On a tellement entendu parler de l’entrée en vigueur du RGPD que les plus organisés d’entre-nous en ont fait des cauchemars… Mais depuis ce fameux 25 mai 2018, plus rien ne semble bouger et beaucoup de notions restent encore très floues pour beaucoup de monde ! Le RGPD, comment l’appliquer au marketing direct ? Dois-je mettre des choses en place sur mon site internet ? Qui est responsable des données pour mon site ? Est-ce que je risque des sanctions ? Autant de questions pratiques qui méritent des réponses. Nous avons épluché les dernières recommandations de l’Autorité de Protection des Données (APD) sur l’application du RGPD au marketing direct, on vous propose nos conseils pour votre site internet.
Le RGPD, qu’est-ce que c’est ? Cours de rattrapage.
Définition
Le RGPD est l’acronyme de « Règlement Général sur la Protection des données », aussi connu sous son appellation anglaise GDPR ou « General Data Protection Regulation ». Il a été adopté en avril 2016 et est entré en vigueur depuis le 25 mai 2018. Il a pour but de protéger l’individu et ses données à caractère personnel (c’est-à-dire « toute information relative à une personne physique identifiée ou identifiable » [GDPR, chapitre 1, article 4]) contre le traitement que font les entreprises, les institutions et tout autre structure, de ces données.
Pourquoi une telle règlementation ?
De nos jours, le Web fait partie intégrante de notre vie : nous achetons en ligne, nous partageons sur les réseaux sociaux, etc. Nos données à caractère personnel étaient donc de plus en plus exposées et de moins en moins protégées. Pour pallier cela, l’UE a voulu mettre en place une nouvelle règlementation qui permet aux citoyens de récupérer un meilleur contrôle sur leurs données. L’objectif était également de créer un sentiment de confiance entre les entreprises et les citoyens de l’UE, afin que ces derniers soient davantage rassurés à l’idée d’utiliser les outils digitaux.
Vous souhaitez plus de nouveaux clients ?
Nous vous aidons à réaliser un site internet efficace avec :
- Une analyse pointue de votre projet
- Un référencement naturel optimal
- Un accompagnement continu
- Une stratégie marketing digital
Qui est concerné par le règlement ?
- Toutes les entreprises de l’UE qui récoltent et qui traitent des données à caractère personnel sont tenues de respecter ce règlement et ce, quel que soit le lieu où le traitement est effectué.
- Les entreprises qui passent par un sous-traitant doivent impérativement s’assurer que celui-ci respecte et applique le RGPD. En toutes circonstances, vous restez le responsable de traitement et devez vous assurer de la sécurité des données de vos clients/employés/etc.
- Le GDPR s’applique aussi aux entreprises et sous-traitants établis hors de l’UE lorsque le traitement concerne l’offre de biens et/ou de services pour les résidents de l’UE et le suivi de leurs comportements.
De nouvelles notions ont fait surface
Afin de mieux protéger leurs données, les personnes concernées possèdent différents droits qu’elles peuvent faire valoir auprès des entreprises : droit d’information, d’accès, d’opposition, de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, droit à la limitation du traitement… Mais les droits vraiment intéressants pour les personnes concernées et qui impactent notamment le secteur du marketing sont les suivants :
- Désormais, les personnes concernées détiennent un véritable droit à l’effacement (que l’on appelle aussi « droit à l’oubli ») : si elles le souhaitent, elles peuvent demander à ce que leurs données ne soient plus traitées. Les entreprises sont obligées de s’y conformer et ont un délai de 30 jours pour supprimer ces données de leur base.
- L’obtention du consentement de la personne concernée est obligatoire. Il doit être clair et ne pas être noyé dans une masse d’informations pour passer inaperçu. Ce consentement doit également être donné en toute liberté. Il est donc interdit d’obliger les gens à donner leurs données pour avoir accès à un service.
- Le droit à la portabilité des données : si une personne concernée demande à une entreprise de lui fournir ses données personnelles ou de les transférer à une autre entreprise, elle est obligée d’effectuer ce transfert dans un format informatisé, facilement lisible.
Les implications du RGPD pour les entreprises
- « Privacy by default and by design » : toute personne qui traite des données à caractère personnel doit automatiquement garantir le plus haut niveau de protection des données et ce, dès la conception de la technologie permettant de les récolter.
- Registre des activités de traitement : La tenue d’un registre est obligatoire pour les entreprises de 250 personnes et plus, celles qui traitent régulièrement les données à caractère personnel, celles qui traitent des données sensibles (données sur l’origine raciale ou ethnique) et celles qui effectuent des traitements qui peuvent comporter un risque pour les droits et libertés des personnes concernées. Pour les autres, il est également conseillé d’en tenir un pour se protéger en cas de contrôle des autorités compétentes, mais il n’y a pas d’obligation.
- En cas de violation des DPC (par exemple, si la base de données est piratée), les organisations ont l’obligation d’informer les personnes concernées de la situation.
- Elles doivent également revoir tous leurs processus contractuels.
