A son arrivée, le RGPD a bousculé les habitudes des départements marketing en imposant de nouvelles obligations aux entreprises. Ces obligations ne sont toutefois pas toutes nouvelles en France, le RGPD pouvant être considéré comme une version renforcée de notre loi « Informatique et Libertés » (loi nᵒ 78-17 du 6 janvier 1978).
En 2018, à la veille de l’entrée en application du RGPD, nous avons été nombreux à recevoir une avalanche d’invitations de la part des services marketing afin de consentir à recevoir des sollicitations de leur part. Cette année, quatre ans plus tard, l’attention revient sur les services marketing avec l’annonce par la CNIL de la prospection commerciale comme l’un de ses thèmes de contrôle pour 2022.
Quel impact du RGPD sur les services marketing ? Le cœur d’activité d’un service marketing nécessite le traitement des données à caractère personnel des clients et potentiels consommateurs : présentation – parfois personnalisée – des biens et services pour stimuler le besoin, recueil des avis sur ces biens et services, suivi et analyse des parcours des internautes, établissement de statistiques diverses… L’utilisation des données personnelles en marketing est aujourd’hui inévitable.
Il est donc essentiel pour les services marketing d’être en mesure de faire corps avec la protection des données personnelles dont disposent les personnes physiques. Comment se conformer à ces exigences ? Quelles pratiques adopter ?
Lors de l’arrivée du RGPD, la focalisation sur le consentement de la personne concernée pour justifier tout traitement de données a pu faire de l’ombre aux cinq autres bases légales prévues par l’article 6.1 (exécution d’un contrat, obligation légale, intérêt légitime de l’entreprise …). Bien que, dans le cadre des traitements de données des activités de marketing, la connaissance et la stimulation des besoins des personnes nécessitent souvent leur consentement, certaines situations ne le nécessitent pas forcément.
Dans son référentiel relatif à la gestion des activités commerciales paru en février 2022, la CNIL propose d’autres bases légales pour certaines opérations marketing : l’intérêt légitime de l’entreprise peut être utilisé pour les actions de prospection commerciale sans nécessité de récolte de consentement
L’utilisation de cookies et autres traceurs (pixel de traçage, fingerprinting, etc.) afin de permettre, par exemple, la publicité personnalisée nécessite obligatoirement la récolte du consentement de l’internaute.
Attention, ici le consentement demandé à l’internaute ne découle pas du RGPD mais de l’article 82 de la loi « Informatique et Libertés » (issu de l’article 5.3 de la directive ePrivacy). Par conséquent, comme il ne s’agit pas d’un choix entre six potentielles bases légale du RGPD mais d’un choix binaire imposé par la directive (consentement ou non),l’intérêt légitime ne peut donc pas être utilisé pour qu’un cookie puisse être déposé ou lu !
Néanmoins, il existe un lien entre le consentement au dépôt de cookie et le consentement du RGPD : le consentement de l’article 82 de la loi « Informatique et Libertés » doit répondre aux mêmes caractéristiques que celles du consentement posées par le RGPD … que nous allons détailler.
Les articles 4.11) et 7 du RGPD imposent de nouveaux standards en matière de consentement au traitement de données. Le consentement doit être donné par un acte positif clair qui est « libre, spécifique, éclairé et univoque ». Détaillons ces exigences :
Attention au consentement des mineurs pour les services de la société de l’information proposés directement à des enfants (tels que « les informations liées aux produits ou services, y compris les activités de marketing » comme l’explique le G29). En France, le traitement des données personnelles d’un enfant de moins de 15 ans fondé sur le consentement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale. Le G29 explique également que dans le cadre de traitements à faible risque pour les personnes, « la vérification de la responsabilité parentale par courrier électronique peut être suffisante ».
