementation.

 

Néanmoins, il ne suffira pas de collecter le consentement des personnes concernées pour que le traitement soit valide. Pour être conforme avec la nouvelle réglementation relative à la protection des données, la GDPR impose également que les données collectées respectent les 5 conditions suivantes :

  • être traitées de manière « licite, loyale et transparente« ,
  • être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »,
  • être traitées de manière « adéquates, pertinentes et limitées » au regard de la finalité du traitement. C’est à dire que seules les données nécessaires à la finalité du service pourront être collectées, pas plus…et uniquement « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées« 
  • être « exactes« , ou à défaut être « rectifiées«  ou obligatoirement « effacées sans tarder « 
  • être conformes au principe d’intégrité et de confidentialité : le responsable du traitement devra « garantir une sécurité appropriée des données« .

Exceptions : La GDPR spécifie 5 cas pour lesquels le traitement de données ne nécessite pas de consentement.

Un traitement des données personnelles pourra être effectué sans le consentement préalable et explicite des personnes concernées :

  • si le traitement est nécessaire à l’exécution d’un contrat / pré-contrat,
  • si le traitement est nécessaire au respect d’une obligation légale,
  • si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  • si le traitement est nécessaire à une mission d’intérêt public,
  • si « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données [personnelles], notamment lorsque la personne concernée est un enfant ».

 

 

#2 : Le droit d’accès aux données personnelles.

Cela signifie que les individus pourront demander un accès à leurs données personnelles et demander quel usage l’entreprise en fait une fois collectées. L’individu sera en droit d’obtenir gratuitement de la part de l’entreprise un document listant toutes les données personnelles détenues par l’entreprise sur lui.

 

#3 : Le droit à l’oubli.

Si un client cesse d’être client, ou s’il souhaite retirer son consentement quant à l’utilisation de ses données par l’entreprise, il pourra exiger à l’entreprise l’effacement de ses données, sauf si le traitement des données fait partie des exceptions citées ci-dessus.

Aussi, les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans devront être supprimées.

 

#4 : Le droit à la portabilité des données.

Les individus auront le droit de récupérer leurs données auprès de l’entreprise à des fins de réutilisation (dans le cadre d’un changement de fournisseur de services par exemple).

 

#5 : Le droit de notification. 

En cas de fuite de données concernant un individu, celui-ci aura le droit d’être informé dans un délai de 72h suivant la découverte de la fuite.

 

Comment se mettre en conformité avec la GDPR ?

Vous avez jusqu’au 25 mai 2018 pour vous mettre en conformité avec la réglementation GDPR.

Pour être conforme avec la GDPR, vous devrez valider les éléments suivants.

  • Vous devrez faire un inventaire des données actuelles à caractère personnelle que vous possédez et devrez classifier ces données en fonction de leur usage et de leur importance juridique et fiscale par rapport à votre entreprise. Certaines données personnelles seront sauvegardées et utilisées dans le cadre d’une gestion commerciale et administrative standard, alors que d’autres données de prospection devront faire l’objet d’une attention plus particulière quant à leur utilisation.
  • Déterminer les données que vous devez conserver et supprimer les informations non-exploitées ou non légitimes. Si votre entreprise collecte de nombreuses données en masse dans le but de les exploiter dans le futur, cela ne sera plus possible après l’entrée en vigueur de la GDPR. La collecte de données devra répondre à un objectif précis et le stockage de ces données sera limitée dans le temps en fonction des objectifs.
  • Vous devrez éditer un document interne officiel sur la conformité GDPR de votre entreprise qui aura pour objectif de définir clairement la finalité des traitements réalisés à partir des données personnelles recueillies, les moyens de sécurité mis en œuvre, et la durée de conservation des données recueillies. Un registre de conformité sera obligatoire pour toutes les entreprises de plus de 250 salariés. Ce registre de conformité devra comporter la liste des traitements opérés, leurs finalités, les catégories de personnes concernées et des données traitées, ainsi que les personnes qui auront accès à ces données…
  •  En plus de vos conditions générales de l’entreprise, vous devrez rendre accessibles vos conditions d’utilisation des données afin que vos clients et prospects puissent connaître à tout moment le traitement que vous faites des données personnelles recueillies.
  • Vos communications devront intégrer un call-to-action visible et explicite quant à la possibilité d’accéder, de modifier  ou de supprimer à tout moment les données personnelles les concernant.
  • Vous devrez communiquer clairement auprès des membres de votre entreprise sur les règles à appliquer concernant la collecte et l’utilisation de données personnelles et des moyens mis en œuvre pour la respecter.
  • Enfin, vous devrez revoir vos dispositifs de collecte et de traitement des données personnelles. A partir de mai 2018, vos outils d’Inbound Marketing devront respecter le consentement explicite de vos utilisateurs quant à l’utilisations que vous ferez de leurs données. Un dispositif de double Opt-in adapté à la GDPR devra être mis en place.

