Une prise de conscience globale est en train de s’opérer de la part des citoyens au sujet de leurs données : que ce soit en tant que salarié ou en tant que client, tout le monde a réalisé, ou est en train de réaliser, que les informations personnelles ont désormais une importance capitale mais aussi une valeur marchande.
Une étude du cabinet de marketing et d'analyse Aimia révèle, par exemple, que le nombre de clients estimant leurs données comme très précieuses a augmenté d'un tiers depuis 2014 (1). Avec le GDPR (General Data Protection Regulation), la commission européenne a érigé la protection des données en priorité absolue pour les entreprises. Ce nouveau règlement, qui encadrera les données à l’échelle européenne, entrera en vigueur en mai 2018. Et peu d’entreprises y sont préparées ; alors que l’image de marque des entreprises n’en respectant pas les dispositions risque fort d’être impactée. Nous vous proposons ici de comprendre les nouvelles obligations imposées par ce règlement aux entreprises envers les internautes.
Une prise de conscience de la valeur des données
Malgré des avertissements apparaissant sur une immense majorité de portails en ligne, l’utilisation et l’exploitation des données reste un sujet obscur pour l’internaute. Jusqu’alors, les données n’étaient pas encore considérées comme un bien privé qu’il fallait protéger. Mais les choses sont en train d’évoluer, notamment avec l’arrivée de la génération Z. Cette toute dernière génération d’internautes - qui maîtrise parfaitement toutes les plateformes numériques actuelles - se montre bien plus méfiante sur le partage de ses données auprès des marques. Et les générations précédentes commencent, depuis peu, à suivre ce mouvement.
Lorsqu'on parle de données, on fait référence aux données personnelles directes : nom, prénom, adresse, coordonnées bancaires et téléphoniques. Mais ce ne sont pas les seules. En effet, de nombreuses autres informations sont concernées : historique de navigation, application utilisées, fréquence d'utilisation des réseaux sociaux et même publicités visionnées, etc. Conjuguée aux nombreuses affaires de piratage ayant fait scandale, l'instauration du GDPR pourrait bien déclencher une réaction de taille dans l'esprit des internautes : ces derniers sont en passe de réaliser la valeur de leurs données en ligne et l’importance de les protéger. Cependant, les individus restent enclins à divulguer leurs données. Mais dans un contexte commercial, cela ne peut plus être gratuit : 91% des clients âgés de 16 à 24 ans estiment ainsi que s'ils communiquent des données auprès d’une marque, ils sont en droit d’attendre quelque chose en retour (2). Les entreprises doivent s'y préparer et s’adapter.
Obligations légales et entreprises concernées
Dans le cadre du futur GDPR, plusieurs cas de figures existent : cela va dépendre de la conservation ou de l’utilisation de données personnelles des citoyens européens, mais aussi du statut de ces mêmes citoyens (clients, employés ou prospects). Si une entreprise emploie des citoyens européens, celle-ci enregistre les noms, adresses voire coordonnées bancaires de ces derniers. Soit autant de données personnelles qui impliquent que l’entreprise est dans l’obligation d'appliquer les dispositions du nouveau règlement – et qu’elle doit être en mesure de prouver sa conformité auprès des autorités à tout moment.
Le GDPR a aussi un impact sur les données des clients et prospects. L’entreprise doit obtenir le consentement de ces derniers pour utiliser leurs données et leur octroyer un droit de rectification sur ces informations personnelles. Le GDPR prendra ainsi les devants avec la nomination obligatoire, dans certaines entreprises, d’un responsable de la protection des données (ou Délégué à la Protection des Données soit DPD ou DPO en anglais). Quelles sont les entreprises concernées ? Tous les organismes publics, les entités effectuant un traitement à grande échelle de certaines catégories dites "sensibles" de données personnelles (celles liées à la santé notamment) et les entreprises dont les activités de base impliquent un suivi régulier et systématique des personnes à grande échelle. On peut regretter que pour le reste des entreprises, le règlement n’impose aucune embauche de ce type de profils, pourtant indispensable devant l’importance de la gestion des données dans les années à venir.
