Le RGPD est la nouvelle législation visant à apporter une harmonisation au niveau des règles de protection des données personnelles sur le sol européen. Il permet aux consommateurs de garder le contrôle sur leurs données et contraint les entreprises à protéger les données de ses clients et employés. En vertu du RGPD, les entreprises doivent « obtenir un consentement vérifiable des résidents de l’UE à la fois explicite, éclairé et accordé librement ».[1]

L’impact de la nouvelle réglementation

Le RGPD exige que les consommateurs soient clairement avisés chaque fois que leurs données personnelles seront utilisées, sans option pré-cochée ni obligation d’accepter les conditions contre l’accès à un produit ou un service.

A partir du 25 mai 2018, les utilisateurs devront cocher une case, s’ils le souhaitent, disant « Nous avons l’intention de vendre vos informations à des courtiers en données, si bien que d’autres sociétés pourront vous envoyer des offres spontanément et suivre vos mouvements en ligne. »[1] . Autant dire que très peu – voire pas – de personnes donneront leur accord afin que leurs données soient revendues à d’autres entreprises.

Il semblerait donc que la fin des données tierce partie en Europe soit annoncée. Pour rappel, les données tierce partie sont « des données de ciblage publicitaire ou marketing Internet qui sont fournies à l’annonceur par une société tierce autre que l’éditeur utilisé comme site support pour une campagne».[2]
La nécessité d’une audience primaire

Mais il reste de l’espoir. Les professionnels du digital ont un peu plus de 6 mois pour se libérer des données tierce partie et se reconnecter avec leur audience pour obtenir des données primaires en direct (données recueillies en opt-in uniquement)

Une nouvelle définition du consentement

La principale disposition à retenir pour les emails marketing est une définition plus exigeante du consentement des utilisateurs : le consentement explicite, qui doit désormais être « librement donné » et se traduire sous la forme d’une « action positive ». Exit donc les bases de données composées de contacts issus d’opt-out ou d’opt-in passif.

Les entreprises auront donc à leur charge de fournir une preuve de ce consentement explicite, qui devra donc être tracé et archivé.

Que va-t-il alors se passer au niveau européen pour les données tierce partie ?

a) L’opt-in partenaire

On parle d’opt’in partenaire si l’internaute a expressément montré son désir de recevoir également les offres des partenaires de l’annonceur concerné, ce qui permet à l’annonceur de monétiser sa base en envoyant des offres partenaires.

Exemple d'opt-in partenaire

Exemple d’opt-in partenaire – Source Haas Avocats

Au vu consentement explicite exigé par le RGPD, il sera désormais strictement interdit d’utiliser des adresses emails obtenues par opt-out ou par opt-in passif. Le consentement devra être demandé de manière explicite via la méthode de l’opt-in uniquement. Seules les listes 100% opt-in seront utilisables légalement : les entreprises pourront continuer à renforcer leur base de données avec des contacts issus d’opt-in partenaires, mais devront fournir la preuve que ces contacts ont bien coché la case prévues à cet effet.

b) La location de base de données

Toute entreprise de location de base de données ou les éditeurs de solutions en SaaS portent la responsabilité du respect de ces nouvelles règles au même titre que les entreprises dont elles gèrent/stockent les données. En résumé, l’entreprise louant et celle qui loue la base de données sont autant responsables sur la conformité du fichier.

c) L’achat de base de données

Si une personne de votre entreprise achète une liste de données personnelles, elle est considérée, par le RGPD, comme étant le délégué à la protection des données (DPO). Elle devient donc responsable de la protection des données et devra vérifier que les personnes présentes dans la base ont bien donné leur consentement explicite pour y figurer. Il ne suffit plus que le fournisseur de la base (le revendeur) le certifie.

L’origine des données (où elles ont été collectées, par qui et ce qui a été communiqué aux personnes concernées au sujet de la finalité et de la période de stockage) doit également être connue de ce DPO. Ces facteurs risquent de compliquer grandement les processus pour les fournisseurs de bases de données. Le RGPD pourrait peut-être marquer la fin de ce marché en Europe…

d) La revente de données

Le RGPD interdit la vente de données personnelles des utilisateurs « sans le consentement de la personne dont les informations ont été collectées »[1]. Une entreprise peut alors revendre une base de données avec uniquement les personnes ayant donné leur consentement explicite pour que leurs données personnelles soient revendues.

Pour conclure, le RGPD aura un impact direct sur vos actions marketing (campagnes d’emailing, acquisition, relation clients, etc.). Parallèlement, un autre règlement, l’e-Privacy va évoluer et les campagnes massives d’envoi d’emails non sollicités vont devoir être revues. L’objectif pour les entreprises est donc de repenser leurs campagnes de marketing direct en :
Informant leurs utilisateurs à travers une campagne d’adhésion pour ainsi se conformer au RGPD.
– Identifiant de nouvelles sources d’acquisition de contacts
Mettre en place une vraie stratégie d’inbound marketing. Ce principe valorise le choix de la personne, sans intrusion intempestive, mais qui laisse l’utilisateur s’intéresser à l’entreprise et le contacter quand il le souhaite.

Sources

[1] : « Nouveau règlement GDPR et mort annoncée des données tierce partie »

[2] : Définition Données Tierce Partie

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top