Mais que change concrètement le RGPD, au quotidien ?
1/ Pas de case cochée par défaut !
2/ Un texte clair et précis
3/ Des formulaires indépendants
4/ Un double opt-in
5/ Un consentement révisable
6/ Un profilage... facultatif
7/ Une politique de protection des données affichée
8/ Une bases de données actualisée
9/ Des consentements vérifiés
10/ Des prestataires en conformité
Quelles sont les conséquences du Règlement Général européen sur la Protection des Données (RGPD) pour le marketing et la communication ? Le principe tient en un mot-clé : le consentement. Voilà la règle d'or qui s'applique au recueil de données personnelles via les formulaires, comme à leur utilisation quotidienne. Le point en 10 bonnes pratiques à suivre pour être en conformité avec le RGPD.
Le RGPD ou GDPR (General Data Protection Regulation) entrera en vigueur le 25 mai 2018. Objectif du règlement européen : protéger la vie privée et les données à caractère personnel.
Mais que change concrètement le RGPD, au quotidien ?
Pour les services marketing et communication, le principe tient en un mot : le consentement.
Le point de vigilance consiste à s’assurer de l’obtention du libre consentement de la personne pour la collecte et le traitement de ses données personnelles. Il faudra donc pouvoir apporter, à tout moment, la preuve de ce consentement.
Voici 10 bonnes pratiques à mettre en œuvre au plus vite pour être en phase avec le RGPD/GPRD :
1/ Pas de case cochée par défaut !
Dans un formulaire, le consommateur ou l’internaute doit exprimer son consentement de manière positive et claire. Interdiction donc d’utiliser des cases « pré-cochées » qui ne relèvent pas d’un consentement librement exprimé. Pas d’opt-in ni d’opt-out passifs !
2/ Un texte clair et précis
Le texte du formulaire qui appelle au consentement doit être clair et compréhensible. Sans ambiguïté ni tournure négative. La phrase qui invite à l’action ou au recueil de données doit exprimer le consentement de manière explicite et pour une finalité précisée. Par exemple :
"J’accepte que les informations saisies dans ce formulaire soient utilisées pour m’envoyer une offre personnalisée."
3/ Des formulaires indépendants
Le consentement ne doit pas être une condition préalable à l’inscription à un service.
Parallèlement, les options de consentement doivent être distinctes selon leur finalité. Il faudra par exemple séparer le consentement aux conditions générales de celui d’un abonnement à une newsletter.
4/ Un double opt-in
Pour être tout à fait en conformité avec le RGPD, et même faire un peu de zèle (au plus grand bénéfice de l’expérience-client), il est préférable de mettre en place un système de double opt-in, c’est-à-dire d’un consentement répété :
- L’utilisateur donne une première fois son consentement dans le formulaire sur le site web ;
- Il le donne une seconde fois dans le mail de confirmation que vous lui envoyez ensuite. Le plus simple étant de prévoir un lien de confirmation sur lequel il pourra cliquer.
5/ Un consentement révisable
Le consentement n’est pas donné une fois pour toute… Le RGPD demande à ce que vos utilisateurs aient le droit d’annuler leur consentement facilement et à tout moment. A vous de garantir cette option d’annulation - notamment par un lien sur votre site.
6/ Un profilage... facultatif
Si vous collecter des informations relatives aux profils des internautes, par l’utilisation de cookie notamment, vous devez les informer de ce profilage automatisé. Un bandeau en haut de vos pages web pourra par exemple l’indiquer. Bien sûr, il faudra aussi leur donner possibilité de refuser ce profilage...
7/ Une politique de protection des données affichée
Bien sûr, vous aurez prévu (ou plutôt votre DSI) un document de référence précisant l’utilisation faite des données à caractère personnel (DCP). Une page indiquant la politique de protection des données, accessible sur votre site web. Avec un lien sous chaque formulaire et dans vos e-mails.
8/ Une bases de données actualisée
Toutes les données à caractère personnel sont concernées, à commencer par celles que vous aviez stockées avant le RGPD. Pour celles-ci, il va falloir régulariser la situation et demander à vos utilisateurs d’exprimer leur consentement. Car vous devrez également garder une trace de la manière dont vous avez obtenu le consentement de tous vos contacts, nouveaux ou existants.
9/ Des consentements vérifiés
Penser à revisiter régulièrement les données collectées et les consentements pour vérifier que le traitement et les utilisations restent d’actualité. Elles doivent en effet être exactes, tenues à jour et conservées pour une durée seulement nécessaire à leur finalité. Et bien sûr, ne pas être utilisées à d’autres fins.
10/ Des prestataires en conformité
L’affaire peut se compliquer avec les fichiers d’adresses achetés ou loués à des prestataires… Là aussi vous devrez pouvoir prouver que le consentement des utilisateurs a été recueilli en bonne et due forme. Idem pour les actions de retargeting : vérifier de travailler avec des entreprises qui se conforment au RGPD et… peuvent le prouver.
Ces bonnes pratiques sont recommandables pour toutes les activités, aussi bien BtoC que BtoB, et pour toutes les entreprises, y compris extra-européennes. Le RGPD s’applique à toutes les entreprisse souhaitant interagir avec des citoyens européens.
Pour plus de détails sur la RGPD, consulter le guide la CNIL.
Pour aller plus loin, je vous recommande la formation Cegos : Responsable marketing digital
