enfr
Publications

RGPD et marketing comment gérer le consentement des utilisateurs

Publié le 14 mars 2022

A son arrivĂ©e, le RGPD a bousculĂ© les habitudes des dĂ©partements marketing en imposant de nouvelles obligations aux entreprises. Ces obligations ne sont toutefois pas toutes nouvelles en France, le RGPD pouvant ĂȘtre considĂ©rĂ© comme une version renforcĂ©e de notre loi « Informatique et LibertĂ©s Â» (loi ná”’ 78-17 du 6 janvier 1978).

En 2018, Ă  la veille de l’entrĂ©e en application du RGPD, nous avons Ă©tĂ© nombreux Ă  recevoir une avalanche d’invitations de la part des services marketing afin de consentir Ă  recevoir des sollicitations de leur part. Cette annĂ©e, quatre ans plus tard, l’attention revient sur les services marketing avec l’annonce par la CNIL de la prospection commerciale comme l’un de ses thĂšmes de contrĂŽle pour 2022.

Quel impact du RGPD sur les services marketing ? Le cƓur d’activitĂ© d’un service marketing nĂ©cessite le traitement des donnĂ©es Ă  caractĂšre personnel des clients et potentiels consommateurs : prĂ©sentation – parfois personnalisĂ©e – des biens et services pour stimuler le besoin, recueil des avis sur ces biens et services, suivi et analyse des parcours des internautes, Ă©tablissement de statistiques diverses
 L’utilisation des donnĂ©es personnelles en marketing est aujourd’hui inĂ©vitable.

Il est donc essentiel pour les services marketing d’ĂȘtre en mesure de faire corps avec la protection des donnĂ©es personnelles dont disposent les personnes physiques. Comment se conformer Ă  ces exigences ? Quelles pratiques adopter ?

1. La nécessité de recueil du consentement (opt-in) et ses limites

1) Le consentement mais pas que : l’existence d’autres bases lĂ©gales

Lors de l’arrivĂ©e du RGPD, la focalisation sur le consentement de la personne concernĂ©e pour justifier tout traitement de donnĂ©es a pu faire de l’ombre aux cinq autres bases lĂ©gales prĂ©vues par l’article 6.1 (exĂ©cution d’un contrat, obligation lĂ©gale, intĂ©rĂȘt lĂ©gitime de l’entreprise 
). Bien que, dans le cadre des traitements de donnĂ©es des activitĂ©s de marketing, la connaissance et la stimulation des besoins des personnes nĂ©cessitent souvent leur consentement, certaines situations ne le nĂ©cessitent pas forcĂ©ment.

Dans son rĂ©fĂ©rentiel relatif Ă  la gestion des activitĂ©s commerciales paru en fĂ©vrier 2022, la CNIL propose d’autres bases lĂ©gales pour certaines opĂ©rations marketing : l’intĂ©rĂȘt lĂ©gitime de l’entreprise peut ĂȘtre utilisĂ© pour les actions de prospection commerciale sans nĂ©cessitĂ© de rĂ©colte de consentement

  • Ă  destination de consommateurs : par voie postale, par appel tĂ©lĂ©phoniques ; et par voie Ă©lectronique, pour des biens et services analogues dĂ©jĂ  achetĂ©s/souscrits auprĂšs du responsable de traitement (la CNIL prĂ©cise que lorsque la prospection n’est pas de nature commerciale – caritative par exemple –, il est alors possible de basculer dans la base lĂ©gale de l’intĂ©rĂȘt lĂ©gitime du responsable de traitement).
  • Ă  destination de professionnels de maniĂšre gĂ©nĂ©rale (c’est-Ă -dire par voie Ă©lectronique, postale ou tĂ©lĂ©phonique)

2) Le consentement spécifique aux cookies

L’utilisation de cookies et autres traceurs (pixel de traçage, fingerprinting, etc.) afin de permettre, par exemple, la publicitĂ© personnalisĂ©e nĂ©cessite obligatoirement la rĂ©colte du consentement de l’internaute.

