RGPD & Marketing Digital : quels impacts concrets ?

Data

Emailing, analytics, SEO, publicité, growth hacking, DMP, Automation… Tour d’horizon des impacts du prochain Règlement Général sur la Protection des Données sur les principaux leviers du marketing digital.

 

L’échéance du 25 mai 2018, date de l’entrée en application du Règlement Général sur la Protection des Données (RGPD) approche à grands pas.

Le RGPD vise à assurer la protection des libertés des personnes dont les données personnelles sont collectées et à harmoniser les textes au niveau des 28 états membres de l’Union Européenne. En France, la loi Informatique et Libertés a défini dès 1978 les principes fondamentaux du respect de la vie privée qui font partie intégrante du RGPD.

Avec le RGPD, les droits des individus sont renforcés et harmonisés dans un contexte global où le volume de données personnelles collectées n’a jamais été aussi fort grâce aux évolutions technologiques. Dans cette optique, le recueil du consentement de l’utilisateur occupe une place centrale dans le dispositif. Mais ce qui change vraiment, c’est la nature des sanctions : quand la CNIL ne pouvait infliger qu’une amende de 150 000 €, elle pourra désormais sanctionner les contrevenants avec une amende de 20 millions d’euros ou 4% du chiffre d’affaires mondial…

Nous ne reviendrons pas par l’intermédiaire de cet article sur l’impact du RGPD sur la collecte des données personnelles internes à l’entreprise (registre du personnel, contrat de travail…) mais sur l’exploitation des données personnelles dans le cadre des campagnes de marketing digital. Les principaux leviers web-marketing (emailing, DMP, publicité…) se nourrissent en effet des données personnelles pour personnaliser leur dispositif. L’enjeu va désormais consister à conjuguer performance des actions et respect du cadre

empirik-blog-rgpd-marketing-digital-impacts-concrets-1200x628

RGPD & Emailing / Newsletters

L’emailing est évidemment le premier levier auquel on pense quand on associe RGPD et marketing digital, l’e-mail étant la principale donnée personnelle exploitée au niveau webmarketing.

Les CRM doivent plus que jamais être constitués exclusivement de contacts opt-in. Si votre base de données a été enrichie grâce à des techniques « sauvages » (type Growth Hacking ou achat de base) ou si vous n’avez pas obtenu le consentement explicite de vos contacts pour leur envoyer une newsletter (en exploitant par exemple la base d’inscrits d’un webinar), deux solutions s’offrent désormais à vous pour être dans les clous du RGPD :

  • Faire le ménage en excluant les contacts non opt-in (mais avec le risque de voir votre base se réduire à peau de chagrin !) ;
  • Envoyer un e-mailing pour obtenir le consentement explicite de vos abonnés pour continuer à leur diffuser votre newsletter. Le consentement nécessite un acte positif clair de la part de l’internaute. En d’autres termes, si l’internaute n’a pas répondu au mail et n’a pas donné son accord explicite, il devrait en théorie être exclu de la base ;
  • L’utilisateur doit pouvoir retirer son consentement à tout moment pour l’utilisation de ses données via un centre de gestion des abonnements ;
  • S’il n’y a pas eu de contacts avec l’utilisateur dans une période de 3 ans (seul le clic au sein de la newsletter est considéré comme un contact. L’ouverture, non), alors il faudra le supprimer de la base de contacts.

Avec ces dispositions, il est clair que la taille des bases va se réduire mais il s’agit selon nous d’un faux problème. L’audience « restante » sera plus engagée et plus réceptive : les taux d’ouvertures et taux de clics devraient s’envoler !

RGPD & Formulaires

Tous les formulaires présents sur un site web collectant des données personnelles (demande de devis, inscription à une conférence ou à un webinar, téléchargement d’un livre blanc, candidature à une offre d’emploi, participation à un jeu-concours…) devront sensiblement évoluer :

  • Le consentement doit être libre : l’opt-out est évidemment à bannir tout comme l’opt-in passif (case pré-cochée) ;
  • La finalité de l’utilisation des données doit être claire et facilement compréhensible afin que l’internaute agisse en connaissance de cause. Il faudra proscrire les tournures délibérément floues du type « J’accepte que les informations fournies soient exploitées dans le cadre de la relation commerciale ». Si vous récupérez le contact pour envoyer une newsletter, il faudra le préciser de façon explicite. Et si vous envisagez d’exploiter le contact pour envoyer une newsletter ET pour l’inviter à des événements, il faudra ajouter ces deux mentions avec une case à cocher sur le formulaire.
  • Le traitement doit être proportionnel (principe de minimisation des données). Par exemple, la présence d’un champ obligatoire « Téléphone » n’est pas nécessaire sur le formulaire d’inscription à un webinar si la connexion à cet événement se fait par mail. Dans ce cas, ce champ devra être supprimé.
  • Vous devrez conserver la preuve du consentement dans une base de données afin de démontrer le cas échéant que la personne a bien donné son accord pour l’utilisation de ses données personnelles.

