• Consentement

  • RGPD

  • Marketing

  • Livre Blanc

  • PierretestFR

« Dois-je obtenir le consentement ? » - La démystification des obligations du marketing à l’époque du RGPD et de la CNIL

mai 5, 2020 by Yannig Roth

Tous les spécialistes du marketing, même ceux qui s’intéressent de peu à l’environnement juridique atour de 2016, ont entendu toutes sortes de discours sur le RGPD et la CNIL (qui a publié en 2020 son nouveau projet de recommandations, sur lequel Didomi a écrit une page pilier). Les entreprises seraient confrontées à des amendes énormes si elles ne se conformaient pas à la réglementation dans un délai d’un an. Deux ans après l’entrée en vigueur du RGPD, le marketing existe toujours et les internautes ne voient que deux différences avec la situation antérieure : moins de cases pré-cochées dans les formulaires d’inscription et plus d’avis de consentement pour les cookies chaque fois qu’ils visitent un site web. L’expérience client est devenue de plus en plus fastidieuse, tandis que les services de marketing ne savent toujours pas comment traiter la collecte et le traitement des données de manière conforme. 


 

 Mise à jour Octobre 2020 : Didomi a récemment publié un article sur les nouvelles recommandations de la CNIL. Découvrez notre page pilier sur le sujet Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs

 

Découvrir les recommandations CNIL

 

Sommaire 

 

 


 

Pourquoi les spécialistes du marketing sont-ils si préoccupées par le RGPD ? 

 

Suivant les tendances de la transformation numérique, la plupart des départements marketing s’appuient sur la collecte de données pour suivre les prospects, créer des campagnes, alimenter leur CRM et cibler leurs visiteurs avec des campagnes massives d’emailing. L’arrivée du RGPD a changé la tendance et instauré de nouvelles règles, notamment en ce qui concerne la collecte et l’utilisation des données personnelles. Pour les départements marketing, la collecte frénétique de données dans son ensemble est désormais remise en question, avec deux préoccupations principales :

 

  • Que sont autorisés à collecter les services de marketing ? 
  • Quand les services marketing doivent-ils demander l’autorisation à leurs prospects, et pourquoi ? 

 

Des centaines de blogs et de livres blancs ont été rédigés sur ces questions, mais la réponse est simple : vous pouvez collecter n’importe quoi, pour autant que vous ayez de bonnes raisons de le faire. Et une bonne raison, dans la langue du RGPD, s’appelle une base juridique

 

 

Qu’est-ce qu’une base juridique ? 

 

La base juridique est le fondement juridique qui permet à une entreprise de procéder à tout traitement de données. L’article 6 du RGPD énumère les six bases juridiques possibles, mais les entreprises opèrent généralement dans l’une des catégories suivantes : 

 

  • Réalisation d’un contrat auquel la personne concernée est partie
  • Intérêt légitime du responsable du traitement des données
  • Consentement 

 

C’est pourquoi le service des opérations d’un assureur peut recueillir autant de données personnelles sur ses clients : il exécute un contrat avec la personne concernée. 

 

D’autre part, le marketing est plus complexe lorsqu’il s’agit de choisir une base légitime pour les données à caractère personnel, car la plupart des interactions marketing ont lieu avant qu’un contrat ne soit établi entre l’entreprise et le client. Dans la plupart des cas, le traitement des données effectué par l’équipe de marketing repose soit sur (1) « l’intérêt légitime » de l’entreprise, soit sur (2) le consentement explicite de l’utilisateur. 

 

L’intérêt légitime signifie que l’entreprise recueille et utilise des données pour effectuer une action précise qui lui est profitable, comme la prospection, la sensibilisation ou l’amélioration de son service. L’intérêt légitime est alors la base juridique la plus flexible : l’entreprise peut procéder à un traitement de données pour autant qu’elle ait un objectif précis et que cet objectif ne soit pas l’objet d’une dérogation aux intérêts, aux droits ou aux libertés de l’individu. 

Mais la question suivante se pose : comment traduire cela en une manière concrète de faire du marketing ? Qui fixe la limite ? Des questions juridiques comme celle-ci ne relèvent pas du bon sens pour la plupart des professionnels. 

 

Il s’agit souvent d’une zone grise : l’entreprise a un intérêt légitime à faire connaître ses produits, mais cet intérêt légitime n’est pas suffisamment important pour qu’elle puisse recueillir toutes les données sur le mode de vie et les habitudes de ses clients. Pourtant, déterminer la bonne quantité de données et les méthodes de collecte qui correspondent à cet équilibre est complexe. C’est pourquoi les spécialistes du marketing décident généralement de s’appuyer sur le consentement pour mener leurs activités de traitement des données. 

 

Cela s’accompagne d’autres préoccupations : les clients doivent-ils donner leur consentement pour recevoir chaque nouvelle campagne ? Le consentement est-il valide pour tous les types de traitement ? Les spécialistes du marketing doivent-ils demander périodiquement le même consentement ? 

 

Validité du consentement 

 

Bien que le RGPD établisse un nombre limité de principes concernant la validité du consentement, le personnel opérationnel a du mal à les traduire en éléments de marketing réels. L’article 4 du RGPD énonce les principes suivants : 

 

Le consentement doit être donné librement 

La personne qui donne des données doit pouvoir dire non. La personne peut choisir de consentir ou non sans subir une dégradation du service ou d’autres conséquences négatives en cas de refus. Par exemple, lors du téléchargement d’un livre blanc qui sera communiqué par courrier électronique, le fait de subordonner la réception du e-mail à la communication d’autres données à caractère personnel (nom, prénom, fonction, société, etc.) ne permet pas à la personne concernée de donner librement son consentement. C’est précisément la raison pour laquelle – pour télécharger notre livre blanc – nous ne vous demandons que votre adresse email ! 