Attention, ici le consentement demandĂ© Ă  l’internaute ne dĂ©coule pas du RGPD mais de l’article 82 de la loi « Informatique et LibertĂ©s Â» (issu de l’article 5.3 de la directive ePrivacy). Par consĂ©quent, comme il ne s’agit pas d’un choix entre six potentielles bases lĂ©gale du RGPD mais d’un choix binaire imposĂ© par la directive (consentement ou non),l’intĂ©rĂȘt lĂ©gitime ne peut donc pas ĂȘtre utilisĂ© pour qu’un cookie puisse ĂȘtre dĂ©posĂ© ou lu !

NĂ©anmoins, il existe un lien entre le consentement au dĂ©pĂŽt de cookie et le consentement du RGPD : le consentement de l’article 82 de la loi « Informatique et LibertĂ©s Â» doit rĂ©pondre aux mĂȘmes caractĂ©ristiques que celles du consentement posĂ©es par le RGPD 
 que nous allons dĂ©tailler.

3) La « bonne » récolte du consentement

Les articles 4.11) et 7 du RGPD imposent de nouveaux standards en matiĂšre de consentement au traitement de donnĂ©es. Le consentement doit ĂȘtre donnĂ© par un acte positif clair qui est « libre, spĂ©cifique, Ă©clairĂ© et univoque Â». DĂ©taillons ces exigences :

  • Univoque: la personne doit exprimer son consentement. Son silence ou son absence d’action pour dire « oui Â» (par exemple, continuer Ă  naviguer sur votre site internet sans cliquer sur « oui Â» aux cookies, ne pas dĂ©cocher une case prĂ©-cochĂ©e
) ne vaut pas consentement ;
  • Libre : le consentement ne doit pas ĂȘtre conditionnĂ© (par exemple, il ne doit pas ĂȘtre obligatoire d’accepter les cookies publicitaires pour accĂ©der Ă  un site internet) ;
  • SpĂ©cifique : l’acte de consentir est Ă  rĂ©aliser pour chaque finalitĂ© de traitement, de façon dissociable (par exemple, un formulaire devra contenir plusieurs cases Ă  cocher, une pour chaque finalitĂ© Ă  consentir) ;
  • ÉclairĂ©: afin d’avoir rĂ©ellement consenti, la personne doit savoir Ă  quoi elle consent. Il est donc nĂ©cessaire d’apporter un certain nombre d’informations obligatoires (cf. article 13 du RGPD). A cet effet, le RGPD prĂ©cise que les personnes doivent recevoir une information dĂ©livrĂ©e « de façon concise, transparente, comprĂ©hensible et aisĂ©ment accessible, en des termes clairs et simples Â» (article 12). Il est donc possible – et mĂȘme nĂ©cessaire – d’adapter la fourniture d’informations aux situations et aux supports. Dans un environnement numĂ©rique par exemple, comme l’explique le G29, vous pouvez fournir l’information Ă  diffĂ©rentes Ă©tapes du parcours utilisateur. D’un point de vue marketing, cela permet ainsi de concilier l’obligation d’information avec la fluiditĂ© du processus d’engagement.

Attention au consentement des mineurs pour les services de la sociĂ©tĂ© de l’information proposĂ©s directement Ă  des enfants (tels que « les informations liĂ©es aux produits ou services, y compris les activitĂ©s de marketing Â» comme l’explique le G29). En France, le traitement des donnĂ©es personnelles d’un enfant de moins de 15 ans fondĂ© sur le consentement n’est licite que si le consentement est donnĂ© ou autorisĂ© par le titulaire de la responsabilitĂ© parentale. Le G29 explique Ă©galement que dans le cadre de traitements Ă  faible risque pour les personnes, « la vĂ©rification de la responsabilitĂ© parentale par courrier Ă©lectronique peut ĂȘtre suffisante Â».