Une fois « bien » récolté, le responsable de traitement doit être en mesure d’apporter la preuve que le consentement a bien été recueilli. Le RGPD ne prescrivant pas précisément comment cela doit être fait, les responsables de traitement sont libres dans cette démonstration (ce qui renvoi au principe d’accountability). Il est alors possible, par exemple, d’avoir recours à l’horodatage par un clic ou un acte de navigation pour prouver ce recueil, il peut s’agir d’une signature sur un formulaire papier ou électronique, même si cette méthode se révèle très peu adaptée aux traitements marketing. La pratique du double opt-in (confirmer à nouveau son accord à recevoir des mails de sollicitation dans un mail initial de confirmation) est également une bonne pratique. Le CEPD (comité européen composé des représentants nationaux des autorités de contrôle, telle que la CNIL pour le France) propose par exemple, « dans l’environnement en ligne, de conserver des informations sur la session lors de laquelle le consentement a été donné, parallèlement à la documentation sur le flux de travail relatif au consentement à l’époque de la session et à une copie des informations fournies à l’époque à la personne concernée. »
Dans certains cas, il est également nécessaire de renouveler régulièrement le consentement de la personne concernée.
C’est le cas du dépôt/lecture de cookies sur le terminal de l’internaute. Dans cette situation, la CNIL explique dans ses recommandations relatives aux cookies que le consentement de l’internaute peut être oublié par celui-ci dans le temps. Par conséquent, la Commission recommande de renouveler son recueil à des intervalles régulières. A cet effet, la CNIL considère qu’un délai de 6 mois constitue une bonne pratique.
Le RGPD n’impose pas de renouveler à intervalles réguliers le consentement. Cependant, l’ICO (CNIL anglaise) recommande un renouvellement du consentement tous les 2 ans dans le cadre de pratiques protection de la vie privée des personnes.
Enfin, pour rappel, si les données avaient été collectées avant l’entrée en application du RGPD (25 mai 2018), les traitements marketing ne sont licites seulement si le consentement a été récolté dans les conditions prévues par le RGPD et détaillées plus haut (opt-in).
Les consommateurs ou professionnels peuvent cesser de porter un intérêt aux sollicitations des services marketing. Outre l’agacement de recevoir des sollicitations non désirées (et le potentiel passage de ces dernières en spam) qui produirait l’effet inverse de celui recherché, la réglementation impose de pouvoir faire cesser ces sollicitations :
La directive ePrivacy se recoupe ici à nouveau avec le RGPD : dans le cadre de la prospection commerciale par voie électronique, son article 13 (transposé à l’article L34-5 du Code des postes et des communications électroniques) rend indispensable le fait de proposer à chaque message électronique un moyen simple de s’opposer à la réception de nouvelles sollicitations (par exemple avec un lien pour se désinscrire à la fin du message).
La première étape sera la distinction entre les catégories de personnes concernées :
La deuxième étape consiste à insérer le mécanisme d’opt-in si nécessaire et, indépendamment de la nécessité d’opt-in, d’informer la personne de l’utilisation de ses données pour réaliser de la prospection :
Point d’attention, le parrainage : ici, l’entreprise demande à une personne de renseigner les coordonnées d’un tiers susceptible d’être intéressé par une offre commerciale, un article ou une annonce en ligne. Dans cette situation, sont manipulées des données personnelles d’un parrainé n’ayant jamais donné son consentement. La CNIL admet cette entorse au principe du consentement à certaines conditions :
Plus la base de données clients et prospects est grande, plus nombreuses sont les cibles et potentiellement plus important est le nombre de conversions. Néanmoins, la conformité au RGPD et plus largement à la protection des données personnelles pose des limites à la collecte de masse de données. D’ailleurs, il est interdit de réutiliser des données dans un autre but que celui pour lesquelles elles ont été collectées.
L’enjeu est donc de dépasser le stade de la contrainte pour tourner ces exigences en opportunités. La protection des données personnelles oblige le marketing à se recentrer aujourd’hui sur la qualité plutôt que la quantité. Cela implique, par exemple pour la prospection commerciale par voie électronique, une réduction du nombre des personnes touchées par les opérations de prospection. L’opportunité peut être perçue sur l’image de l’entreprise, grâce à la réduction de l’agacement envers l’entreprise émettrice pour les personnes plaçant ces sollicitations immédiatement dans leur corbeille ou indésirables. L’opportunité peut également être perçue d’un point de vue environnemental, avec une réduction de la pollution engendrée par le trafic internet.
– Nathan Brichet