MARKETING ET RGPD
Vos activités de marketing et vos modalités de communication sont-elles conformes au RGPD ? Voici quelques considérations clés pour adopter une approche prudente et respecter les principes cardinaux du Règlement Général sur la Protection des Données.
Tout d’abord, qu’est-ce que le RGPD ?
Le Règlement (UE) 2016/679, dit le Règlement Général sur la Protection des Données (RGPD) et en anglais « General Data Protection Regulation » (GDPR), est une réglementation européenne qui vise à renforcer la protection des données à caractère personnel des citoyens de l’Union Européenne. En remplaçant les anciennes directives européennes en matière de protection des données personnelles, le RGDP vise aussi à harmoniser les règles applicables au niveau européen. En effet, cette réglementation européenne concerne toutes les entreprises et organisations qui collectent et traitent informatiquement des données rattachées à des individus sur le territoire européen.
Quels sont les principes cardinaux du RGPD ?
Le Règlement Général sur la Protection des Données s’articule autour de principes cardinaux que j’expose ici succinctement :
1. Le principe de licéité, loyauté et transparence
En bref, les données doivent être collectées et traitées conformément au RGPD (licéité), ce qui est traité doit correspondre à ce qui a été décrit à l’individu concerné (loyauté) et les individus doivent être clairement informés quant à l’utilisation de leurs données personnelles (transparence).
2. Le principe de limitation des finalités
Les données à caractère personnel des habitants de l’Union Européenne ne peuvent être recueillies et traitées que pour des finalités clairement déterminées, explicites et légitimes.
3. Le principe de proportionnalité et de minimisation des données
Les données recueillies sur un individu doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. En d’autres termes, le RGPD exige que les données ne soient collectées que pour un ou plusieurs traitements bien spécifiques et clairement définis.
4. Le principe d’exactitude et de pertinence des données
Les données personnelles doivent être exactes. Il incombe aux détenteurs de données de mettre en place des processus de rectification et de suppression dans leurs bases de données, pour faire en sorte que celles-ci soient à jour.
5. Le principe de durée de conservation limitée des données
Les données à caractère personnel doivent être conservées pour une durée établie en fonction de leur finalité. Passée cette limite, les données doivent être supprimées.
6. Le principe de sécurité, d’intégrité et de confidentialité
En tant que responsables de la sécurité des données qu’elles traitent, les entreprises et organisations doivent mettre en place des mesures appropriées pour garantir la sécurité des données personnelles, y compris la protection contre le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts d’origine accidentelle.
7. Le principe de responsabilité
Le responsable du traitement des données doit aussi être capable de démontrer sa conformité avec le RGDP. Les entreprises doivent donc documenter toutes les mesures et procédures en matière de recueil, traitement et sécurité des données, afin de pouvoir prouver qu’elles sont dans leur bon droit.
Vos activités de communication et modalités de marketing sont-elles conformes au RGPD ?
Voici quelques considérations clés pour adopter une approche prudente et respecter les principes cardinaux du Règlement Général sur la Protection des Données.
1. Soyez clair dans vos modalités de recueil des consentements
Selon le RGPD, les individus de l’Union Européenne doivent explicitement consentir au recueil et au traitement de leurs données personnelles pour une ou plusieurs finalités spécifiques.
Votre communication doit donc utiliser des libellés non seulement faciles à comprendre, mais qui indiquent aussi clairement la ou les fins marketing spécifiques pour la ou lesquelles les données recueillies serviront.
D’autre part, le consentement explicite des parents est nécessaire pour le traitement des données personnelles des enfants et des mineurs de moins de 16 ans.
En outre, les personnes concernées doivent pouvoir retirer ou modifier leur consentement aussi facilement et aussi rapidement qu’elles l’ont donné. Elles doivent avoir la possibilité d’effacer leurs données (le droit à l’oubli), de les transférer (la portabilité des données) ou de s’opposer à certains types de traitement de leurs données.
