Compte-rendu : Conférence RGPD Emarketing
Jeudi 15 février, Emaketing organisait la conférence RGPD : 100 jours pour vous mettre en conformité. Converteo était présent lors de cette matinée pour délivrer ses recommandations et son expérience terrain quant à la nouvelle réglementation et ses impacts opérationnels, auprès de nombreux acteurs tels que France télévisions, Bazar chic, Avistem, Pitney Bowes Software, SPREAD, Mediapost, Qualifio, ACTITO et Filorga.
La matinée s’est ouverte sur l’intervention de Julien-Henri Maurice, CMDO de Bazarchic, chez qui le chantier du RGPD a été entamé il y a 9 mois, selon les étapes suivantes :
- La nomination d’un DPO (Data protection officer) avec un rôle central : c’est lui qui prend le relais en cas de crise et, qui est relation avec la CNIL
- La cartographie de leurs données, un état des lieux nécessaire avant la mise en place des nouvelles actions, permettant de tout mettre à plat
- Les interviews avec toutes les parties prenantes concernées par la data personnel au sein de l’entreprise, soit 25 personnes en interne
- La revue de tous les contrats pour s’assurer de la bonne pratique des partenaires, prestataires et tout autre acteur ayant accès aux données de l’entreprise
- Le renforcement de la cybersécurité à travers la protection des données récoltées.
Bazarchic anticipe avoir un avancement sur un certain nombre des chantiers structurants lancés pour le 25 mai. « Le volet organisationnel, la culture et le back-office sont les éléments les plus avancés » affirme Julien-Henri Maurice. Les équipes ont adopté jusqu’ici le privacy by default (architecture IT), mais il faudra à présent adopter le privacy by design (garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception) et d’impacter rapidement des évolutions sur les front office (site, application, etc.).
Si Bazarchic semble accueillir le RGPD avec sérénité, d’autres organisations ont été plus chahutées par l’entrée en vigueur de ce règlement.
Selon Sylvie Jonas, Avocate Associée chez AVISTEM, la CNIL « frappera fort sur ceux qui ont les moyens d’assumer ». Pour « éviter d’être dans le viseur de la CNIL », l’avocate résume les 5 points clés à forte visibilité :
- La collecte de façon honnête et transparente des données : Il est important d’informer l’utilisateur de la finalité de la collecte de ses données pour pouvoir les utiliser librement. Tout partage (notamment avec les partenaires) doit lui en être informé.
- La limitation de la durée d’utilisation de la data à 3 ans : Cependant certaines actions peuvent reconduire cette durée. Par exemple un utilisateur qui reçoit une newsletter et qui clique sur un lien du mailing traduit un acte de volonté, il manifeste de l’intérêt pour la marque à travers cette action. Les réseaux sociaux, en revanche, n’entrent pas dans ce cas de figure et le fait de cliquer sur un post ne reconduit pas la limitation.
- L’obligation de conclure un contrat écrit que les utilisateurs peuvent consulter librement : tout en leur laissant la possibilité de revenir sur leur consentement et de l’annuler.
- Pour la location et l’achat de fichier, la société qui récupère les données, en devient responsable et a donc le devoir d’information auprès des personnes qui ont légué leurs données
- L’accountability : l’entreprise qui détient de la data, doit être en capacité de pouvoir tracer ce qui en est fait.
Ces éléments structurants du RGPD, France Télévisions les a bien identifiés. France Télévisions prône et applique depuis 2014 une démarche data friendly. Ce parti pris a permis à l’entreprise de service public d’appréhender sereinement le RGPD avec une mise en conformité qui s’est inscrite dans la continuité de leur positionnement mais aussi de sensibiliser les équipes en interne.
Ghita Taoujni, directrice marketing de la direction du numérique de France Télévisions évoque 3 piliers de cette démarche :
- La transparence : un devoir d’information auprès des utilisateurs, la data doit être explicite et accessible. Cela demande de la pédagogie en donnant les clés à l’utilisateur pour qu’il sache comment se protéger.