Il sera intéressant de surveiller à partir du 25 mai l’impact éventuel de ces modifications sur le taux de remplissage des formulaires. La suppression de champs inutiles et la présence de mentions rassurantes pourraient avoir un impact positif sur le taux de conversion !

RGPD & Analytics

Les données de navigation étant considérées comme des données personnelles, les solutions de Web Analytics les collectant en vue de les analyser entrent donc dans le scope du RGPD par l’intermédiaire de la prochaine directive eprivacy (qui n’est pas encore sortie). Cette directive devrait notamment préciser le mode de fonctionnement des cookies analytiques. Le secteur de la web analyse est néanmoins encadré depuis la directive européenne dite « paquet télécom » de 2009 qui a contraint les responsables de site à recueillir le consentement de l’utilisateur pour le dépôt des cookies. Certaines solutions comme AT Internet ou Piwik en sont dispensées à la condition de supprimer au bout de 13 mois les données de navigation collectées (ce qui n’est pas le cas de Google Analytics). Dans les faits, cette directive est souvent mal appliquée car :

  • La finalité de traitement est souvent floue. Les bandeaux mentionnent l’utilisation de cookies sans souvent préciser leur finalité d’utilisation ;
  • Les types de traitement entre les cookies analytiques, les cookies publicitaires ou les cookies techniques ne sont pas forcément distingués. Si l’internaute bloque le dépôt de l’ensemble des cookies, il peut se retrouver en difficultés pour utiliser un site (par exemple les cookies de gestion du panier d’achat) ;
  • La poursuite de navigation sans clic sur le bandeau vaut pour accord et déclenche le dépôt des cookies.
La prochaine directive eprivacy, qui va durcir les sanctions par rapport à la directive paquet telecom devrait imposer de :
  • Préciser de façon claire la finalité d’utilisation des cookies par type de traitement ;
  • Considérer qu’une poursuite de navigation sans consentement explicite entraînerait le blocage des cookies ;
  • Permettre à l’utilisateur de revenir sur sa décision de consentement au cas où il change d’avis.

En conséquence, on peut penser que le contenu des bandeaux cookies devrait s’alourdir afin de préciser de façon explicite la finalité de traitement (plutôt que les indiquer dans des conditions générales que personne ne lit) et occuper une place plus importante dans la page (via un pop-in et non un discret bandeau comme c’est souvent le cas aujourd’hui). Au cas où les internautes bloquent massivement l’installation des cookies analytiques, la qualité des données serait affectée : les indicateurs de fréquence de revisites seraient inutilisables et il deviendrait impossible de reconstituer les parcours clients en amont d’une conversion et ainsi de piloter ses campagnes en fonction de modèles d’attribution. Au-delà de la question du consentement, le Web Analytics est également impacté par d’autres dimensions du RGPD :

  • Le lieu de stockage des données : si les données analytiques sont hébergées dans un pays hors zone UE, le RGPD exige que le pays en question garantisse un niveau de protection équivalent. Google Analytics héberge ses données aux USA (et assure être certifié conformément au cadre Privacy Shield couvrant l’UE et les Etats-Unis) mais aussi dans d’autres pays du monde qui ne font pas partie de liste de l’UE…
  • La responsabilité en tant que sous-traitant : il est fondamental de vérifier le périmètre de responsabilité de votre fournisseur de solutions (considéré comme un sous-traitant) dans le contrat afin que vous ne vous retrouviez pas à assumer seul l’amende (20 millions d’euros ou 4% du CA) en cas de fuite de données ! Ce périmètre doit être précisé dans un contrat entre l’éditeur et le client et pour l’instant, Google n’en propose pas…
  • L’accès aux données Analytics : il est nécessaire de cartographier l’ensemble des utilisateurs qui peuvent consulter les données issues des solutions de web analyse et de bannir les mails génériques de connexion du type equipe@entreprise.com qui ne permettent pas de retracer l’historique des connexions personnelles.

RGPD & Growth Hacking

Les techniques de Growth Hacking reposent notamment sur des outils de scrapping qui récupèrent de façon sauvage des adresses mails via les moteurs de recherche, les réseaux sociaux comme LinkedIn ou des sites d’annonces comme le Bon Coin et bien évidemment sans le consentement préalable de l’utilisateur !

Le RGPD va donc clairement siffler la fin de la récréation et il faudra désormais bannir ces approches pour augmenter le nombre de contacts de sa base de données prospects.

RGPD & SEO

A priori, le RGPD ne devrait pas influer directement sur le SEO d’un site. Il pourrait y avoir toutefois un impact indirect sur la vitesse de chargement des pages (critère SEO essentiel) avec l’intégration des bandeaux cookies plus lourds chargés de recueillir le consentement de l’internaute.

Google pourrait néanmoins prendre en compte dans le futur, la capacité d’un site à être « RGPD ready » pour son classement dans les pages de résultats. Son algorithme a toujours cherché à capter les signaux favorisant l’expérience utilisateur et les critères RGPD en font totalement partie.

