- Data

Accueil — Nos ressources — Article — RGPD & Marketing Digital : quels impacts concrets ?
Emailing, analytics, SEO, publicité, growth hacking, DMP, Automation… Tour d’horizon des impacts du prochain Règlement Général sur la Protection des Données sur les principaux leviers du marketing digital.
Le RGPD vise à assurer la protection des libertés des personnes dont les données personnelles sont collectées et à harmoniser les textes au niveau des 28 états membres de l’Union Européenne. En France, la loi Informatique et Libertés a défini dès 1978 les principes fondamentaux du respect de la vie privée qui font partie intégrante du RGPD.
Avec le RGPD, les droits des individus sont renforcés et harmonisés dans un contexte global où le volume de données personnelles collectées n’a jamais été aussi fort grâce aux évolutions technologiques. Dans cette optique, le recueil du consentement de l’utilisateur occupe une place centrale dans le dispositif. Mais ce qui change vraiment, c’est la nature des sanctions : quand la CNIL ne pouvait infliger qu’une amende de 150 000 €, elle pourra désormais sanctionner les contrevenants avec une amende de 20 millions d’euros ou 4% du chiffre d’affaires mondial…
Nous ne reviendrons pas par l’intermédiaire de cet article sur l’impact du RGPD sur la collecte des données personnelles internes à l’entreprise (registre du personnel, contrat de travail…) mais sur l’exploitation des données personnelles dans le cadre des campagnes de marketing digital. Les principaux leviers web-marketing (emailing, DMP, publicité…) se nourrissent en effet des données personnelles pour personnaliser leur dispositif. L’enjeu va désormais consister à conjuguer performance des actions et respect du cadre
Les CRM doivent plus que jamais être constitués exclusivement de contacts opt-in. Si votre base de données a été enrichie grâce à des techniques « sauvages » (type Growth Hacking ou achat de base) ou si vous n’avez pas obtenu le consentement explicite de vos contacts pour leur envoyer une newsletter (en exploitant par exemple la base d’inscrits d’un webinar), deux solutions s’offrent désormais à vous pour être dans les clous du RGPD :
Avec ces dispositions, il est clair que la taille des bases va se réduire mais il s’agit selon nous d’un faux problème. L’audience « restante » sera plus engagée et plus réceptive : les taux d’ouvertures et taux de clics devraient s’envoler !
Tous les formulaires présents sur un site web collectant des données personnelles (demande de devis, inscription à une conférence ou à un webinar, téléchargement d’un livre blanc, candidature à une offre d’emploi, participation à un jeu-concours…) devront sensiblement évoluer :
Il sera intéressant de surveiller à partir du 25 mai l’impact éventuel de ces modifications sur le taux de remplissage des formulaires. La suppression de champs inutiles et la présence de mentions rassurantes pourraient avoir un impact positif sur le taux de conversion !
Les données de navigation étant considérées comme des données personnelles, les solutions de Web Analytics les collectant en vue de les analyser entrent donc dans le scope du RGPD par l’intermédiaire de la prochaine directive eprivacy (qui n’est pas encore sortie). Cette directive devrait notamment préciser le mode de fonctionnement des cookies analytiques. Le secteur de la web analyse est néanmoins encadré depuis la directive européenne dite « paquet télécom » de 2009 qui a contraint les responsables de site à recueillir le consentement de l’utilisateur pour le dépôt des cookies. Certaines solutions comme AT Internet ou Piwik en sont dispensées à la condition de supprimer au bout de 13 mois les données de navigation collectées (ce qui n’est pas le cas de Google Analytics). Dans les faits, cette directive est souvent mal appliquée car :
En conséquence, on peut penser que le contenu des bandeaux cookies devrait s’alourdir afin de préciser de façon explicite la finalité de traitement (plutôt que les indiquer dans des conditions générales que personne ne lit) et occuper une place plus importante dans la page (via un pop-in et non un discret bandeau comme c’est souvent le cas aujourd’hui). Au cas où les internautes bloquent massivement l’installation des cookies analytiques, la qualité des données serait affectée : les indicateurs de fréquence de revisites seraient inutilisables et il deviendrait impossible de reconstituer les parcours clients en amont d’une conversion et ainsi de piloter ses campagnes en fonction de modèles d’attribution. Au-delà de la question du consentement, le Web Analytics est également impacté par d’autres dimensions du RGPD :
Les techniques de Growth Hacking reposent notamment sur des outils de scrapping qui récupèrent de façon sauvage des adresses mails via les moteurs de recherche, les réseaux sociaux comme LinkedIn ou des sites d’annonces comme le Bon Coin et bien évidemment sans le consentement préalable de l’utilisateur !
Le RGPD va donc clairement siffler la fin de la récréation et il faudra désormais bannir ces approches pour augmenter le nombre de contacts de sa base de données prospects.
