Accueil //Blog //RGPD //DPO //RGPD et Marketing, les 5 grands principes

Marketing et RGPD : 5 grands principes à respecter

Le Marketing est devenu indissociable du traitement de données à caractère personnel.

Les traitements de données à caractère personnel se sont notamment multipliés avec le développement des outils digitaux qui permettent une optimisation des leads en « leads intentionnistes » (ceux qui débouchent sur un acte d’achat). Grâce à une meilleure connaissance de la cible – nombre et granularité des informations la concernant – il est désormais possible de lui adresser le bon produit au bon moment.

Les informations collectées à l’égard d’une cible personne physique sont très souvent des données à caractère personnel au sens du Règlement Général sur la Protection des Données (« RGPD »). Et l’utilisation de ces données par les outils du marketing digital, qu’il s’agisse d’opérations de collecte, d’organisation, de structuration, etc., constituent des traitements de données à caractère personnel soumis aux dispositions du RGPD.

Les équipes Marketing étant très consommatrices de données personnelles, elles se doivent de respecter un certain nombre de règles liées à la protection de données personnelles et tout particulièrement :

  • recueillir le consentement des personnes concernées
  • respecter le principe de minimisation
  • mettre en place et appliquer des durées de conservations
  • gérer les demandes d’exercice des droits des personnes concernées
  • respecter les principes de privacy by design et privacy by default

1. Respecter le consentement des personnes

Le consentement est l’une des six bases juridiques prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Le consentement est « une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement des données ».

De nombreuses sanctions ont été prononcées par la CNIL pour manquement à l’obligation de recueillir le consentement des personnes en cas de prospection commerciale (Brico Privé 500 000€[1], Nestor 20 000€[2]).

Bien évidemment, la sanction prononcée contre Google LLC la condamnant à payer 50 millions d’euros reste dans les esprits.

Il s’agit d’un véritable enjeu pour les entreprises, qui risquent de lourdes sanctions (jusqu’à 4 % du chiffre d’affaires annuel mondial) et de voir leur réputation et image ternies.

Nota : les mises en demeure ne sont pas des sanctions au sens strict, elles visent plus à alerter la société et à lui faire changer ses habitudes. En savoir plus sur les sanctions.

Le consentement préalable des personnes physiques est requis pour certains types de traitements qui sont encadrés par des dispositions légales spécifiques, telles que les opérations de prospection directe par voie électronique.

Les opérations de marketing ciblé, qui reposent sur l’analyse des traces de navigation sur internet, i.e. les cookies liés aux opérations de publicité ciblée, de mesures d’audience (sauf exception) et aux boutons de partage sur les réseaux sociaux, sont soumis au recueil du consentement. Ce sujet phare en 2021 a fait l’objet de nombreuses communications et sanctions de la CNIL (Le Figaro 50 000€[3], BRICO PRIVE 500 000€[4]).

L’opt-in

Le consentement des personnes doit être recueilli dans des conditions particulières assurant sa validité. On parle d’«opt-in», parce qu’il s’agit généralement d’une case à cocher sur un formulaire en ligne montrant la volonté de la personne à consentir. Et la transmission des données à des partenaires à des fins de prospection électronique suppose un double « opt-in » (le consentement au traitement par l’entreprise ainsi que le consentement au traitement par le partenaire).

Dans certains cas il sera fait exception au principe du consentement préalable. On parlera alors d’« opt-out » (une case pré-cochée sur un formulaire en ligne), par exemple dans le cadre de la publicité par téléphone ou adressée par voie postale ou encore que la publicité par voie électronique pour des produits similaires ou analogues à ceux déjà acquis par un client auprès du professionnel qui le démarche.[5]

La personne doit avoir la possibilité de retirer son consentement à tout moment et par des moyens simples. Le plus souvent cette possibilité prend la forme d’un lien de désinscription inséré dans chaque message.

[1] https://www.cnil.fr/fr/sanction-de-500-000-euros-lencontre-de-la-societe-brico-prive

[2] https://www.cnil.fr/fr/prospection-commerciale-sanction-de-20-000-euros-lencontre-de-la-societe-nestor

[3] https://www.cnil.fr/fr/cookies-sanction-de-50-000-euros-lencontre-de-la-societe-du-figaro

[4] https://www.cnil.fr/fr/sanction-de-500-000-euros-lencontre-de-la-societe-brico-prive

[5] https://www.cnil.fr/fr/cnil-direct/question/opt-opt-out-ca-veut-dire-quoi

Marketing & RGPD : Les pratiques à proscrire

A ce jour il convient de proscrire les pratiques suivantes :

  • l’acceptation de CGU valant consentement au dépôt de cookies
  • l’installation de cookies alors que l’internaute ne poursuit pas sa navigation
  • l’absence de bandeau de recueil du consentement cookies sur le site web

2. Appliquer le principe de minimisation

Le principe de minimisation impose que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Il s’agit d’un principe majeur à respecter par tous les marketeurs, notamment lorsqu’il est question de formulaire de collecte de données.