RGPD & Réseaux sociaux

L’enjeu RGPD concerne principalement les plates-formes, notamment Facebook qui profilerait 73 % de ses utilisateurs européens à leur insu sur la base de critères strictement interdits par le RGPD (opinion politique ou religieuse, orientation sexuelle…) ! Le récent scandale Cambridge Analytica a constitué en tout cas la meilleure publicité pour les défenseurs du RGPD.

Du côté des annonceurs, l’utilisation de l’adresse mail d’un client pour cibler des audiences similaires sur Facebook (ciblage customer match) devrait être précisée au moment du recueil du consentement (via une mention sur le formulaire).

RGPD & Display / Retargeting

Le cookie publicitaire n’est clairement plus en odeur de sainteté depuis quelques années comme en témoigne le développement des AdblocksL’hyperpersonnalisation des bannières publicitaires a en effet provoqué un sentiment de défiance chez l’internaute. Apple a ainsi déployé en septembre 2017 une nouvelle version de son système d’exploitation faisant la chasse aux cookies, ce qui a eu pour effet de contribuer à faire dévisser le cours de bourse de Criteo, le spécialiste mondial du retargeting.

Face à cette situation, les acteurs de l’AdTech, conscients des risques par rapport à leur modèle économique, travaillent sur des alternatives aux cookies pour pister l’utilisateur (fingerprinting, stockage navigateur, détection du hardware des machines, géolocalisation…). Mais quelle que soit la technologie utilisée, le recueil préalable du consentement utilisateur sera nécessaire.

RGPD & DMP

Les DMP fonctionnent en partie grâce à la collecte de données tierces, second (un partenaire) ou third (un fournisseur de données) party.  Ces données viennent enrichir les datas first party (CRM, analytics…) pour enrichir la connaissance client et personnaliser le dispositif digital (bannières, emailing, site web…).

L’ensemble des acteurs de la chaine est donc fortement impacté par le RGPD :

  • Les fournisseurs de données third party devront se montrer plus transparents sur la finalité de traitement des données collectées et leur mise à disposition à des partenaires à des fins publicitaires ;
  • Selon le principe de responsabilité des sous-traitants, l’annonceur utilisant une DMP devra s’assurer du respect de principe du consentement par ses partenaires et garantir un suivi du consentement dans le temps si l’utilisateur change d’avis.

RGPD & Marketing Automation

Le principe du marketing automation est de mettre en place des scénarios automatisés (envoi d’un e-mail ou d’un SMS) à partir du profil de l’utilisateur (= données personnelles) et son comportement sur un site (triggers). Dans le cadre du RGPD, l’utilisateur pourra s’opposer à ces techniques de profilage (cela s’applique également aux DMP).

Il conviendra donc de :

  • Spécifier dans les formulaires en ligne le traitement des données personnelles dans une optique de profilage ;
  • Permettre à l’utilisateur de bloquer le dépôt des cookies de profilage et de pouvoir revenir sur sa décision dans le temps.

La question est de savoir jusqu’où l’annonceur doit aller dans la précision sur la finalité de traitement. Vu les nombreux cas d’usages possibles d’une DMP ou du marketing automation (envoi d’un email, appel d’un call center, personnalisation d’une bannière…), cela risquerait de sérieusement alourdir les formulaires de recueil du consentement !

RGPD & Profilage via le Machine Learning

Si les DMP et solutions de marketing automation fonctionnent aujourd’hui sur la base de scénarios définis par l’humain, le Machine Learning va progressivement se substituer à l’homme pour définir automatiquement les segments et déclencher les scénarios d’activation.

Or, dans le cadre du RGPD, l’utilisateur pourra exiger des explications sur la nature de la décision prise par la machine et s’y opposer. L’homme devra être alors en capacité de justifier le « raisonnement » de la machine, ce qui peut s’avérer extrêmement compliqué, voire impossible pour certains algorithmes complexes tels que le Deep Learning.

En synthèse

Si certains champs d’application du RGPD sur le recueil du consentement peuvent être a priori « facilement » déployés sur un site (bandeau cookie, mentions sur les formulaires en ligne…), d’autres risquent d’avoir des impacts organisationnels et techniques non négligeables (gestion du consentement par type de cookies, preuve de consentement, accès aux données…).

L’incertitude demeure également sur l’impact du RGPD sur les techniques de personnalisations publicitaires (retargeting, DMP, automation…) qui se nourrissent de données personnelles régulièrement collectées sans le consentement explicite de l’utilisateur. Il sera en cela intéressant de décortiquer les premières décisions de justice et condamnations (surtout celles qui concerneront les GAFA, les premiers visés par le règlement, vu le volume de données personnelles qu’ils possèdent et par le montant potentiel de l’amende !).

Ce qui est certain, c’est que l’enjeu du RGPD ne se résume pas à l’échéance du 25 mai. La gestion de la protection des données personnelles évoluera selon les cas de jurisprudence, les avancées technologiques et les changements de comportements de l’utilisateur.

Besoin d'aide et de conseils par rapport au RGPD ?

Contactez nos experts !

Ces articles peuvent vous intéresser

  • Data

Les principales alternatives à Google Analytics conformes au RGPD et validées par la CNIL

  • Data

Expressions régulières (ou RegEx) : définition, cas d'usages et exemples