I - LE RGPD, QU'EST-CE QUE C'EST ?

Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais General Data Protection Regulation) permet d’encadrer le traitement et la circulation des données personnelles sur le territoire de l’Union Européenne, et ce depuis le 25 mai 2018. D'autres renforcements ont été effectués au 1er avril 2021 notamment concernant les intermédiaires que sont les traceurs et cookies.

Dès qu’un citoyen de l’UE est concerné, le RGPD s’applique, peu importe le pays dans lequel se situe l’entreprise qui effectue du traitement de données. À compter du moment où l’entreprise a une activité en Europe, elle est concernée.

Pour comprendre ce qu’est le RGPD, il est nécessaire de savoir ce qui se cache derrière la notion de données personnelles.

Une donnée personnelle est une information se rapportant à une personne physique. Il peut s'agir d’informations comme le nom et le prénom, mais aussi un numéro client, un numéro de téléphone, des informations sur des caractéristiques physiques, génétiques, psychologiques, sociales, économiques, biométriques etc.

Ainsi, quelque information détenue sur un individu est une donnée personnelle.

C’est le traitement de ces données que le RGPD encadre.

Le traitement des données est une opération (ou plusieurs opérations) effectuée(s) sur ces données personnelles (collecte, transmission, consultation, modification etc.). Il faut que le traitement de données soit légitime au regard de votre activité professionnelle et dans un but précis.

Ce règlement harmonise donc les règles en Europe en matière de protection des données afin d’avoir un seul et unique cadre juridique qui s’applique à l’ensemble des Etats membres.

De cette façon, les entreprises européennes se retrouvent sur un pied d’égalité lorsqu'il s’agit de la gestion des données client, et l'utilisateur quant à lui est protégé des utilisations malveillantes.

De ce fait, le RGPD permet aux professionnels de développer leurs activités numériques dans l’Union Européenne en se fondant sur la confiance des utilisateurs.

II - POURQUOI A-T-IL ÉTÉ MIS EN PLACE ?

Le RGPD est la réglementation qui s’adapte aux évolutions technologiques et sociétales.  

L’utilisation du numérique, le développement des commerces en ligne, et bien d’autres avancées sont donc à l’origine de l’adoption de ces mesures.

L’objectif premier du RGPD est de protéger les clients et leurs données.

Pour ce faire, le RGPD se base sur 4 principes :

1. Le consentement
2. La transparence
3. Les droits
4. La responsabilité

Pour ce qui est du consentement, les entreprises doivent désormais l’obtenir de manière claire, explicite (positive), et par écrit, de la part de leurs utilisateurs.

Sans ce dernier, il leur sera impossible de collecter et traiter les données personnelles, sous peine de sanctions judiciaires en cas de contrôle de la CNIL (instance référente sur le sujet du RGPD en France).

Des nuances entre le B2B et le B2C sont à apporter sur ce sujet. Les entreprises B2B n’ont pas besoin de la collecte du consentement à partir du moment où la finalité de la collecte est respectée. Cependant, pour la sollicitation par des tiers, le consentement est obligatoire. Si les données collectées par les entreprises B2B sont des données B2C, le consentement est également nécessaire.

Concernant la transparence, l’entreprise doit expliquer à l’utilisateur de manière claire, concise et sans ambiguïté, la raison de la collecte des données et la façon dont elles seront traitées.

L’utilisateur est en droit de savoir ce qui est collecté et pourquoi, afin d’accepter ou non les conditions du professionnel.

Dans cette même optique de protection, le client redevient maître de ses données et le RGPD lui confère de nouveaux droits :

• Le droit d’accès facilité : L’entreprise responsable du traitement des données doit faciliter l’accès de l’utilisateur à ses données personnelles dans un délai maximum d’1 mois.

• Le droit à la portabilité des données : L’individu a le droit de récupérer ses données dans un format facilement transposable et réutilisable pour les transférer à un tiers. C’est ce qu’il se passe lorsqu’une personne passe d’un réseau social à l’autre en transférant ses données.

• Le droit à l’oubli : C’est ici qu’à lieu la plus grande avancée concernant les données personnelles et leur traitement. Une personne peut demander à l’entreprise responsable des données de les supprimer, et ce, dans un délai d’1 mois et non plus de 2. Cela prévaut également pour toutes les copies de ces dernières.

Enfin, la dernière raison et le dernier pilier de ces mesures, réside dans la responsabilité de l’entreprise. L’idée de cette réglementation n’est pas de brider les entreprises, mais seulement de mettre en place des mesures afin de ne pas utiliser de manière frauduleuse ou malveillante les données récoltées.

