Quentin Durantay

Quentin Durantay

Growth Hacker @ Dolead


Qu'est-ce que la GDPR ? Quelles conséquences cette nouvelle réglementation va avoir sur le Marketing ? Comment s'y préparer ?

Avertissement : Cet article de blog a pour but de vous donner des informations afin de mieux comprendre la GDPR. En aucun cas il ne constitue un document légal. N'hésitez pas à consulter votre avocat pour plus de précisions sur la GDPR et pour toute question d'ordre légal.

GDPR, loi de protection des données personnelles en Europe

Si vous êtes un marketer, vous avez probablement entendu parler de la nouvelle réglementation européenne : "General Data Privacy Regulation (GDPR)", qui rentrera en application le 25 mai 2018. Cette réglementation va avoir un impact fort sur les départements marketing, notamment sur la manière dont sont récupérés, stockées, gérées et retenues les données des résidents de la zone EU. Cet article va vous donner des exemples de ce qui change, en se basant sur une stratégie classique de génération de leads via une campagne SEA (ce que fait Dolead au jour le jour, que ce soit pour nous, mais surtout pour nos clients).

Pour commencer, nous tenions à citer une mauvaise nouvelle qui nous vient d'une étude menée par HubSpot : Seuls 36% des marketers ont entendu parler de la GDPR, tandis que 15% des entreprises n'ont toujours rien fait et encourent un risque de non-conformité. Cela peut paraître alarmiste, mais nous espérons que cet article encouragera les entreprises qui nous lisent à se mettre en conformité.

Il y a deux aspects que la réglementation que nous tenons à souligner fortement :

  • Même si votre entreprise est basée en dehors de la zone EU, si vous stockez ou utilisez de la data de citoyens européens, vois êtes soumis à la GDPR.
  • En cas de non-conformité, votre entreprise encours une amende de l'ordre de 20 million d'euros ou de 4% de votre chiffre d'affaire annuel (le plus fort des deux étant choisi).

Ces règles sévères vous montrent que les entreprises, telles qu'elles soient, ne peuvent pas se permettre de faire l'impasse sur la GDPR.

Chez Dolead, nous pensons tout de même que cette loi est une bonne chose. Cela va mettre fin aux techniques de spam massives dues au cold emailing ou à l'achat de listes. Cela va forcer les marketers à redoubler d'ingéniosité pour produire des publicités pertinentes et intéressantes pour ce qui est du SEA et de l'outbound.

Quel va être l'impact de la GDPR sur mes activités marketing ?

Pour que vous puissiez comprendre l'impact de la GDPR sur les activités d'outbound marketing via le SEA, notre spécialité, nous allons reprendre les différentes étapes d'une stratégie d'outbound et les illustrer d'un exemple respectant la GDPR.

Pour commencer, voici un schéma représentant les étapes d'un funnel d'outbound marketing, ainsi que les différentes règles de la GDPR qui vont s'y appliquer :

Etape 1 - Récupération de la donnée

Transparence

La GDPR a été conçue pour assurer plus de transparence entre les organisations qui collectent et contrôlent de la data et les individus dont la donnée personnelle est collectée. Cela signifie que les entreprises qui voudront collecter des données via leurs sites ou landing pages via des formulaires vont devoir communiquer clairement à ces personnes ce qu'ils vont faire de ces données. L'individu devra donner son consentement quant à l'utilisation de cette donnée, la GDPR se voulant claire à ce sujet, parlant de consentement "informé, spécifique, non ambigu et révocable". Les individus devront aussi être informés qu'ils ont le droit de révoquer ce consentement.

Exemple : Arnaud Roussel vit en France. Il adore les montres. En recherchant le dernier modèle de montre de sa marque préférée sur Google, il clique sur une annonce AdWords de Montres et Cie, un site e-commerce spécialisé dans les montres. Arnaud arrive sur une landing page qui lui propose de télécharger le guide des dernières tendances en montres pour homme. Montres et Cie devra clairement indiquer qu'il utilisera les données qu'Arnaud va fournir pour le contacter via des emails.

