Marketing direct : les droits et les obligations du RGPD 

Cela ne vous aura pas échappé : le 25 mai 2018 marquera l’entrée en vigueur du Règlement général sur la protection des données ou RGPD (en anglais GDPR pour General Data Protection Regulation). Le RGPD inaugure une troisième génération de réglementation en matière de protection des données, ou, comme on le dit parfois, de protection du droit fondamental à la vie privée. Et comme il s’agit d’un droit fondamental, on peut s’attendre à voir les autorités légiférer dans ce domaine. Quels seront donc les droits et les obligations du RGPD pour les entreprises, dans la pratique, lorsqu’elles utiliseront et traiteront des données à caractère personnel à des fins de marketing direct et de CRM ? 

Le RGPD n’interdit pas expressément le traitement des données personnelles. Le texte énonce les règles en vertu desquelles les données ne pourront être recueillies qu’à des conditions strictes, et exploitées seulement à des fins légitimes, comme le marketing direct. Les organisations qui collectent et traitent les données à caractère personnel doivent donc les protéger des abus et respecter certains droits des personnes concernées. 

Personnes physiques et personnes morales

En première instance, le RGPD régit le traitement des données des personnes physiques. Les données sont seulement considérées comme personnelles si elles permettent d’identifier directement ou indirectement la personne. Sur Internet, l’utilisateur communique souvent des informations personnelles vitales, comme son nom, son adresse ou son numéro de carte de crédit, au fournisseur d’accès et aux sites visités. Il est question d’identification indirecte par exemple quand une personne physique utilise son ordinateur professionnel et qu’un « tracking cookie » est enregistré sur celui-ci. À chaque lecture du tracking cookie, les données recueillies sont identifiées comme données personnelles, même si l’identification nominative n’est pas possible. 

Si les informations collectées ne se limitent pas aux coordonnées de contact de la personne morale, et qu’elles contiennent par exemple le nom d’une personne de contact, ses hobbies, son âge ou d’autres préférences personnelles, il s’agit de données d’une personne physique, et le RGPD s’applique. 

Consentement et opposition

Pour certains canaux de communication électronique, il convient de prévoir un consentement (opt-in) ou une option de sortie (opt-out). Par exemple, l’utilisation d’un e-mail/sms/mms avec un message de marketing direct (un message à but commercial) nécessitera un consentement préalable. La demande de consentement doit revêtir une forme compréhensible et facile d’accès, dans un langage simple et clair. 

Lorsqu’il s’agit de collecte et de traitement des données, pas question de considérer que le consentement est donné une fois pour toutes. L’intéressé a toujours le droit de s’opposer au traitement de ses données à des fins de marketing direct. Une personne morale n’a pas cette faculté. Elle ne peut que retirer son consentement à l’utilisation de son adresse e-mail. Mais le résultat final est le même. 

Profilage

Les acteurs du marketing direct font appel à des techniques de profilage dans un but de segmentation ou de sélection d’un groupe cible. Dans le RGPD, ces activités sont toujours permises, pourvu que l’action de marketing ne vise pas l’obtention d’une conséquence juridique ou d’un effet significatif. S’il y a une conséquence juridique importante ou un effet significatif, cela n’est autorisé que dans le cadre de l’exécution d’un contrat, avec le consentement de l’intéressé, ou d’une loi, avec possibilité de contestation. 

En ce qui concerne les principes du traitement, les critères existants (licéité, loyauté et transparence ; limitation des finalités et utilisation compatible avec la recherche statistique ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité) restent en place. Un nouveau principe, celui de la responsabilité, est ajouté. Le responsable du traitement devient responsable du respect des principes et doit pouvoir le prouver. 

Le RGPD a pour but principal de mieux protéger le consommateur. Les entreprises devront-elles supporter de nouvelles obligations pour se conformer au RGPD ? En effet. Simultanément, j’en suis convaincu, le RGPD est de nature à changer la manière dont les entreprises voient la confidentialité des données, avec à la clé de nouvelles opportunités. Nous y reviendrons dans mes prochains blogs. 

Ceci est le premier d’une série de trois blogs que Michiel Alkemade, directeur général de Computer Profile Nederland, a rédigés à propos du marketing direct et du RGPD. Dans le prochain blog, nous verrons comment le RGPD change la façon dont les entreprises voient la confidentialité des données, en référence à la portabilité. Vous pourrez le lire avec le troisième blog sur Marketing online  

Image: Descrier