Examen de l'impact du RGPD un an après

Le 25 mai 2018, le très attendu Règlement général européen sur la protection des données (RGPD) est entré en vigueur. Maintenant que les spécialistes du marketing numérique ont eu amplement le temps de s'adapter à cette nouvelle législation, nous allons examiner de plus près l'impact du RGPD sur les consommateurs et les entreprises, ainsi que comment et pourquoi mettre en œuvre plusieurs bonnes pratiques pour se conformer au RGPD.

Qu'est-ce que le RGPD et pourquoi a-t-il été créé ?

La législation européenne sur le règlement général sur la protection des données a été adoptée pour créer une protection plus grande et plus uniforme de la confidentialité des données pour tous les résidents de l'Union européenne. La loi prévoit des sanctions sévères en cas de non-conformité pour toute entreprise de marketing et de collecte de données comportementales d'individus dans l'UE. Les amendes pour non-conformité peuvent atteindre 4 % du chiffre d'affaires mondial, les entreprises sont donc fortement incitées à suivre les réglementations GDPR.

Pour résumer, les objectifs du RGPD incluent :

• Fournir aux citoyens un meilleur aperçu de la façon dont leurs données sont collectées et plus de contrôle sur la façon dont leurs données sont utilisées.
• Clarifier et simplifier les attentes légales pour les entreprises de toutes tailles.
• Consolider les réglementations régionales disjointes en matière de confidentialité des données en un ensemble cohérent et codifié.
• Améliorer la conformité réglementaire de toutes les transactions numériques - à la fois visibles et cachées des consommateurs.

Pour atteindre ces objectifs, le RGPD exige différents protocoles pour que les entreprises obtiennent et conservent le consentement tout au long de leurs activités et canaux de marketing.

Obtenir le consentement de l'utilisateur

Le RGPD a considérablement réduit le concept de consentement de l'utilisateur et exige désormais que les utilisateurs prennent des "mesures affirmatives claires" avant qu'une entreprise puisse commencer à les commercialiser. Ce consentement doit être « libre, spécifique, éclairé et sans ambiguïté ». Par exemple, les cases de consentement précochées sur les formulaires de soumission ne sont plus autorisées, car elles ne nécessitent aucune action réelle de la part de l'utilisateur et n'impliquent pas nécessairement qu'il a donné son consentement pour recevoir du matériel marketing.

De plus, le RGPD stipule que les entreprises doivent recevoir un "double opt-in" de leurs utilisateurs avant de pouvoir les commercialiser, ce qui signifie donner leur consentement sur au moins deux instances distinctes. Par exemple, vous devez créer des formulaires avec des cases de consentement claires et non cochées, puis envoyer également un e-mail de confirmation où l'utilisateur peut confirmer son consentement en cliquant sur un lien. Le GDPR exige également que toutes les organisations fournissent une preuve de consentement pour chacun de leurs contacts, et ne pas le faire pourrait entraîner de lourdes sanctions et amendes.

Enfin, les consommateurs peuvent tirer parti du RGPD pour soumettre une "demande d'accès au sujet" qui leur permet d'accéder aux données personnelles que chaque organisation possède sur eux, pourquoi cette organisation dispose des informations et comment elle les utilise. Près de la moitié des 18 000 plaintes liées à la protection des données que l'Information Commissioner's Office (ICO) a reçues en 2016 concernaient des demandes d'accès mal gérées (1). Ces informations personnelles sont extrêmement importantes pour les utilisateurs et le RGPD tente de faciliter leur collecte.

Fournir des opportunités claires et simples de retrait

GDPR s'engage également à permettre aux utilisateurs de refuser plus facilement de recevoir des communications d'entreprises. Comme CASL au Canada et CAN-SPAM aux États-Unis, les organisations sont désormais tenues de permettre aux utilisateurs de mettre à jour facilement leurs préférences, de retirer leur consentement ou d'être supprimés de la base de données d'une entreprise.

Par « facile », nous entendons :

• Les utilisateurs ne devraient pas avoir à visiter plus d'une page pour se désinscrire
• Les utilisateurs ne devraient pas avoir à se connecter pour se désinscrire
• Les utilisateurs ne devraient être tenus de fournir que leur adresse e-mail pour se désinscrire
• Les utilisateurs ne doivent pas payer de frais pour se retirer

Encore une fois, le non-respect de ces statuts pourrait entraîner des sanctions sévères.