 

Comment obtenir vos « consentements explicites » grâce au Marketing Automation ? 

 

GDPR-Automation

 

La General Data Protection Regulation (GDPR) reprend le principe de « privacy by design », qui consiste à organiser la protection des données dès le processus de collecte. Cela implique la mise en place d’un processus global et homogène de la collecte, du traitement et de la sécurisation des données par l’entreprise. Pour rappel, les solutions que vous allez mettre en place doivent pouvoir prouver que vous avez obtenu le consentement explicite de vos contacts…

Aussi, la mise en place de scénarios de Marketing Automation, de formulaires et de landing pages dans le but de recueillir des données personnelles devront dorénavant être validés « GDPR » par le service légale de l’entreprise. Une solution de Marketing Automation permettra néanmoins de valider des « templates » types duplicables à volonté par les équipes marketing.

Pour vous aider dans la préparation de vos scénarios, formulaires et pages d’atterrissage validés « GDPR », voici quelques étapes à suivre au travers du logiciel de Marketing Automation Triggeo, une solution très abordable et complète, s’appuyant sur la couche logicielle Open Source Mautic  :

 

#1 : Préparez votre texte de demande de consentement.

La demande de consentement doit être facilement compréhensible pour tout individu. Toute technique d’approbation forcée ou cachée, comme l’utilisation de case pré-cochée ou la formulation trop vague des conditions d’utilisation des données sera refusée par la GDPR.

Vous devrez indiquer votre demande de consentement clairement sur votre « page d’atterrissage » où se trouve votre formulaire.

Exemple de demande de consentement lors du téléchargement d’un Livre Blanc:

« En téléchargeant ce Livre Blanc, vous acceptez que [nom de votre organisation] mémorise et utilise vos données personnelles collectées dans ce formulaire dans le but d’améliorer votre expérience et vos interactions avec ses services.

En l’occurrence, vous autorisez [nom de votre organisation] à communiquer occasionnellement avec vous s’il le juge opportun afin de vous apporter des informations complémentaires sur ses produits, ses services, et ses offres marketing, via les coordonnées collectées dans le formulaire.

Afin de protéger la confidentialité de vos données personnelles, [nom de votre organisation] s’engage à ne pas divulguer, ne pas transmettre, ni partager vos données personnelles avec d’autres entités, entreprises ou organismes, quels qu’ils soient, conformément au Règlement Général de Protection des Données de 2018 sur la protection des données personnelles et notre politique de protection des données (disponible sur notre site web <URL de la page Web>). »

 

#2 : Insérez clairement votre demande de consentement sur vos formulaires.

Le texte de La demande de consentement ne devra pas être positionné au milieu du texte de description de votre contenu marketing. Il devra être clairement mis en avant dans le formulaire de téléchargement, entre les champs de renseignement et le bouton.

D’autre part, vous devrez ajouter une case vide que l’utilisateur devra cocher afin de démontrer qu’il a donné son consentement explicite.

formulaire GDPR

 

#2 : Ajoutez un mécanisme de « double opt-in » afin de pouvoir prouver le consentement explicite de vos contacts.

Afin de pouvoir prouver que vos contacts on bien donné leur consentement explicite, vous devez pouvoir garder une trace démontrant que vos contacts ont bien validé votre demande de consentement.

Le formulaire en lui-même pourrait suffire, néanmoins, le fait de télécharger un document  ou s’inscrire via un formulaire ne prouve pas que celui-ci indiquait clairement votre politique concernant la protection des données. Dans ce cas, il est préférable d’utiliser un processus de « double opt-in » qui permettra de confirmer que vos contacts ont bien accepté vos conditions d’utilisation de leurs données personnelles.

Le « double Opt-in » consiste à demander une confirmation par email à chaque internaute qui a rempli un formulaire sur votre site web. Afin de valider leur consentement, ils devront alors cliquer sur un lien dans l’e-mail de confirmation. L’email étant nominatif et juridiquement non contestable, vous pourrez prouver que vos contacts on validé un courrier explicite quant à l’utilisation de leur données personnelles.