Tout aussi important, si Montres et Cie décide à l'avenir d'utiliser les données d'Arnaud pour autre chose que ce qui avait été signalé sur la landing page (pour le retargeter via des Facebook Ads par exemple, ou pour partager les données à ses partenaires), Montres et Cie devra le signifier clairement à Arnaud, qui devra donner à nouveau son accord. Un accord qui se devra explicite, fini donc les checkbox pré-cochées dans les emails ou sur les formulaires de sites.

Minimisation de la data

Quand une entreprise voudra récupérer de la donnée sur un individu, elle devra se souvenir que la GDPR ne permet que la récupération de données adéquates, pertinentes et limitées au strict nécessaire par rapport au but recherché par l'entreprise. La data collectée jugée non-nécessaire ou excessive est un délit aux yeux de la GDPR.

Exemple : Dans le cas de notre landing page de Montres et Cie concernant le téléchargement d'un guide sur les dernières tendances de montres, il est normal que le site de e-commerce demande à Arnaud son nom, son email et ses goûts en montres. Mais si Montres et Cie lui demande son état marital, son nombre d'enfants ou son lieu de travail, cela sera jugé comme excessif, car n'ayant rien à voir avec l'achat de montres.

Etape 2 - Stockage de la donnée et Utilisation

But et Limitation de l'utilisation

Les entreprises ne peuvent utiliser la data collectée et stockée que dans un but spécifique, explicite et légitime. Elles ne peuvent l'utiliser dans un but différent que celui pour lequelle elle a été collectée à l'origine. De plus, si elles souhaitent le partager à d'autres entreprises, elles devront obtenir le consentement de la personne concernée.

Exemple : Imaginons que Montres et Cie propose un voyage gratuit chez un des plus grands fabricants de montres Suisse. Néanmoins, ce voyage étant assuré par une entreprise spécialisée (et ce, même si Montres et Cie et ladite entreprise sont en partenariat), Montres et Cie devra obtenir l'accord d'Arnaud pour le faire participer au voyage, car ses données devront être partagées avec ladite entreprise. De plus, l'entreprise de voyage ne pourra utiliser la donnée d'Arnaud qu'en rapport de ce voyage et devra obtenir son consentement pour pouvoir lui communiquer à propos d'autres offres de voyages.

Sécurité

Une fois la donnée récupérée, les organisations l'hébergeant doivent s'assurer qu'elle est récupérée d'une manière sécurisée, afin d'empêcher toute altération, perte accidentelle ou vol. Bien sûr, le niveau de sécurisation dépend de la nature de la data. Il faut à minima s'assurer qu'elle est stockée et transmise de manière encryptée (formulaires sur des pages en HTTPS, bases encryptées en SHA-256, etc). Pour les données vraiment critiques, comme les données médicales ou à propos d'enfants, il faut aussi les anonymiser.

Example : Avant de stocker la data concernant Arnaud, Montres et Cie doit s'assurer que son équipe technique est capable de la sécuriser, selon les standards imposés par la GDPR. Aussi, Montres et Cie ne se doit de ne donner l'accès à cette data qu'à ses employés en ayant besoin.

Précision

Les individus auront désormais le droit de demander la mise à jour de toute donnée les concernant, si cette dernière ne s'avère plus correcte et nécessite une mise à jour.

Example : Arnaud a changé d'opérateur internet et donc d'adresse email. Il peut demander à Montres et Cie de mettre à jour son adresse email, ce que l'entreprise doit effectuer instantanément.

Responsabilité

Les entreprises auront en charge de prouver à tout moment qu'elles respectent la GDPR. Elles devront être capables de prouver qu'elles ont eu le droit de récupérer et stocker la donnée (en gardant une trace des autorisations de délégation acceptées par les individus). Elles devront aussi s'assurer d'avoir une politique de gouvernance de la donnée, connu de tous les collaborateurs en interne.

Pour les entreprises récoltant énormément de données ou des données critiques (médicales, enfants, etc), elles devront nommer un DPO (Data Protection Officer). Ce dernier sera en charge d'établir et de faire respecter une politique de protection de la vie privée et de vérifier que chaque nouveau projet de l'entreprise se fasse en respect total de la GDPR. Il devra faire aussi respecter la GDPR à tous les sous-traitants/entreprises associées/fournisseurs ayant accès à cette data.