RGPD et politiques de confidentialité

L'un des principaux objectifs du GDPR est d'encourager la transparence, ce qui signifie que les entreprises sont désormais tenues de divulguer comment elles utilisent les informations de leurs abonnés et des visiteurs de leur site Web - et elles doivent le faire d'une manière claire et simple. Selon une étude infâme, il faudrait environ 76 jours ouvrables pour lire toutes les politiques de confidentialité que nous rencontrons en un an (2), donc l'objectif est de réduire considérablement ce nombre.

Dans le cadre du RGPD, la politique de confidentialité de chaque organisation doit être facilement accessible, concise, transparente, intelligible et gratuite. Il doit être rédigé dans un langage clair et facile à comprendre. Vous devez donc également définir clairement toute terminologie ambiguë ou confuse que vous utiliserez et éviter le jargon juridique dans la mesure du possible. De plus, chaque formulaire en ligne doit également inclure un lien clair vers la politique de confidentialité de l'entreprise.

Enfin, si l'organisation collecte des données auprès de sources tierces, elle est tenue de fournir des informations supplémentaires sur les données et leur source.

Le RGPD fonctionne-t-il ?

Au départ, les chefs d'entreprise et les experts de différents domaines étaient extrêmement enthousiasmés par le RGPD. S'adressant à Verdict sur l'impact potentiel du RGPD, Giles Pratt (IP et partenaire technologique chez Freshfields) a déclaré :

"Les régulateurs de l'UE ont introduit une législation pionnière qui semble susceptible de fixer la barre des normes de confidentialité des données dans le monde et offre des opportunités de pratiques de travail plus étroites entre les professionnels internationaux de la protection de la vie privée en entreprise et les régulateurs avec lesquels ils s'engagent."

Pourtant, alors que la route vers la conformité au RGPD est lentement pavée de bonnes intentions, les premiers retours suggèrent que de nombreuses entreprises ont encore un long chemin à parcourir sur la voie de la conformité. Depuis l'entrée en vigueur de la législation en mai 2018, plus de 200 000 violations mineures et majeures du RGPD ont été signalées dans plus de 30 pays, selon un rapport publié par le Comité européen de la protection des données, composé de nombreux régulateurs de toute la région. Au total, environ 56 millions de dollars d'amendes ont été infligés par divers groupes de surveillance, mais 50 millions de dollars provenaient d'une seule amende pour Google (3).

Selon Mathias Moulin, membre du panel de la CNIL (le groupe de surveillance français qui a infligé l'amende à Google), l'amende était basée sur une infraction "massive et très intrusive" et était basée sur plusieurs facteurs différents - y compris "l'échelle … et la taille de l'entreprise. Alors que l'amende n'était qu'une goutte d'eau dans l'océan pour une entreprise comme Google, qui affichait un chiffre d'affaires de 137 milliards de dollars en 2018, Moulin suggère que l'année écoulée "doit être considérée comme une année de transition".

Cette déclaration suggère que nous pouvons nous attendre à un renforcement de la surveillance et de l'application du RGPD, ce qui sert d'avertissement aux organisations qui n'ont pas encore donné la priorité à la conformité au RGPD dans leurs efforts de marketing. Il semble juste de donner aux entreprises (en particulier aux petites et moyennes entreprises) plus de temps pour mettre en œuvre de meilleures procédures de conformité au RGPD avant d'infliger des amendes importantes, mais ce temps pourrait s'écouler rapidement alors que le RGPD entre dans sa deuxième année. Par conséquent, il est important que vous fassiez de votre mieux pour vous conformer au RGPD dès que possible, à la fois pour la santé de votre entreprise et pour la confiance et la sécurité de vos clients.

Meilleures pratiques de conformité au RGPD

La perception du public est que de nombreuses entreprises rendent délibérément plus difficile pour les abonnés Web de se désabonner de leurs abonnements, et sur la base du nombre d'infractions signalées ci-dessus, il est difficile de contester ce point. Et c'est pourquoi le RGPD a été créé en premier lieu : pour accroître la confidentialité et la sécurité des données et permettre aux consommateurs de naviguer sur Internet plus librement et avec plus de confiance.

Jusqu'à présent, le RGPD n'a pas encore atteint cet objectif, mais avec la soi-disant "année de transition" derrière nous, le temps des excuses est révolu. Il est maintenant temps d'apprendre et de suivre les meilleures pratiques de base du RGPD pour entrer en conformité, améliorer la confiance des consommateurs et augmenter les revenus de votre entreprise.