Cette notion s’illustre via :

• La documentation : Les entreprises ont l’obligation de prouver qu’elles sont conformes à la nouvelle réglementation via de la documentation sur les mesures et procédures en matière de protection des données à caractère personnel, sensibles.

• Le renforcement des mesures de sécurité : Les entreprises sont garantes de la protection de ces données et de leur confidentialité. Elles doivent mettre en place des mesures d’anonymisation et faire des tests d’intrusion pour garantir la sécurité des données détenues.

• L’encadrement des sous-traitants : Cette mesure rend l’entreprise détentrice des données (donc l’entreprise cliente du/des sous-traitant(s)) co-responsable en cas de fuite ou autre problème sur ces dernières. Elles doivent donc s’assurer que les sous-traitants avec qui elles travaillent disposent des garanties suffisantes à la protection des données.

• La notification en cas de faille : En cas de faille, piratage, ou autre, l’entreprise doit tenir informée la CNIL dans les 72h, mais également les personnes concernées si la faille comporte un risque pour les droits et libertés des individus. C’est d’ailleurs dans cette dynamique que l'Assistance Publique des Hôpitaux de Paris a dû tenir informé les personnes vaccinées dont les informations avaient récemment fuité.

• La désignation d’un Data Protection Officer : L’entreprise devra désigner une personne dont le rôle sera de garantir la conformité de l’entreprise avec le RGPD et de piloter la gouvernance des données.

Les entreprises sont donc responsabilisées. L’objectif derrière cela est d’éviter une nouvelle affaire comme la Cambridge Analytica Gate où, durant la campagne présidentielle de Donald Trump en 2016, des dizaines de millions de données d’utilisateurs ont été analysées à leur insu.

III - QUELS ENJEUX POUR LES SOLUTIONS D'ACQUISITION ?

Le fait que les utilisateurs ont désormais le choix de refuser la collecte et le traitement de données sur les sites par exemple, impacte forcément négativement les campagnes d’acquisition. Souvent basées sur les actions effectuées par les prospects, si ces derniers refusent que vous collectiez ces données, vous perdez de l’information qui, auparavant, vous donnait des indications sur les actions à effectuer pour acquérir de nouveaux clients.

D’après le Journal du Net, la part de refus via les bandeaux cookies serait  de 30 à 40%, depuis la mise en vigueur des nouvelles règles du RGPD (le 1er avril 2021).

Google développe le Google Consent Mode pour pallier au mieux à ces refus. Cet outil simule le parcours effectué par une personne ayant refusé un cookie pour pouvoir alimenter les algorithmes de données fabriquées à partir de vrais comportements. Cette intelligence artificielle est encore en bêta test mais est déjà massivement utilisée.

Facebook quant à lui décide non plus de passer par des traceurs tels que des cookies mais via des serveurs.

Mais quelles solutions peuvent-être développées au niveau de l’entreprise ?

Et bien pour commencer, tenter de maximiser le consentement en designant et optimisant son bandeau cookie. Cela peut se faire par exemple en jouant sur les couleurs, la psychologie et en donnant des explications sur pourquoi l’acceptation serait bénéfique à l’internaute.

En revanche, nous savons que les cookies sont sur la fin puisqu’ils sont voués à disparaître très prochainement. Google Chrome a annoncé l’arrêt de ces derniers d’ici 2022. Ainsi, c’est la fin de l’hyper individualisation du marketing. De nouvelles façons de travailler vont devoir émerger et être mises en place. C’est le marketing contextuel, avec l’inbound marketing et le SEO, qui devra prendre place sur le devant de la scène.

En effet, cette stratégie de création de contenus vise à attirer l’attention de vos prospects sur votre expertise et votre proposition de valeur. Dans cette stratégie, c’est le prospect qui, de manière autonome, s'intéresse à vous et vient s’informer. C’est tout naturellement que cet individu intéressé par vos solutions ou produits vous donnera le consentement concernant ses données. De plus, avec l’inbound marketing, vous vous assurez d’avoir des leads de qualités et qualifiés puisqu’ils seront venus à vous d’eux-même, traduisant d’une volonté d’avancer dans votre tunnel de vente.

Concernant la prospection par mails, la CNIL assure que le RGPD ne change les règles ni aux entreprises B2B, ni aux entreprises B2C, du moment que l’objet de la sollicitation est en rapport avec l’activité professionnelle de la personne démarchée.

Dans le cas où le RGPD ne serait pas respecté, les entreprises encourent des amendes allant jusqu’à 20 Millions d’euros, ou 4% du Chiffre d’Affaires mondial. Le montant le plus élevé entre ces deux méthodes de calcul sera retenu.

‍