- Enfin, il est très fortement conseillé qu’elles désignent un DPO (Data Protection Officer) qui se chargera, notamment, de la mise en place du GDPR et de son suivi. Il s’assurera également que l’entreprise est conforme.
L’application du règlement en Belgique
En Belgique, c’est l’APD ou « Autorité de Protection des Données » qui a pour rôle non seulement d’intervenir en cas de violation des règles du RGPD mais surtout, d’accompagner les responsables de traitement afin qu’il mettent en place les mesures nécessaires au respect du règlement.
En cas de non-respect du règlement, les autorités de contrôle peuvent mettre en place des mesures correctrices. Celles-ci vont du simple avertissement à l’interdiction d’utiliser sa base de données pendant un certain laps de temps, en passant par les amendes administratives. Ces dernières peuvent s’élever jusqu’à 20 000 € ou, pour les entreprises mondiales, jusqu’à 4% de leur chiffre d’affaires annuel.
L’APD a identifié le marketing direct comme l’un des secteurs prioritaire dans leur plan stratégique. C’est pourquoi elle a sorti en janvier 2020 sa « Recommandation relative aux traitements de données à caractère personnel à des fins de marketing direct ».
L’inévitable relation entre RGPD et marketing direct
Le marketing est souvent résumé comme étant « adresser le bon message à la bonne personne au bon moment ». Et comme le souligne la recommandation de l’APD, le RGPD est venu y ajouter son grain de sel et spécifiant « de la bonne manière ». Plus aucun doute donc, l’un de va plus sans l’autre, ils sont devenus inséparables.
Le marketing direct, c’est quoi ?
L’Autorité (APD) propose de définir ce qu’il y a lieu de comprendre par marketing direct concerné par le RGPD comme suit :
« Toute communication, sollicitée ou non sollicitée, visant la promotion d’une organisation ou d’une personne, de services, de produits, que ceux-ci soient payants ou gratuits, ainsi que de marques ou d’idées, adressée par une organisation ou une personne agissant dans un cadre commercial ou non commercial, directement à une ou plusieurs personnes physiques dans un cadre privé ou professionnel, par n’importe quel moyen, impliquant le traitement de données à caractère personnel. »
Une telle définition implique plusieurs choses :
- La communication ne doit pas nécessairement avoir un but commercial ou lucratif
- La communication peut aussi bien porter sur la promotion de produits et services que sur la promotion d’une personne ou d’une organisation.
- Ne sont pas pris en compte : les prises de contact avec des personnes pour réaliser une étude de marché ou une enquête de satisfaction, pour autant que la communication ait cette seule finalité.
- La communication doit être dirigée vers une ou plusieurs personne(s) physique(s) identifiée(s) ou identifiable(s)
- Les communications non électroniques (envois postaux, porte-à-porte…) peuvent également rentrer sous cette définition à partir du moment où elles impliquent le traitement de données à caractère personnel sur base d’un fichier.
Votre site web rentre-t-il dans la définition du marketing direct ?
Votre site internet ne relève pas du marketing direct en soi. Par contre, plusieurs utilisations de votre site peuvent y faire référence. Quelques exemples de marketing direct sur un site internet :
- Vous installez un formulaire de contact qui vous permet de recontacter les internautes qui s’y inscrivent afin de leur envoyer des informations sur l’activité de votre entreprise.
- Vous installez un logiciel qui permet d’analyser le comportement des utilisateurs de votre site, comme Google Analytics par exemple.
- Vous proposez de la publicité sur votre site qui s’affiche différemment en fonction du profil de l’internaute.
Quelques conseils à appliquer
1. Soyez conscient de votre rôle : responsable de traitement ou sous-traitants
- Vous êtes responsable de traitement si vous déterminez seul ou conjointement les finalités et les moyens d’un traitement de données à caractère personnel.
- Si vous déterminez ensemble avec d’autres opérateurs les finalités et les moyens de traitement, vous serez alors responsables conjoints.
- Vous êtes sous-traitants si vous traitez des données personnelles pour le compte d’autrui, sur base de ses instructions afin d’atteindre ses finalités.
En tant qu’entreprise, vous pouvez endosser les deux rôles en fonction des données concernées. Mais vous ne serez jamais à la fois sous-traitant et responsable de traitement pour le même traitement de données à caractère personnel.
En tant que responsable de traitement, vous demeurez tenus des obligations définies par le RGPD et devrez répondre à ces manquements. Assurez-vous donc de toujours travailler avec des sous-traitants qui présentent les garanties suffisantes à la bonne exécution de vos directives en matière de protection des données. Une fois votre sous-traitant choisi avec soin, votre relation devra faire l’objet d’un acte juridique (un contrat, par exemple) écrit, sous format électronique ou non. Cela vous permettra de répondre à votre obligation de documentation (article 30 du RGPD). Ce contrat devra déterminer l’objet, la durée, la finalité et la nature du traitement.
2. Identifiez vos finalités de traitement
Si vous traités des données à caractère personnels, vous devez en déterminer clairement les finalités. Cela permet de justifier pourquoi vous avez besoin de ces données.
Gardez à l’esprit que le choix des données traitées et leur traitement doivent être proportionnels à la finalité.