Une fois qu’un utilisateur saisit son nom et son adresse électronique sur un formulaire de site Web, le système de Marketing Automation envoie automatiquement un courrier électronique de validation à cet utilisateur pour qu’il valide son consentement via le lien prévu à cet effet. L’email spécifie clairement les conditions d’utilisation des données personnelles et permet à l’internaute de télécharger le document visé ou de s’inscrire à un évènement . L’utilisateur est alors « Opted-in » dans la liste des contacts.

 

Exemple de scénario de validation GDPR.

Pour mettre en place votre scénario Double Opt-in conforme à la GDPR, vous devrez dans un premier temps :

  • Créer votre formulaire avec la demande de consentement comme indiqué ci-dessus.
  • Créer votre email de double opt-in, reprenant le texte de demande de consentement et en précisant qu’en téléchargeant le document (ebook, livre blanc,…), votre interlocuteur donne son consentement comme indiqué ci-avant. Ajouter dans votre email un bouton call-to-action  » accéder au livre banc » ou « téléchargez l’ebook ». Ce bouton renverra vers la landing page de confirmation.
  • Créer votre landing page de remerciement, et ajoutez un accès à la page de préférence afin que l’internaute puisse accéder à ses informations personnelles et modifier ses préférences, voire se désinscrire totalement de votre liste de contacts s’il le souhaite.
  • Créer deux segments de contacts: un pour vos e-mails en attente de validation, et un autre pour vos e-mails confirmés.

 

Validez ensuite votre campagne.

Dans le générateur de campagne, après avoir soumis le formulaire de téléchargement, vous devez créer deux actions :

  • la première inscrira les coordonnées de votre nouveau contact dans une liste temporaire appelée « en attende de confirmation », l’action étant de changer le segment du contact,
  • la seconde déclenchera l’envoi de l’email de confirmation.

 

Dans la continuité de l’envoi de l’email de confirmation, ajoutez un bloc de décision « visite une page ». L’URL que vous spécifiez doit être la page « Merci d’avoir téléchargé le livre blanc » ou tout autre document…

Enfin, sous le bloc « visite la page de confirmation », ajoutez une autre Action qui permettra de modifier le segment du contact de « en attente… » à  » Confirmé GDPR ».

La structure du générateur de campagne devrait ressembler à ceci :

 

scenario GDPR

Conclusion

La nouvelle réglementation GDPR relative à la protection des données à caractère personnel est une véritable opportunité pour redorer le blason du marketing direct et redonner à l’emailing sa légitimité perdue face au spamming. La GDPR va également permettre aux entreprises de mettre en place des outils de Marketing Automation plus efficaces pour gérer leurs bases de contacts, ainsi que leurs processus de gestion de leur marketing direct.

Enfin, la GDPR sera l’occasion pour certains de mettre en place une véritable stratégie d’Inbound Marketing conforme à la nouvelle réglementation et capable de générer de nouveaux leads de qualité pour booster l’activité commerciale de l’entreprise.

N’hésitez pas à nous consulter si vous souhaitez que nous vous accompagnions dans la mise en place d’une solution de Marketing Automation, ou d’une stratégie d’Inbound Marketing efficace et conforme GDPR. 

Partagez l’article…

LIVRES BLANCS

Le Guide du Content Marketing

Quelle stratégie de contenus adopter pour optimiser sa génération de leads B2B ?

Retrouvez nos derniers articles sur le même thème.

5 stratégies de marketing digital B2B incontournables

"Les enjeux du Marketing Digital sont principalement de maintenir une présence continue sur Internet, afin de conserver une visibilité importante face à ses concurrents."   Le Marketing Digital est en pleine transformation. Il se focalise de plus en plus sur...

3 scénarios de Marketing Automation les plus importants en B2B

Le Marketing Automation est une plateforme de gestion de vos activités marketing qui fonctionne en corrélation avec votre base de contacts (ou avec votre CRM). Le principe d'une plateforme de Marketing Automation est de pouvoir mettre en oeuvre des scénarios  de...

KeizerLead

117 avenue Victor Hugo 92100 Boulogne Billancourt Tel.: 01 30 46 37 45 Email: contact@keizerlead.com

Inscrivez-vous à votre newsletter