2. Documentez les recueils et les traitements de données personnelles
Votre entreprise doit être en mesure de prouver que les données à caractère personnel en sa possession ont été recueillies et sont traitées conformément au RGPD.
Votre marketing doit donc mettre en place des mesures adéquates pour ne détenir que des consentements explicites et enregistrer quand, pourquoi et comment ces données personnelles ont été collectées et traitées.
3. Mettez et tenez à jour vos listes de diffusion
Votre entreprise doit être en mesure de prouver qu’elle a recueilli les consentements des inscrits à ses listes d’email marketing de manière conforme au RGPD.
Le recueil des données personnelles de nouveaux inscrits à vos listes de diffusion peut être facilement géré avec l’activation du double opt-in (l’option qui nécessite que l’adresse email soit validée avant d’être enregistrée dans la liste de diffusion).
Quant aux personnes déjà inscrites dans vos listes de diffusion, mais qui n’ont pas expressément consenti à recevoir vos communications, vous devez leur demander leur consentement explicite en leur rappelant la ou les fins spécifiques pour la ou lesquelles leurs données serviront.
Vous devez aussi maintenir vos listes de mailing à jour et faire en sorte que les abonnés puissent facilement se désinscrire ou modifier leurs préférences.
4. Vérifiez la politique de cookies de votre site web
En ce qui concerne la politique de cookies du site internet de votre entreprise, le consentement des visiteurs doit être clairement et préalablement donné par une action positive.
Le consentement donné doit aussi être facilement modifiable : votre politique de cookies doit offrir aux utilisateurs de votre site web la possibilité de rejeter des cookies, de retirer ou de modifier leur consentement à tout moment.
En outre, les consentements doivent être stockés comme preuves en cas de contrôle et doivent être renouvelés tous les 12 mois de la première visite de l’utilisateur sur votre site internet.
5. Ciblez et soyez aussi pertinent que possible
Votre marketing doit cibler et définir spécifiquement les données qui doivent être recueillies. Votre communication doit également se limiter à ce qui est nécessaire par rapport aux finalités pour lesquelles les consentements ont été donnés.
Soyez donc précis dans les informations que vous demandez et minimisez les données en votre possession car, en tant que responsable de données à caractère personnel, votre entreprise doit être en mesure de prouver qu’elle a effectivement besoin de ces données et que celles-ci sont nécessaires au suivi de ses activités.
Quant aux pratiques de profilage et de personnalisation, votre entreprise est tenue de préciser, lors de la demande de consentement, que les données seront utilisées à des fins d’analyse automatique pour personnaliser l’expérience utilisateur. Autrement dit, soyez pertinent afin d’obtenir des consentements d’individus conscients de leur intérêt dans la démarche de profilage et de personnalisation.
Marketing et RGPD
Regardez la présentation disponible en français, en anglais et en italien.
J’espère que cet article vous a été utile. Je tiens toutefois à préciser que le contenu de ce post ne doit pas être considéré comme un conseil juridique ni professionnel sur des questions de confidentialité ou de traitement des données. Pour des conseils spécifiques, veuillez consulter la page de la Commission Européenne « Data protection: Rules for the protection of personal data inside and outside the EU » et contacter un expert ou un spécialiste agréé.
CET ARTICLE EST ÉGALEMENT DISPONIBLE EN ANGLAIS ET EN ITALIEN
Catherine Gason est une consultante en marketing digital international. Née à Séoul et adoptée à Bruxelles, elle a habité et travaillé à Londres. Son port d’attache actuel est Trieste, en Italie, d’où elle collabore virtuellement avec des responsables marketing, des SEO managers, des agences de communication et de référencement internationales. Catherine a eu l’opportunité de prendre le meilleur de chaque collaboration et de chaque pays dans lequel elle a vécu et, ainsi, d’acquérir un bagage professionnel et culturel qu’elle partage aujourd’hui avec ses clients.