RGPD et marketing : comment gérer le consentement ?

L’utilisation des données personnelles en marketing

Le RGPD bouscule les habitudes des départements marketing en imposant de nouvelles obligations aux entreprises, notamment au regard du consentement.

Il existe 5 autres bases légales pour traiter les données de clients ou prospects. Cependant en marketing, dans la plupart des cas, le consentement sera la règle.

L’idée est simple : les individus doivent savoir dans quel but leurs données sont collectées, en d’autres termes, ce que l’entreprise va en faire.

Comment se conformer à ces nouvelles exigences dans un milieu où les données représentent le business même de l’activité ?

D’un côté, elles sont agrégées et analysées, afin d’établir des statistiques pour prévoir les besoins d’autres consommateurs.

De l’autre, elles permettent de stimuler leurs besoins, d’accroitre la quantité de prospects et donc, de potentiels clients.

Alors que l’objectif est de se constituer une solide et massive base de données pour toucher le plus de personnes possibles, les métiers marketing vont devoir repenser leur business et mettre en œuvre de nouvelles pratiques.

Quelles sont les exigences du RGPD en matière de consentement ?

Les articles 4 et 7 du RGPD [1] reprennent en grande partie les exigences de la directive de 1995 [2] mais le RGPD va plus loin en imposant de nouveaux standards en la matière.

Le consentement doit être donné par un acte positif clairLe silence ou l’absence d’action de la personne concernée ne vaut pas consentement.

  1. Le consentement doit être donné par un acte positif clair. Le silence ou l’absence d’action de la personne concernée ne vaut pas consentement. De même, le cases pré-cochées (mécanisme de « l’opt-out ») ne sont pas considérées comme un acte positif clair. L’information étant noyée parmi les autres, l’utilisateur n’y prête souvent pas attention et ne sait même pas ce à quoi il a consenti. Note : dans les relations BtoB, la question de la validité de l’opt-out n’est pas encore tranchée. Les adresses mail professionnelles sont des données personnelles. La CNIL tolère pour le moment le principe de l’opt-out à condition que si l’objet de l’emailing soit en rapport avec la profession du destinataire [3].
  2. Le consentement doit être donné pour chaque finalité, de façon dissociable. La mise en place de ce principe passe par la revue des formulaires de consentement, qui doivent présenter les différentes utilisations des données de façon claire et concise. Leur formulation doit permettre aux personnes de dissocier les finalités pour lesquelles elles acceptent que leurs données soient utilisées. Par exemple, pour la prospection commerciale, les 2 options suivantes doivent être proposées (dans le cas où les données sont partagées avec des partenaires) : « Si vous souhaitez recevoir nos offres commerciales, merci de cocher cette case »
    « Si vous voulez recevoir des offres commerciales de nos partenaires, merci de cocher cette case » En revanche, la mention suivante n’est ainsi pas conforme aux exigences du RGPD :« En cochant cette case, vous acceptez de recevoir des offres commerciales de notre part et que nous partagions vos données avec nos partenaires »
  3. Le consentement doit être inconditionné. En d’autres termes, l’exécution du contrat ne doit pas dépendre du consentement à recevoir des offres commerciales : à moins que l’opération marketing en question ne soit nécessaire à l’exécution du contrat, celui-ci ne peut être conditionné par le consentement. Par exemple, la mention suivante n’est pas conforme aux exigences du RGPD : « En acceptant nos CGV, vous acceptez de recevoir des propositions commerciales sur votre boite mail » De la même façon, le fait de refuser les trackers ou cookies tiers ne doit pas entraîner le blocage du service (A condition que ceux-ci ne soient pas nécessaires à l’accès au service)
  4. Il faut être en mesure d’apporter la preuve que le consentement a bien été recueilli. La CNIL et le G29 préconisent le recours à l’horodatage par un clic ou un acte de navigation pour prouver ce recueil. De façon plus simple, il peut s’agir d’une signature sur un formulaire papier ou électronique. La pratique du double opt-in, plus couteuse à mettre en œuvre, est également une bonne solution. Elle permet à la personne concernée de confirmer son accord à recevoir des offres ou autres sollicitations en cliquant sur un lien généré dans le mail de confirmation (après un achat sur internet par exemple)[4]. Pour les données acquises avant l’entrée en vigueur du RGPD, il n’est pas nécessaire de redemander à la personne concernée son consentement dès lors que « la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement » [5] S’il n’est pas possible d’en apporter la preuve, il faudra bel et bien passer par la phase de confirmation par les personnes concernées : tous les consentements « présumés » devront être renouvelés.
  5. Le personne doit pouvoir retirer son consentement à tout moment. L’essence des opérations marketing est de communiquer auprès du plus grand nombre de personnes. Mais les consommateurs peuvent rapidement être agacés par l’envoi de mails qu’ils ne souhaitent pas recevoir, qui auront alors l’effet inverse de celui désiré. La procédure de désabonnement doit être simple et efficace. Concrètement, plusieurs options sont envisageables ici :
  • Insérer un lien de désabonnement dans un mail
  • Créer une interface dédiée pour gérer les droits des personnes (le retrait du consentement en est un parmi d’autres)
  • Pour une application, rendre cette option disponible dans les paramètres de configuration

En pratique, comment cela va impacter les opérations marketing ?