Une fois « bien Â» rĂ©coltĂ©, le responsable de traitement doit ĂȘtre en mesure d’apporter la preuve que le consentement a bien Ă©tĂ© recueilli. Le RGPD ne prescrivant pas prĂ©cisĂ©ment comment cela doit ĂȘtre fait, les responsables de traitement sont libres dans cette dĂ©monstration (ce qui renvoi au principe d’accountability). Il est alors possible, par exemple, d’avoir recours Ă  l’horodatage par un clic ou un acte de navigation pour prouver ce recueil, il peut s’agir d’une signature sur un formulaire papier ou Ă©lectronique, mĂȘme si cette mĂ©thode se rĂ©vĂšle trĂšs peu adaptĂ©e aux traitements marketing. La pratique du double opt-in (confirmer Ă  nouveau son accord Ă  recevoir des mails de sollicitation dans un mail initial de confirmation) est Ă©galement une bonne pratique. Le CEPD (comitĂ© europĂ©en composĂ© des reprĂ©sentants nationaux des autoritĂ©s de contrĂŽle, telle que la CNIL pour le France) propose par exemple, « dans l’environnement en ligne, de conserver des informations sur la session lors de laquelle le consentement a Ă©tĂ© donnĂ©, parallĂšlement Ă  la documentation sur le flux de travail relatif au consentement Ă  l’époque de la session et Ă  une copie des informations fournies Ă  l’époque Ă  la personne concernĂ©e. Â»

4) La nécessité de renouveler le consentement

Dans certains cas, il est également nécessaire de renouveler réguliÚrement le consentement de la personne concernée.

C’est le cas du dĂ©pĂŽt/lecture de cookies sur le terminal de l’internaute. Dans cette situation, la CNIL explique dans ses recommandations relatives aux cookies que le consentement de l’internaute peut ĂȘtre oubliĂ© par celui-ci dans le temps. Par consĂ©quent, la Commission recommande de renouveler son recueil Ă  des intervalles rĂ©guliĂšres. A cet effet, la CNIL considĂšre qu’un dĂ©lai de 6 mois constitue une bonne pratique.

Le RGPD n’impose pas de renouveler Ă  intervalles rĂ©guliers le consentement. Cependant, l’ICO (CNIL anglaise) recommande un renouvellement du consentement tous les 2 ans dans le cadre de pratiques protection de la vie privĂ©e des personnes.

Enfin, pour rappel, si les donnĂ©es avaient Ă©tĂ© collectĂ©es avant l’entrĂ©e en application du RGPD (25 mai 2018), les traitements marketing ne sont licites seulement si le consentement a Ă©tĂ© rĂ©coltĂ© dans les conditions prĂ©vues par le RGPD et dĂ©taillĂ©es plus haut (opt-in).

2. L’exigence de possible retrait (opt-out)

Les consommateurs ou professionnels peuvent cesser de porter un intĂ©rĂȘt aux sollicitations des services marketing. Outre l’agacement de recevoir des sollicitations non dĂ©sirĂ©es (et le potentiel passage de ces derniĂšres en spam) qui produirait l’effet inverse de celui recherchĂ©, la rĂ©glementation impose de pouvoir faire cesser ces sollicitations :

  • Lorsque le traitement est fondĂ© sur le consentement de la personne (opt-in), celle-ci doit pouvoir le retirer (opt-out) Ă  tout moment (article 7.3 du RGPD) ;
  • Lorsque le traitement est fondĂ© sur l’intĂ©rĂȘt lĂ©gitime de l’entreprise, la personne peut exercer son droit d’opposition (issu de l’article 21 du RGPD) Ă  tout moment. ConcrĂštement, plusieurs options sont envisageables : insĂ©rer un lien de dĂ©sabonnement dans un mail, proposer une interface utilisateur pour gĂ©rer ses consentement 


La directive ePrivacy se recoupe ici Ă  nouveau avec le RGPD : dans le cadre de la prospection commerciale par voie Ă©lectronique, son article 13 (transposĂ© Ă  l’article L34-5 du Code des postes et des communications Ă©lectroniques) rend indispensable le fait de proposer Ă  chaque message Ă©lectronique un moyen simple de s’opposer Ă  la rĂ©ception de nouvelles sollicitations (par exemple avec un lien pour se dĂ©sinscrire Ă  la fin du message).

