Les outils digitaux permettent une optimisation des leads en « leads intentionnistes » (ceux qui débouchent sur un acte d’achat) : grâce à la connaissance accrue de la cible – nombre et granularité des informations la concernant – il est possible de lui adresser le bon produit au bon moment.

Les informations collectées à l’égard d’une cible personne physique sont des données à caractère personnel au sens [de l’article 4] du RGPD. Et l’utilisation de ces données par les outils du marketing digital, qu’il s’agisse d’opérations de collecte, d’organisation, de structuration, etc., constituent des traitements de données à caractère personnel soumis à la réglementation en matière de protection des données.

C’est pourquoi les directions marketing se doivent de respecter un certain nombre de règles liées à la protection de données personnelles et tout particulièrement :

  • recueillir le consentement des personnes concernées
  • respecter le principe de minimisation
  • gérer les durées de conservations 
  • gérer les demandes d’exercice des droits des personnes concernées
  • respecter les principes de privacy by design et privacy by default

Le consentement des personnes

https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes

https://www.cnil.fr/fr/cnil-direct/question/opt-opt-out-ca-veut-dire-quoi

Le consentement est l’une des six bases juridiques prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel. (art. 6 du RGPD)

Le consentement est « une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». (art. 4 RGPD)

Les mises en demeure publiques Fidzup, Teemo, Singlespot et Vectaury prononcées par la CNIL au cours des derniers mois, de même que la décision du 21 janvier 2019 par laquelle Google LLC a été condamné à hauteur de 50 millions d’euros, visent des situations dans lesquelles les professionnels (RT) ont omis de recueillir le consentement des personnes concernées.

Nota : pour info les mises en demeure ne sont pas des sanctions au sens strict

https://www.cnil.fr/fr/la-procedure-de-mise-en-demeure-0

Le consentement préalable des personnes physiques est requis pour certains types de traitements qui sont encadrés par des dispositions légales spécifiques : 

il en va ainsi notamment des opérations de prospection directe par voie électronique (article L.34-5 du Code des postes et des communications) 

Le consentement des personnes doit être recueilli dans des conditions particulières assurant sa validité ; on parle d’« opt in », parce qu’il s’agit généralement d’une case à cocher sur un formulaire en ligne. Et la transmission des données à des partenaires à des fins de prospection électronique suppose un double « opt-in » (l’« opt in » partenaire).

La personne doit avoir la possibilité de retirer son consentement à tout moment et par des moyens simples ; il convient d‘offrir systématiquement, dans chaque message, la possibilité de se désinscrire.

Dans certains cas il sera fait exception au principe du consentement préalable, à travers un « opt out » (une case pré-cochée sur un formulaire en ligne).

de même pour les opérations de marketing ciblé, qui reposent sur l’analyse des traces de navigation sur internet, les cookies liés aux opérations de publicité ciblée, de mesures d’audience (sauf exception) et aux boutons de partage sur les réseaux sociaux sont, à ce jour, soumis au recueil du consentement (cf. délibération de la CNIL n° 2013-378 du 5 décembre 2013. 

Nota : la délibération de la CNIL n° 2019-093 du 4 juillet 2019 est encore plus contraignante pour les opérateurs ; mais elle ne sera sanctionnée qu’à partir du partir du 1er trimestre 2020.

A ce jour il convient de proscrire les pratiques suivantes : 

  • l’acceptation de CGU pour la mise en place de cookies
  • l’installation de cookies alors que l’internaute ne poursuit pas sa navigation
  • l’absence de bandeau de recueil du consentement cookies et une information des personnes via les CGU ou la politique de confidentialité

Le principe de minimisation

Le principe de minimisation impose que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Exemple donné par la CNIL : collecter et conserver le statut marital d’un salarié n’apparaît pas nécessaire à l’activité RH. https://www.cnil.fr/fr/definition/minimisation

Autre exemple :

la collecte et le traitement du NIR n’apparait aucunement nécessaire à la mise en œuvre d’un traitement marketing.

Durée de conservation

Aucune durée n’a été fixée par les textes.

Il est possible de se référer à la NS-48 sur la gestion des fichiers clients et prospects (qui n’est plus en vigueur depuis l’entrée en application du RGPD, mais qui conserve néanmoins une valeur doctrinale) : les DCP peuvent être conservées 3 ans à compter de la fin de la relation commerciale pour un client, à compter du dernier contact pour ce qui est d’un prospect (il peut s’agir d’un lien hypertexte contenu dans un courriel)

Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques des responsables de traitement et/ou de leurs sous-traitants : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant déterminé la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).

Bonnes pratiques :

La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.

Demandes des personnes concernées

Les personnes concernées disposent de droits afin de garder la maîtrise de leurs données. Le responsable du traitement doit notamment leur expliquer comment elles peuvent les exercer (auprès de quel service ? Sous quelle forme ? Etc.).

En cas de demande d’exercice de droits, le responsable de traitement a un mois pour traiter la demande.

Bonnes pratiques :

  • Mettre en place un service dédiée pour traiter les demandes d’exercice de droit
  • Informer le DPO lorsqu’il y en a un
  • Surveiller les délais de réponses

Privacy by Design

En application de ces deux principes issus du RGPD, il convient de :

  • prendre en compte les aspects protection des données dès la conception du produit ou du service
  • maintenir la conformité tout au long du cycle de vie du produit ou service
  • prendre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, les principes de la protection des données seront respectés

Exemple de l’application mobile qui prévoit des publicités ciblées avec de la géolocalisation.