1. La prospection commerciale

La première étape sera ici de distinguer les clients des prospects : si la personne est déjà cliente de l’entreprise, le consentement n’est pas forcément nécessaire à la condition cependant que l’offre commerciale concerne des services ou produits analogues à ceux déjà fournis [6].

Règles à suivre :

Pour les clients :

  • Informer la personne que son adresse mail sera utilisée à des fins de prospection
  • Lui permettre de s’opposer à cette utilisation à tout moment

Pour les prospects :

  • Insérer une case à cocher par la personne pour recevoir des propositions commerciales, voire un mécanisme de confirmation via un lien dans un e-mail (double opt-in)
  • Eviter les cases pré-cochées

Eviter les formulations ambiguës de type :

  • « Si vous ne souhaitez pas recevoir de propositions commerciales, cochez cette case » Astuce : il vaut mieux gérer ses clients et ses prospects dans deux fichiers différents car les conditions pour l’envoi de la prospection ne sont pas les mêmes. Le CRM sera réservé aux clients et le PRM aux prospects.

2. Jeu-concours [7]
Pour participer au jeu, la personne doit remplir un formulaire de contact dans lequel elle donne un certain nombre de données personnelles. Dans cette situation, le participant donne son consentement pour participer au jeu-concours mais pas pour être démarché par la suite.

Règles à suivre :

  • Donner le choix de recevoir ou non des offres de prospection commerciale (ex : case à cocher)
  • Lui permettre de s’opposer à cette utilisation à tout moment

3. Le parrainage

L’entreprise demande à une personne de renseigner les coordonnées d’un tiers susceptible d’être intéressé par une offre commerciale, un article ou une annonce en ligne. Dans cette situation, sont manipulées des données personnelles d’un parrainé n’ayant jamais donné son consentement.
La CNIL admet cette entorse au principe du consentement à certaines conditions.
Règles à suivre :

  • Le destinataire doit être informé de l’identité de son parrain
  • Les données du parrainé ne peuvent être utilisées qu’une seule fois : pour lui adresser l’offre, l’article ou l’annonce suggérée par le parrain
  • Je ne peux conserver les données du parrainé pour lui adresser d’autres messages seulement si j’ai obtenu son consentement

Quels impacts à long terme ?

La pratique aujourd’hui repose sur la quantité plutôt que la qualité : plus la base de données clients/prospects est grande, plus nombreuses sont les cibles et plus important est le taux de conversion.

Parmi tous les e-mails envoyés, la majorité est placée dans la corbeille sans même avoir été ouverts et n’aura eu pour résultat que de provoquer l’agacement envers l’entreprise émettrice.

Le RGPD oblige le marketing à se repenser et à se recentrer sur la qualité. L’enjeu sera de dépasser le stade de la contrainte pour tourner ces exigences en nouvelle stratégie commerciale de façon à susciter l’intérêt chez des personnes réellement intéressées.

Que faut-il retenir ?

  • Toujours considérer la nécessité d’obtenir le consentement
  • Conserver les consentements : il faut pouvoir prouver les avoir recueillis
  • Adopter la pratique de l’opt-in  : silence, inactivité et case pré-cochée par défaut ne peuvent plus être considérés comme un accord.
    La question n’est pas encore tranchée pour les relations BtoB. Idéalement, recueillez toujours le consentement par voie d’opt-in 
  • S’assurer que la personne peut retirer facilement son consentement

 


Sources :
[1] Complété par le considérant 32
[2] Directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[3] La prospection commerciale par courrier électronique, CNIL
[4] G29, Guidelines relatives à la gestion du consentement
[5] Considérant 171 du RGPD
[6] Norme simplifiée n°48, CNIL
[7] Fiche pratique, parrainage et jeux-concours, CNIL
GDPR Consent Guidance, ICO
Consultation publique sur le règlement Européen, CNIL
Fiche pratique, commerce & données personnelles, CNIL
www.droit-technologie.org/actualites/gdpr-obtenir-consentement-valide/

Retour