Exemple : collecter et conserver le statut marital d’un prospect en échange d’un livre blanc n’apparaît pas comme nécessaire afin de procéder à l’envoi dudit livre blanc. Il s’agit donc d’une donnée à proscrire lors de la collecte.

3. Fixer des durées de conservation

Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques des responsables de traitement et/ou de leurs sous-traitants.

Aucune durée spécifique concernant les données collectées et utilisées à des fins marketing n’ayant été fixée par les textes, la durée de conservation doit donc être déterminée en fonction de l’objectif ayant déterminé la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).

Cette problématique a déjà été considérée par la CNIL et a donné lieu à des sanctions sévères (AG2R La Mondiale 1.75 millions d’euros pour conservation pendant une durée excessive et manquement à l’obligation d’information).[2]

Bonnes pratiques :

En matière de prospection commerciale, la CNIL considère que les données à caractère personnel peuvent être conservées 3 ans à compter de la fin de la relation commerciale pour un client, à compter du dernier contact pour ce qui est d’un prospect.

4. Répondre aux demandes des personnes concernées

Les personnes concernées disposent de droits leur permettant de garder la maîtrise de leurs données. Le responsable du traitement doit notamment leur expliquer comment elles peuvent les exercer (à quel service doivent-elles s’adresser ? Sous quelle forme ? Etc.). L’objectif ici est d’assurer le respect des droits et libertés individuelles.

En cas de demande d’exercice de droits, le responsable de traitement dispose d’un mois pour traiter la demande.

Ces demandes peuvent prendre plusieurs formes pour les marketeurs.
Par exemple, en cas d’envoi d’emails sur une base de prospect, le destinataire peut :

  • demander à savoir avec précision quelle(s) donnée(s) l’entreprise possède le concernant
  • demander la rectification des données si par exemple son nom est erroné en début de mail
  • S’il n’est pas satisfait / ne veut plus recevoir d’email / demande simplement la suppression de ses données (effacement)

[2] https://www.cnil.fr/fr/sanction-1-75-million-deuros-ag2r-la-mondiale

 

Découvrez l'ensemble des droits auxquels sont susceptibles de faire appel les prospects

Quels droits pour les individus ?

Bonnes pratiques :

  • Informer le DPO lorsqu’il y en a un
  • Mettre en place un service dédiée pour traiter les demandes d’exercice de droit
  • Mettre en place un processus de gestion de ces demandes (réception, traitement, rassemblement des éléments, réponse, etc.)
  • Surveiller les délais de réponses

5. Rendre ses démarches Privacy by Design & privacy by default

Avant de lancer la moindre campagne, ou quoi que ce soit d’autre impliquant le traitement de données à caractère personnel, il est important pour les services marketing de solliciter leur DPO, s’il y en a un, et, en tout état de cause, de bien réfléchir en amont du projet afin de :

  • prendre en compte les aspects protection des données dès la conception de la campagne : en se posant la question de la légalité de la démarche, de sa finalité, des moyens et outils qui seront utilisés
  • maintenir la conformité tout au long du cycle de vie de la campagne : en prenant en compte tout changement dans la finalité, en veillant à la collecte des seules données nécessaires et pour lesquelles les personnes ont été informées
  • prendre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, les principes de la protection des données seront respectés : en mettant en place les mesures de sécurité nécessaire et un processus de gestion des violations de données et d’information des personnes. Ainsi, très récemment, à la suite d’un signalement indiquant l’existence d’une violation de sécurité, la CNIL a mis en demeure la société Francetest de mieux sécuriser les données traitées[1]. Avant cela, elle n’avait pas hésité à condamner un responsable de traitement (150 000 €) et son sous-traitant (75 000€) pour ne pas avoir pris les mesures adéquates pour contrer des attaques par bourrage d’identifiants.[2]

Par exemple, en cas de marketing géolocalisé, pour adresser de la publicité de manière ciblée localement, de nombreux aspects sont à prendre en compte avant même de penser à déployer le dispositif (pertinence du critère de localisation, échelle de la localisation, quel impact leur traitement aura sur la vie privée des personnes concernées, comment les données seront stockées et sécurisées, comment elles seront utilisées, etc.)

 

Pour en savoir plus :

https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes

https://www.cnil.fr/fr/cnil-direct/question/opt-opt-out-ca-veut-dire-quoi

https://www.cnil.fr/fr/la-procedure-de-mise-en-demeure-0

https://www.cnil.fr/fr/definition/minimisation

[1] https://www.cnil.fr/fr/covid-19-mise-en-demeure-societe-francetest-securisation-insuffisante-donnees-sante

[2] https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

 

Crédits photos :

Andreea Avramescu, Unsplash

Mini Thian, Unsplash

À lire aussi

Pour aller plus loin sur le sujet…

Visionnez le replay du webinar sur la compatibilité entre RGPD et Marketing, réalisé par les experts RGPD de Data Legal Drive, en partenariat avec Axeptio

Voir le replay