Example : Reprenons le cas de la visite d'un fabricant de montres en Suisse. Afin de pouvoir laisser Arnaud participer au concours permettant de gagner ce voyage, le DPO de Montres et Cie devra s'assurer que Montres et Cie a obtenu l'autorisation d'Arnaud de transmettre ses données à l'entreprise organisant le voyage et que cette dernière respecte bien la GDPR (même si elle se situe en Suisse, hors zone EU !).

Etape 3 - Fin de la relation

Rétention

Les entreprises devront avoir une politique de rétention de la donnée, qui aura été validée par les individus donnant leur donnée. Ainsi, si l'entreprise perd un client, elle ne pourra conserver sa donnée plus longtemps que mentionné dans ses conditions de rétention. Attention, il en va de même pour les données financières pourtant demandées par les États à des fins de vérification. Une clause spéciale devra donc être émise concernant la rétention plus longue de ces données.

Exemple : Arnaud souhaite fermer son compte client chez Montres et Cie. L'entreprise ne peut donc conserver ses données que deux ans de plus, ce qui était mentionné dans les conditions de rétention de la donnée au moment où Arnaud les avait donné.

Suppression

Si un individu souhaite faire supprimer toute donnée le concernant au sein d'une entreprise, il lui suffit de le faire savoir (par email ou tout autre moyen de communication adapté). L'entreprise devra ensuite faire supprimer toute donnée concernant l'individu sur-le-champ et s'assurer que toute autre organisation avec lequel elle travaille et ayant accès à ces données (fournisseurs, sous-traitants, etc) fasse de même.

Exemple : Arnaud ne souhaite plus que ses données soient stockées chez Montres et Cie.

Ce qui va concrètement changer pour l'Outbound Marketing/la Lead Generation avec la GDPR

Beaucoup d'articles sur la GDPR clament haut et fort que cette nouvelle réglementation signe la fin de l'outbound marketing, pour ne laisser que la place à l'inbound. Mais ils n'ont qu'en partie raison.

Certes, la GDPR signe la fin (du moins en Europe) des techniques de Growth Hacking à base de scraping comme le cold emailing. C'est aussi la fin de l'achat de bases de données. Mais ce n'est pas forcément un mal. Ces techniques sont peu qualitatives et sont de toutes façon arrivées à un taux d'utilisation trop élevé, rendant leur rendement de plus en plus faible.

Et même si l'inbound va en profiter, car c'est de toute façon une stratégie qualitative à base d'opt-in, il en va de même pour l'outbound marketing quand il provient d'une source SEA. Et c'est exactement ce que Dolead vous propose.

Que ce soit via nos offres Dolead Campaign Manager, Dolead Managed Service ou Dolead Performance/Régie Locale, tous les leads que vous allez obtenir sont captés via SEA et ont fourni leurs informations via des landing pages, c'est donc un opt-in. Qui plus est, nous sommes en train de passer toutes nos infrastructures pour répondre aux besoins de la GDPR et adapter nos CGU en fonction sur lesdites pages de destinations.

De la même manière, si vous avez vous aussi à adapter vos campagnes de génération de leads en fonction de la GDPR, nous vous conseillons de continuer bien sûr vos stratégies d'inbound, mais surtout de continuer votre outbound via le SEA ! Mais faites particulièrement attention à adapter vos landing pages avec un opt-in explicite.

Conclusion

La GDPR est certes une nouvelle réglementation lourde, mais elle n'est pas forcément une mauvaise chose. Elle va obliger les marketers à produire du contenu de qualité, ainsi que des publicités efficaces.

Pour continuer d'obtenir plus de leads malgré la GDPR, pensez aussi à notre offre de génération de leads à la demande. Tous nos leads sont opt-in et respectent la GDPR.

Et pour lire plus d'articles sur le marketing digital ainsi que la leadgen, abonnez-vous à notre newsletter.

Calculez l'audit gratuit de vos 3 top campagnes !

Tous les articles