A priori, le RGPD ne devrait pas influer directement sur le SEO d’un site. Il pourrait y avoir toutefois un impact indirect sur la vitesse de chargement des pages (critère SEO essentiel) avec l’intégration des bandeaux cookies plus lourds chargés de recueillir le consentement de l’internaute.
Google pourrait néanmoins prendre en compte dans le futur, la capacité d’un site à être « RGPD ready » pour son classement dans les pages de résultats. Son algorithme a toujours cherché à capter les signaux favorisant l’expérience utilisateur et les critères RGPD en font totalement partie.
L’enjeu RGPD concerne principalement les plates-formes, notamment Facebook qui profilerait 73 % de ses utilisateurs européens à leur insu sur la base de critères strictement interdits par le RGPD (opinion politique ou religieuse, orientation sexuelle…) ! Le récent scandale Cambridge Analytica a constitué en tout cas la meilleure publicité pour les défenseurs du RGPD.
Du côté des annonceurs, l’utilisation de l’adresse mail d’un client pour cibler des audiences similaires sur Facebook (ciblage customer match) devrait être précisée au moment du recueil du consentement (via une mention sur le formulaire).
Le cookie publicitaire n’est clairement plus en odeur de sainteté depuis quelques années comme en témoigne le développement des Adblocks. L’hyperpersonnalisation des bannières publicitaires a en effet provoqué un sentiment de défiance chez l’internaute. Apple a ainsi déployé en septembre 2017 une nouvelle version de son système d’exploitation faisant la chasse aux cookies, ce qui a eu pour effet de contribuer à faire dévisser le cours de bourse de Criteo, le spécialiste mondial du retargeting.
Face à cette situation, les acteurs de l’AdTech, conscients des risques par rapport à leur modèle économique, travaillent sur des alternatives aux cookies pour pister l’utilisateur (fingerprinting, stockage navigateur, détection du hardware des machines, géolocalisation…). Mais quelle que soit la technologie utilisée, le recueil préalable du consentement utilisateur sera nécessaire.
Les DMP fonctionnent en partie grâce à la collecte de données tierces, second (un partenaire) ou third (un fournisseur de données) party. Ces données viennent enrichir les datas first party (CRM, analytics…) pour enrichir la connaissance client et personnaliser le dispositif digital (bannières, emailing, site web…).
L’ensemble des acteurs de la chaine est donc fortement impacté par le RGPD :
Le principe du marketing automation est de mettre en place des scénarios automatisés (envoi d’un e-mail ou d’un SMS) à partir du profil de l’utilisateur (= données personnelles) et son comportement sur un site (triggers). Dans le cadre du RGPD, l’utilisateur pourra s’opposer à ces techniques de profilage (cela s’applique également aux DMP).
Il conviendra donc de :
La question est de savoir jusqu’où l’annonceur doit aller dans la précision sur la finalité de traitement. Vu les nombreux cas d’usages possibles d’une DMP ou du marketing automation (envoi d’un email, appel d’un call center, personnalisation d’une bannière…), cela risquerait de sérieusement alourdir les formulaires de recueil du consentement !
Si les DMP et solutions de marketing automation fonctionnent aujourd’hui sur la base de scénarios définis par l’humain, le Machine Learning va progressivement se substituer à l’homme pour définir automatiquement les segments et déclencher les scénarios d’activation.
Or, dans le cadre du RGPD, l’utilisateur pourra exiger des explications sur la nature de la décision prise par la machine et s’y opposer. L’homme devra être alors en capacité de justifier le « raisonnement » de la machine, ce qui peut s’avérer extrêmement compliqué, voire impossible pour certains algorithmes complexes tels que le Deep Learning.
Si certains champs d’application du RGPD sur le recueil du consentement peuvent être a priori « facilement » déployés sur un site (bandeau cookie, mentions sur les formulaires en ligne…), d’autres risquent d’avoir des impacts organisationnels et techniques non négligeables (gestion du consentement par type de cookies, preuve de consentement, accès aux données…).
L’incertitude demeure également sur l’impact du RGPD sur les techniques de personnalisations publicitaires (retargeting, DMP, automation…) qui se nourrissent de données personnelles régulièrement collectées sans le consentement explicite de l’utilisateur. Il sera en cela intéressant de décortiquer les premières décisions de justice et condamnations (surtout celles qui concerneront les GAFA, les premiers visés par le règlement, vu le volume de données personnelles qu’ils possèdent et par le montant potentiel de l’amende !).
Ce qui est certain, c’est que l’enjeu du RGPD ne se résume pas à l’échéance du 25 mai. La gestion de la protection des données personnelles évoluera selon les cas de jurisprudence, les avancées technologiques et les changements de comportements de l’utilisateur.
Besoin d'aide et de conseils par rapport au RGPD ?