- La sécurité : en cas de doute, il convient d’être réactif et de mettre en place toutes les actions de prévention. Si l’utilisateur est inactif, ses données doivent êtres anonymisées au bout de 18 mois
- L’utilité : « On ne collecte que des données utiles, l’utilisateur a besoin de comprendre pourquoi nous lui demandons de se logger » affirme Ghita Taoujni
Converteo a accompagné les équipes de France Télévisions à inclure un projet de mise en conformité RGPD dans leur roadmap depuis plus d’un an. Selon Dounia Zouine, Senior Manager, ces projets RGPD sont « des projets data comme les autres avec quelques atouts de taille une deadline (le 25 Mai 2018), la mobilisation de toutes les parties prenantes sur la chaîne de la valeur de la donnée (IT, juridique, Métier), et un sponsorship fort au niveau des Directions Générales et des COMEX ».
Elle préconise de prioriser les chantiers en fonction de ce que dit la loi et des risques les plus évidents et élevés : volume de donnée, toxicité (supprimer les données de plus de 10 ans par exemple) et localisation du traitement. Ces 3 éléments permettent d’évaluer à la maille macro une vision du risque.
Des risques qui peuvent être évités en partie avec le recours obligatoire au consentement.
Olivier Martineau, CEO de Spread (solution marketing d’engagement client) nous éclaire sur le consentement utilisateur. En effet un utilisateur intégrait une base de données par un simple opt-in jusqu’à présent (exemple : une case à cocher pour recevoir la newsletter). Avec le RGPD, cet opt-in ne suffira plus c’est le consentement qui prime désormais.
Pour commencer, il n’y a pas de consentement sans finalité. Il faut indiquer le traitement des données pour lequel le consentement de l’utilisateur est souhaité. De plus, chaque donnée recueillie doit faire l’objet d’une demande de consentement, un consentement global d’un utilisateur sur tous les types de données et de traitement n’est pas valable.
Ce consentement doit être clair afin de permettre à l’utilisateur de choisir les informations qu’il souhaite communiquer ou pas.
Si pour tous nouvel opt-in, la règlementation semble claire, qu’en est-il des opt-in existants ? Selon Olivier Martineau, il faut être en possibilité de reconstituer une trace du consentement. Si cette trace n’est pas existante ou qu’elle est difficile de reconstituer, il faut alors prendre des mesures pour organiser une collecte des consentements et « requalifier les base ». Cela peut se faire de plusieurs manières comme la revalorisation de la newsletter pour générer des clics et donc reconduire la durée d’exploitation de la donnée (voir plus haut) ou encore relancer l’utilisateur avec des sujets marronniers (fêtes, vacances, anniversaires, etc.).
4 angles d’attaque pour faire cette la qualification des bases pour le consentement :
- Segmenter les opt-in non valides
- Mettre en place des actions sur les cibles identifés
- Informer l’utilisateur sur le RGPD : lui donner de la visibilité sur la gestion du consentement, la portabilité et le droit à l’oubli
- Emettre un dernier rappel aux utilisateurs inactifs avant de les supprimer de la base si malgré toutes les actions antérieurs, le consentement n’est toujours pas obtenu : il ne faut pas avoir peur de perdre ces utilisateurs qui gonflent les bases de données sans grand intérêt et qui au contraire présente un fort degré de « toxicité ». Cet écrémage est en réalité un cercle vertueux car les utilisateurs restants seront aussi ceux les plus actifs et les plus engagés. Le RGPD permet donc de gagner en qualité avec des meilleurs taux d’ouverture, de clic etc.
Selon les estimations de Spread, le 25 mai (date de la mise en application du RGPD) : 50% des optin d’une base de données seront conformes au RGPD, 30% resteront à valider et 20% seront définitivement détruits.
Pour plus d’informations sur le RGPD, consultez notre baromètre RGPD.