Quel est le rôle du DPD ? D'après la règlementation européenne, il a quatre missions principales :
- Informer et conseiller le responsable du traitement des données ou le sous-traitant, ainsi que ses employés,
- Veiller au respect du règlement et du droit européen en matière de protection des données,
- Conseiller l'entreprise ou l’organisme sur la réalisation d’une analyse d’impact de ses données sur la vie privée et d’en vérifier l’exécution,
- Coopérer avec l’autorité de contrôle et en être le point de contact.
Les logiciels de gouvernance de données doivent venir accompagner cette politique de protection des données de l'entreprise, notamment pour la gestion de données transverses et la gestion en référentiel de données fondamentales.
Ce que cela va changer sur le plan marketing
La mise en place de ce règlement va entraîner de nombreuses répercussions sur la stratégie marketing des entreprises traitant des données européennes. D’un point de vue global, une entreprise pourra commercialiser des produits et des services auprès d’internautes qui ont donné un consentement explicite en étant informés auparavant.
Cela pourra se matérialiser par une case à cocher sur le site en ligne, à condition que le message en question soit facile à comprendre et indique clairement que l'individu accepte que ses données personnelles soient utilisées à des fins marketing spécifiques (envoi d’informations commerciales, partage de ses données à des tiers, etc.). Une précision qui a son importance : la case ne pourra être cochée par défaut, il est impératif que le choix de l’internaute sur l’utilisation de ses données soit actif. En résumé, le marketing opt-in va devoir remplacer le marketing opt-out dans l'ère post-GDPR.
Autre cas de figure : lors d’un événement ou d’un salon, au cours duquel une entreprise tire au sort des gagnants de prix parmi les personnes ayant déposé leurs cartes de visite sur votre stand. Il est évident que les participants doivent être informés que leurs données peuvent être utilisées à des fins marketing, mais leur consentement devra être explicite. Il est préférable de demander un consentement écrit dans le cas où, par exemple, les autorités en demanderaient la preuve. Quid de l’achat de listes de données ? Il ne suffit pas que le fournisseur de la liste (le sous-traitant) assure le consentement des personnes listées, leur autorisation explicite est obligatoire. Ces dernières pourront par ailleurs exiger de savoir où ces informations ont été collectées, par qui et ce qui a été communiqué à l’ensemble des listés sur l’usage de ces données et leur période de stockage. Des obligations qui pourraient bien compliquer voire mettre fin à ce marché une fois le GDPR mis en place.
Vers une réduction des bases clients ?
Le GDPR stipule également que les données personnelles devront être adéquates, pertinentes et limitées au besoin spécifique pour lequel elles sont récoltées. Ce qui signifie que les entreprises ne pourront collecter qu'un minimum de données et ne les conserver que pendant un minimum de temps, une période n'excédant pas celle nécessaire aux fins pour lesquelles elles sont traitées.
Il y a de fortes chances que tous ces points de règlementation entraînent une diminution des bases de données clients en Europe. À partir de mai 2018, les entreprises devraient observer la disparition de données du système, certains individus demandant leur oubli et les données ayant rempli leur finalité devant être supprimées.
D'après une étude TrendMicro, publiée en 2016, 31% des DSI français ignorent toujours l’existence de cette nouvelle règlementation. Pourtant, les entreprises en situation de non-conformité avec le GDPR encourent une amende pouvant s'élever à 4% de leur chiffre d'affaires et jusqu'à 20 millions d'euros. Des peines lourdes qui ont pour objectif d'inciter les entreprises à relever le défi de la protection des données. Il est temps que les entreprises prennent le contrôle de toutes leurs données, et ce sans attendre. Pas uniquement dans le but de respecter le nouveau règlement GDPR et d'éviter des violations de la protection des données ou de soigner leur image de marque et leur réputation, mais également pour offrir aux clients ce qu'ils souhaitent : la protection et la personnalisation de leurs données à la demande.