Mettre à jour les anciens contacts

GDPR permet aux organisations de communiquer avec des utilisateurs existants, mais uniquement si vous avez déjà reçu un consentement actif. Si, toutefois, vos listes d'envoi incluent des utilisateurs que nous avons automatiquement inscrits, vous devez les contacter pour demander leur consentement explicite afin de continuer à les commercialiser.

Passez en revue vos listes pour déterminer quels contacts se sont activement inscrits et quels contacts ne l'ont pas fait. Ensuite, envoyez un e-mail à votre liste de contacts qui doivent encore s'inscrire activement en leur demandant la permission de continuer à leur envoyer des messages. Assurez-vous que la langue de votre e-mail est honnête, conviviale et directe avec un bouton CTA proéminent les invitant à s'inscrire. Si un abonné ne répond pas dans les 10 jours suivant votre e-mail, envoyez un dernier e-mail de suivi pour lui faire savoir qu'il sera supprimé de votre liste s'il ne s'inscrit pas. S'ils n'ont toujours rien fait au bout de cinq jours, vous devez les supprimer complètement de votre liste.

Exiger des boîtes de consentement supplémentaires

Auparavant, lorsqu'un utilisateur s'inscrivait pour un essai, téléchargeait un livre électronique ou effectuait toute action donnant aux entreprises leurs coordonnées, ces entreprises pouvaient continuer à suivre les campagnes par e-mail, newsletters, blogs, etc. sans recevoir de consentement supplémentaire. Aujourd'hui, GDPR interdit aux entreprises de le faire sans ajouter une case à cocher opt-in supplémentaire sous le formulaire numérique.

Par exemple, si un utilisateur de votre site remplit un formulaire pour visionner un webinaire à la demande mais ne coche pas la case du formulaire vous donnant son consentement explicite pour le commercialiser d'autres manières, il vous est interdit de le faire. Assurez-vous que tous vos formulaires contiennent un langage clair demandant un consentement explicite pour fournir des supports marketing supplémentaires, et assurez-vous que vous n'envoyez qu'aux utilisateurs qui ont coché cette case.

Facilitez la désactivation pour les utilisateurs

Le fait de ne pas fournir d'options de désinscription claires et simples est l'un des non-sens les plus courants du RGPD. Cela peut également conduire à des utilisateurs frustrés, ce qui conduit souvent ces personnes à déposer des plaintes GDPR.

Vos abonnés ne vous doivent pas leur fidélité et doivent se réserver « le droit d'être oubliés » quand ils le souhaitent. S'ils ne veulent plus avoir de vos nouvelles (peut-être ont-ils opté pour une autre assurance ou ont-ils décidé d'acheter des billets de concert auprès d'un autre fournisseur), ils devraient pouvoir se désinscrire facilement de votre liste.

Vous devez donc vous assurer que toutes vos communications comportent un lien de « désinscription » bien visible dans le pied de page sur lequel les destinataires peuvent cliquer pour être supprimés de votre liste de manière permanente ou jusqu'à ce qu'ils décident de se réinscrire.

De plus, vous devez offrir à vos utilisateurs la possibilité de gérer leur abonnement. Créez un lien "Gérer vos abonnements" dans votre pied de page ou proposez l'option sous forme de lien dans la copie de vos e-mails, pages de confirmation et autres communications marketing numériques. Ce lien doit mener à une page distincte qui offre à l'utilisateur plusieurs options sur les types de communications qu'il souhaite recevoir, telles que des newsletters, des blogs, des offres spéciales ou des invitations à des événements.

Le logiciel Act-On aide les entreprises à se conformer au RGPD

Chez Act-On, notre logiciel d'automatisation du marketing est conçu pour aider les spécialistes du marketing d'entreprises de toutes formes et tailles à améliorer la délivrabilité de leurs e-mails, à protéger les données de leurs clients et à générer plus de revenus grâce à une plateforme omnicanale tout-en-un. Notre équipe de services professionnels de classe mondiale est là pour aider nos clients à prendre des mesures de conformité supplémentaires et à aligner leur stratégie sur notre logiciel.

Si vous souhaitez en savoir plus sur la manière dont vous pouvez résoudre vos problèmes de RGPD avec la puissante plateforme d'automatisation du marketing d'Act-On, veuillez télécharger notre eBook gratuit ci-dessous ou contactez-nous directement pour parler à un professionnel de la vente expérimenté.