Ce que la loi sur la protection des données signifie pour les agences suisses

L'UE a rédigé son règlement général sur la protection des données (RGPD) dans le but de mieux protéger ses citoyens en ligne. Ceci par crainte d'une utilisation excessive du Big Data. C'est pourquoi l'UE introduit entre autres le principe dit du "lieu du marché". Ce n'est pas le passeport d'un client qui est déterminant, mais son lieu de résidence. En d'autres termes, quiconque souhaite faire des affaires avec des personnes vivant dans l'UE doit se conformer aux lois de l'UE.

Identifier clairement le marché cible

Qu'est-ce que cela signifie au quotidien ? Le RGPD ne concerne pas le marketing uniquement lorsqu'une offre s'adresse clairement au marché suisse. Il doit toutefois être pris en compte lorsque les offres peuvent être explicitement commandées depuis l'UE (comme le montrent par exemple les indications de prix en euros ou les frais de transport vers l'UE), lorsque l'offre fait également l'objet d'une publicité dans un pays de l'UE ou lorsque les mesures de profilage concernent également des clients résidant dans un pays de l'UE. Dans le cadre du conseil aux clients des agences, le RGPD joue encore un rôle dans un autre cas : la nouvelle loi sur la protection des données sera probablement introduite en Suisse fin 2019. Celle-ci doit être plus ou moins équivalente au RGPD, sous peine de sanctions de la part de l'UE. Il vaut donc la peine de penser dès maintenant au RGPD et d'accorder aux clients en Suisse les mêmes droits qu'aux clients de l'UE (moins le droit à la portabilité des données, qui ne sera probablement pas appliqué en Suisse).

Responsabilités

Ce qui peut prêter à confusion pour les clients qui sont soutenus par leur agence avec le marketing automation ou d'autres outils similaires : Le client est responsable de la conformité au RGPD. Il peut tout au plus donner à son agence un mandat pour gérer la conformité au RGPD en son nom. Mais il est clair qu'un tel mandat doit également être rémunéré. En tant qu'agence, on est en principe un sous-traitant et on doit veiller à ne pas être mentionné autrement, même en petits caractères. En revanche, pour tous les services que l'on confie soi-même à des partenaires tiers dans le cadre de ce travail (par exemple l'hébergement), on est également soi-même redevable. La conformité au RGPD des partenaires doit être garantie par contrat - et les tiers et leurs fonctions doivent être explicitement mentionnés dans la déclaration de protection des données obligatoire sur le site web.

Principales raisons de la collecte de données

Lors de la consultation sur les stratégies possibles pour une collecte de données, il ne reste pas beaucoup d'options avec le RGPD. Si les données ne doivent pas être collectées pour des raisons légales (par exemple pour respecter un contrat), il ne reste que le consentement volontaire ou l'intérêt commercial légitime. Le consentement volontaire des clients à recevoir du matériel publicitaire est considéré comme la voie royale. Mais pour que ce consentement soit reconnu par la loi, des conditions strictes doivent être remplies. Les clients doivent avoir été informés dans un langage simple et compréhensible de la nature des données collectées, de leur finalité, de leur durée et des personnes auxquelles elles seront éventuellement transmises (ce que l'on appelle l'opt-in).

Les adresses générées par des concours sont si problématiques qu'elles ne doivent pas être utilisées.

Risques de la stratégie opt-in

Les opt-ins comportent deux risques. D'une part, ils représentent un obstacle à court terme, auquel de nombreux utilisateurs peuvent renoncer. Le deuxième risque est plutôt de nature durable : si un client se désinscrit par exemple de la newsletter, son adresse ne peut plus être utilisée d'aucune manière. Il faut d'abord obtenir un nouveau consentement pour la prise de contact, et il faudra le gagner aussi laborieusement que la première fois. En raison du principe du consentement volontaire, l'utilisation d'adresses achetées sera également supprimée à l'avenir. Les adresses générées par des concours sont également si problématiques que leur utilisation doit être déconseillée.

Possibilités pour les entreprises

La deuxième possibilité, l'intérêt commercial légitime, sera beaucoup plus souvent utilisée au quotidien lorsqu'il s'agira de collecter et d'analyser des données. Elle signifie que l'intérêt d'une entreprise prévaut sur l'intérêt d'un individu. C'est par exemple le cas lorsque les données relatives à l'utilisation du site web de l'entreprise sont analysées afin d'en améliorer l'utilisabilité ou parce qu'une relation client existe déjà suite à un achat préalable. En fin de compte, il faudra considérer chaque cas individuellement. Si le client de l'agence veut être du côté de la sécurité, il doit faire appel à un conseil juridique. Celui qui enregistre le comportement des utilisateurs sur son site web, comme par exemple l'origine de l'accès à tel ou tel site et la durée de son utilisation, peut se protéger en indiquant qu'il a opté pour l'opt-out. Les données collectées ne doivent toutefois pas pouvoir être attribuées ultérieurement à un lead (fingerprinting).

Questions en suspens sur le marketing automation

Le plus grand "chantier" concerne le marketing automation. Certes, il est possible de dire relativement clairement ce qui est possible et ce qui ne l'est pas. Mais l'UE travaille actuellement à un règlement supplémentaire sur l'E-Privacy qui remet en question la durabilité du marketing automation. Dans le cadre de la procédure relative à l'E-Privacy, certains s'efforcent également d'interdire complètement la publicité basée sur le comportement. Si ce cas se présente, le marketing automation perd une grande partie de ses possibilités. Le modèle classique du marketing automation n'est déjà plus possible que via un opt-in. La méthode utilisée jusqu'à présent, qui consistait par exemple à ne remettre un livre blanc que contre l'indication d'une adresse e-mail, est supprimée. Les contenus pertinents peuvent toutefois être utilisés pour valoriser les newsletters et augmenter le nombre d'inscriptions. Il est donc prévisible qu'en raison du RGPD, l'orientation vers des contenus pertinents dans le marketing de contenu devra être encore plus conséquente.

L'article est une contribution d'invité de Silvano Cerutti, Head of Content chez In Flagranti Communications, parue dans Werbewoche 12/2018 du 13 juillet 2018.