RGPD : À vos marques, prêts ?

mercredi 21 mars 2018

Par Isabelle MAURANGES-DALMAYRAC

Article rédigé par Arnaud BUFFARD pour les échos.fr

RGPD : À vos marques, prêts ?

ARNAUD BUFFARD / Head of digital marketing chez Trusted Shops Le 28/02 à 12:29 

 

Le Règlement Général sur la Protection des Données (RGPD) s’appliquera définitivement le 25 mai 2018… Un nouveau cadre juridique devenu indispensable face à l’explosion des usages du numérique, à la mise en place de nouveaux modèles économiques et à l’augmentation croissante des piratages de données sur internet.

Cet encadrement concerne le traitement et la circulation des données à caractère personnel, sur lesquelles les sites de e-commerce s'appuient aujourd'hui pour mettre en avant leurs produits et services. Ils doivent à présent repenser leurs démarches marketing autour du consentement du consommateur, être moins intrusifs en jouant la carte de la transparence et de la confiance. 

Les entreprises françaises ont été victimes de 29 attaques informatiques en moyenne en 2016, soit deux fois plus qu'en 2015 (1). Résultat : des bases de données de millions d'individus se baladent dans la nature... et la confiance des consommateurs se dégrade. 

La certification des avis clients en ligne pour un e-commerçant est un premier gage de confiance, car elle est attribuée aux sites qui répondent à un ensemble de critères en adéquation avec l'esprit du RGPD. 

Le règlement renforce les droits des citoyens en leur conférant une plus forte maitrise de leurs données personnelles. Il ajoute de nouveaux principes comme la protection des données dès la conception du traitement et la protection des données par défaut (c'est-à-dire collecter et traiter uniquement les données nécessaires). 

Repenser le marketing autour du consentement du consommateur

Ce nouveau règlement repense le rôle des entreprises dans la protection des données personnelles (principe de responsabilité) : désormais, il leur revient de prouver qu'elles respectent la loi à travers un répertoire des activités de traitement, des analyses d'impact de la protection des données et doivent aussi consigner les incidents. 

Le RGPD instaure "la protection des données par défaut" qui nécessite la mise en oeuvre de mesures techniques visant à garantir que seules les données personnelles indispensables seront collectées. Seules les données nécessaires à une utilisation des produits pourront être collectées, comme la date, le numéro de commande, le montant, la date de livraison, le moyen de paiement, l'adresse email de l'acheteur... Le traitement des données collectées doit correspondre à la finalité annoncée de la collecte à laquelle le consommateur a consenti. 

Les déclarations de consentement autorisées jusqu'à présent par le droit français restent valides si elles respectent le nouveau règlement. Dans le cas contraire, les entreprises devront recueillir de nouveau le consentement des personnes et cela conformément aux nouvelles exigences. 

L'utilisation de cookies et d'outils publicitaires devra être justifiée par une mise en balance des intérêts. Le scoring (attribution d'une note à un client ou prospect) reste autorisé sous certaines conditions : il ne peut avoir lieu qu'avec le consentement exprès de la personne concernée ou s'il est nécessaire à la conclusion ou à l'exécution du contrat. 

Le RGPD oblige les entreprises à reconsidérer leur démarche marketing afin de gagner la confiance des consommateurs. La minimisation de la collecte des données implique d'affiner les "push" et de personnaliser les offres, approches et sollicitations.  

Repenser les relations entre entreprises et sous-traitants

Les e-commerçants font régulièrement appel à des prestataires extérieurs, pour vérifier par exemple les avis client en ligne. Les données personnelles sont alors amenées à circuler. Avant le RGPD, rien ne garantissait que les prestataires réservaient le même traitement aux données personnelles que les entreprises qui les avaient collectées. 

Désormais, un contrat de sous-traitance doit obligatoirement être conclu entre le site e-commerce et le prestataire. Il doit contenir les informations obligatoires prévues par la réglementation, tel que mentionner si, et dans quelles conditions, il est possible de faire appel à des sous-traitants. Une telle contractualisation des relations permet également de s'assurer que la transmission de données personnelles s'effectue seulement dans les États membres de l'Union européenne. Dans le cadre de transmissions de données internationales, la vérification de l'existence de garanties pour assurer un niveau de protection des données adapté est obligatoire. 

(1) Cesin (Club des experts de la sécurité de l'information et du numérique - 2016) 

 

 

https://www.lesechos.fr/idees-debats/cercle/cercle-179780-rgpd-a-vos-marques-prets-2157264.php