3. Conclusion : impact pratique et à long terme sur les opérations marketing

1) En pratique, comment cela impacte les opérations marketing ?

La premiĂšre Ă©tape sera la distinction entre les catĂ©gories de personnes concernĂ©es :

  • la personne est-elle un professionnel ou un consommateur ?
  • la personne est-elle un client ou un prospect ?
  • Cela influera sur la nĂ©cessitĂ© ou non de consentement (opt-in).

La deuxiĂšme Ă©tape consiste Ă  insĂ©rer le mĂ©canisme d’opt-in si nĂ©cessaire et, indĂ©pendamment de la nĂ©cessitĂ© d’opt-in, d’informer la personne de l’utilisation de ses donnĂ©es pour rĂ©aliser de la prospection :

  • Pour les prospects : par exemple, lors de tĂ©lĂ©chargement de livres blancs ou de participation Ă  des jeux-concours, insĂ©rer une case Ă  cocher par la personne pour recevoir des propositions commerciales, indiquant clairement le but de l’utilisation de son adresse Ă©lectronique par l’entreprise ;
  • Pour les professionnels ou clients : par exemple pour les clients, indiquer au moment de la commande que l’adresse Ă©lectronique du client sera utilisĂ©e afin de lui envoyer des propositions commerciales.

Point d’attention, le parrainage : ici, l’entreprise demande Ă  une personne de renseigner les coordonnĂ©es d’un tiers susceptible d’ĂȘtre intĂ©ressĂ© par une offre commerciale, un article ou une annonce en ligne. Dans cette situation, sont manipulĂ©es des donnĂ©es personnelles d’un parrainĂ© n’ayant jamais donnĂ© son consentement. La CNIL admet cette entorse au principe du consentement Ă  certaines conditions :

  • Le destinataire doit ĂȘtre informĂ© de l’identitĂ© de son parrain ;
  • Les donnĂ©es du parrainĂ© ne peuvent ĂȘtre utilisĂ©es qu’une seule fois : pour lui adresser l’offre, l’article ou l’annonce suggĂ©rĂ©e par le parrain ;
  • Il n’est pas possible de conserver les donnĂ©es du parrainĂ© pour lui adresser d’autres messages sans son consentement.

2) Quels impacts Ă  long terme sur les opĂ©rations marketing depuis l’arrivĂ©e du RGPD ?

Plus la base de donnĂ©es clients et prospects est grande, plus nombreuses sont les cibles et potentiellement plus important est le nombre de conversions. NĂ©anmoins, la conformitĂ© au RGPD et plus largement Ă  la protection des donnĂ©es personnelles pose des limites Ă  la collecte de masse de donnĂ©es. D’ailleurs, il est interdit de rĂ©utiliser des donnĂ©es dans un autre but que celui pour lesquelles elles ont Ă©tĂ© collectĂ©es.

L’enjeu est donc de dĂ©passer le stade de la contrainte pour tourner ces exigences en opportunitĂ©s. La protection des donnĂ©es personnelles oblige le marketing Ă  se recentrer aujourd’hui sur la qualitĂ© plutĂŽt que la quantitĂ©. Cela implique, par exemple pour la prospection commerciale par voie Ă©lectronique, une rĂ©duction du nombre des personnes touchĂ©es par les opĂ©rations de prospection. L’opportunitĂ© peut ĂȘtre perçue sur l’image de l’entreprise, grĂące Ă  la rĂ©duction de l’agacement envers l’entreprise Ă©mettrice pour les personnes plaçant ces sollicitations immĂ©diatement dans leur corbeille ou indĂ©sirables. L’opportunitĂ© peut Ă©galement ĂȘtre perçue d’un point de vue environnemental, avec une rĂ©duction de la pollution engendrĂ©e par le trafic internet.  

Pour aller plus loin

– Nathan Brichet