 

Twitter est devenu célèbre pour sa « pire pratique » de consentement libre, en proposant à ses utilisateurs de se désabonner s’ils refusent les conditions générales. Ces conditions générales contenaient les principes de la collecte et de l’utilisation des données, ce qui acculait les utilisateurs à consentir pour avoir accès du site.  

 

Le consentement doit être spécifique 

La personne concernée consent au traitement d’un type spécifique de données à caractère personnel pour une finalité clairement définie (une seule finalité, pour un seul traitement, selon les termes du RGPD). Il doit être clair quel traitement vous avez l’intention d’effectuer et pour lequel vous demandez le consentement. Chaque finalité nécessite donc de recueillir un consentement spécifique : si une entreprise souhaite utiliser l’adresse email d’un prospect pour lui envoyer d’autres livres blancs pertinents et communiquer cette adresse à un partenaire qui souhaite également lui envoyer du contenu promotionnel, les deux consentements doivent être demandés séparément, en distinguant clairement les finalités. La personne concernée doit être en mesure de dire oui au premier et non au second. 

 

Le consentement doit être informé 

Le consentement informé signifie que la personne concernée sait qui traite les données, ce qu’il adviendra des données, la finalité du traitement et comment elle peut changer d’avis et retirer son consentement. Malheureusement, c’est là que nous voyons les pires mises en œuvre : au lieu d’améliorer la transparence, il en résulte une liste de points avec des informations génériques qui cochent les cases du RGPD sans respecter l’esprit de la loi. Si vous voulez recueillir le consentement selon les règles du RGPD, vous devez indiquer clairement qui s’occupe du traitement, qui décide à quoi serviront les données, pourquoi tel ou tel type de donnés est recueilli et comment la personne concernée peut retirer son consentement si elle change d’avis sur le traitement. Et tout le monde devrait pouvoir comprendre ces informations sans lire un pop-up de deux pages. 

 

Le consentement doit être sans ambiguïté 

En un mot, il ne devrait y avoir aucun doute que la personne concernée a donné son consentement. Les cases cochées, les motifs sombres, le consentement passif « en continuant à naviguer sur ce site, vous acceptez… », ou toute autre conception qui décourage ou empêche la personne de faire un acte de consentement positif invalidera le consentement. Selon le considérant 32 du RGPD, « le silence, les cases cochées ou l’inactivité ne devraient donc pas constituer un consentement »

 

recommendations CNIL et RGPD explication du consentement

Illustration de notre page pilier sur les recommandations de la CNIL 2020

 

Comment créer une expérience utilisateur transparente conforme au RGPD 

 

C’est de la théorie. En pratique, la plupart des entreprises ont du mal à intégrer la conformité à leur expérience utilisateur. Elles essaient de prendre le consentement au sérieux et ajoutent des fenêtres contextuelles sur leur site web, envoient des courriels périodiques ou des notifications « push ». Les parcours des clients étant de plus en plus complexes, ils finissent par demander le même consentement trois fois sur trois canaux différents. 

 

 

Logiciel CRM et RGPD : un match qui échoue 

 

Les outils de marketing habituels, tels que les logiciels de gestion de la relation client, n’ont pas été conçus pour prendre en compte les questions de consentement et de respect de la vie privée. Leur nature monolithique incite les équipes marketing à demander sans cesse les mêmes consentements, à ne pas respecter les choix des clients d’un appareil à l’autre, et à créer une discontinuité entre le Web, le mobile et l’expérience hors ligne. Dans le meilleur des cas ? Création de segments, de tags et de campagnes d’emailing personnalisées pour traiter des questions de consentement. 

 

Les spécialistes du marketing jonglent avec les e-mails et les formulaires pour traiter les questions de consentement, même si ces moyens nuisent à la fluidité de l’expérience client dans son ensemble. Cela ajoute également à la complexité lorsqu’un client demande l’effacement de ses données : l’équipe marketing devra extraire des notes, segments ou pièces jointes de CRM et apporter manuellement des modifications, en espérant qu’aucune erreur ne sera commise au cours du processus. 

 

Si les équipes marketing comprennent la nécessité de rationaliser la collecte de données, elles perçoivent cette démarche comme une complexité supplémentaire et injuste qui ne leur profite pas. 

 

Assurer la conformité du RGPD avec un Centre de Préférences. 

 

La meilleure pratique pour faciliter le recueil du consentement et respecter les obligations du RGPD consiste à mettre en place un Centre de Préférences, comme nous le décrivons dans notre Baromètre de Centres de Préférences. Outre le simple respect du RGPD, cela permet de centraliser les informations sur les préférences des clients et la collecte de données en un seul endroit, agissant comme un point de vérité unique pour les équipes marketing. L’intégration avec d’autres outils de marketing comme les logiciels de CRM est transparente, ce qui garantit l’exactitude et la mise à jour en temps réel des données sur les clients. 

 

L’équipe a une vue d’ensemble des autorisations, des consentements et des préférences pour chaque prospect de la base de données. Ces informations sont également mises à la disposition des clients, ce qui leur permet de contrôler ce qu’ils veulent partager et dans quelles conditions. Du point de vue de la transparence, les gains sont énormes. Du point de vue du marketing, cela garantit également une meilleure qualité des données : les clients peuvent retirer leur consentement s’ils le jugent nécessaire, ils peuvent corriger des informations erronées ou obsolètes, et indiquer les canaux de communication qu’ils préfèrent. 

 

Vous voulez savoir plus? Regardez notre webinar sur les Centres de Préférences. 

 

Vous voulez savoir comment Didomi pourrait aider votre entreprise ?

 

Schedule a demo

La meilleure plateforme de gestion du consentement et des préférences

Organiser une démo