Un exemple : vous récoltez le nom, prénom et l’adresse mail des internautes qui prennent contact avec vous via le formulaire de contact afin de pouvoir assurer un suivi de leur demande et leur répondre.
Cette finalité ne justifierait pas que vous récoltiez également l’âge, le sexe et la taille de l’internaute.
Chaque donnée récoltée est lié à sa finalité. Si vous avez récolté des données pour une finalité précise ou si vous avez accès à une base de donnée externe, vous ne pourrez réutiliser ces données pour une autre finalité qu’après avoir réalisé un examen de compatibilité. L’idée est d’analyser si la finalité pour laquelle les données ont été récoltées et traitées initialement est compatible ou non avec la nouvelle finalité que vous désirez leur attribuer.
3. Déterminez le traitement appliqué
Article 4.2 du RGPD : définition du traitement de données à caractère personnel « toute opération ou ensemble d’opérations de traitement effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »
Le traitement commence donc à la collecte des données et prendra fin à leur suppression en passant par leur modification, leur conservation, leur communication, etc.
4. Définissez les données dont vous avez besoin
Il est parfois difficile d’identifier si une donnée relève du caractère personnel ou non. La recommandation de l’APD sur l’application du RGPD au marketing direct éclaire sa définition. Nous pouvons considérer comme donnée à caractère personnel « toute information qui est liée à une personne, aussi minime puisse-t-elle vous paraître lorsque vous la considérez isolément (par exemple un âge, une commune de résidence, la couleur des yeux ou le genre, voire un numéro de matricule), est une donnée à caractère personnel dès lors que, combinée avec une ou plusieurs autres, elle permet d’identifier, d’individualiser une personne physique ». Attention qu’il y a une interdiction de principe sur le traitement de certaines données comme par exemple l’origine ethnique, les convictions religieuses, l’appartenance syndicale, les données médicales, l’orientation sexuelle, etc.
Sur cette base, il faut garder à l’esprit que vous ne pouvez récolter que les données dont vous avez besoin en relation avec la finalité que vous poursuivez. De plus, leur durée de conservation doit être limitée au strict minimum.
Ces mesures impliquent que vous ayez une vision claire et précise sur vos données. Afin d’assurer la bonne gestion de vos données, il est fortement recommandé (mais pas obligatoire sauf pour les entreprises de plus de 250 personnes) de tenir un registre ou tout du moins de mettre en place les outils nécessaires, vous permettant notamment de pouvoir facilement identifier les données obsolètes ou qui vous ne pouvez plus traiter.
5. Prévoyez une base juridique valable
L’article 6 du RGPD prévoit que tout traitement de données à caractère personnel soit fondé sur l’une des 6 bases juridiques définies par le règlement. Vous ne pouvez choisir qu’une seule base juridique par finalité de traitement et cette base ne pourra pas être modifiée en cours de traitement.
Exemple : si votre base est le consentement et qu’une personne retire son consentement, vous ne pourrez plus exploiter ses données pour la finalité en question.
Dans le cas du marketing direct, le choix le plus judicieux est le consentement. Il est défini par le RGPD comme « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. »
Pour plus d’informations concernant le consentement et son application pour votre site internet, veuillez lire notre article sur les cookies.
6. Faites preuve de transparence
Article 12.1 du RGPD :
« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour une information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne fait la demande, les informations peuvent être fournies oralement à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »
Le concept est simple : fournissez un maximum d’informations, de manière claire et compréhensible par tout le monde, de préférence par écrit. Ces informations doivent être facilement accessibles, de manière visible.
L’obligation de transparence est valable aussi bien au moment de la collecte des données que lors du traitement de ces données. Si une personne vous contacte au sujet de ses données (pour les modifier, les effacer, etc.), vous êtes tenus d’informer la personne des mesures prises à la suite de sa demande ainsi que des délais qui y sont associés.
Conclusion
Plus qu’une contrainte, voyez votre mise à niveau au RGPD comme une opportunité de montrer votre implication et votre sérieux. Cela permet de mettre en confiance les internautes qui passent sur votre site et constitue donc une raison supplémentaire de faire appel à vos services.
Un bon prestataire marketing saura vous aiguillez sur les mesures à mettre en place en fonction de votre situation et des services que vous lui demandez de mettre en place pour votre activité. Notre agence s’assure que votre politique de confidentialité et la récolte du consentement des internautes qui passent sur votre site soit fait de manière règlementaire.
Vous désirez augmenter la visibilité de votre entreprise ?
Nous développons avec vous une stratégie de référencement naturel :
- Analyse de vos objectifs
- Définition d’une stratégie digitale
- Définition des mots clés intéressants
- Optimisation technique de votre site internet
- Rédaction des textes des pages
- Optimisation des textes existants
- Suivi de vos performances SEO
- Amélioration continue de votre référencement
- Rédaction d’articles de blog
Lionel Godefroid est un spécialiste en référencement SEO depuis plus de 10 ans. Il a travaillé pour des agences digitales et de grandes entreprises.
Sa philosophie est axée sur la création d’un marketing durable.
