Partager l'article sur :

Stratégie

RGPD : derniers jours pour mettre en conformité votre dispositif de content marketing

 RGPD : derniers jours pour mettre en conformité votre dispositif content  RGPD : derniers jours pour mettre en conformité votre dispositif content

Le RGPD (ou GDPR) est le Règlement Général sur la Protection des Données, une nouvelle réglementation européenne qui entrera en vigueur le 25 mai 2018.

Encore quelques semaines avant l’entrée en vigueur de la RGPD... Comment s’assurer de la régularité de son dispositif de content marketing… ? Quelles mesures prendre dès aujourd’hui ? Eléments de réponse avec Muriel Glatin, Data Protection Officer chez Webedia.

Nous sommes à 2 mois de l’application de la RGPD, pouvez-vous nous parler de ce nouveau cadre en matière de collecte et de traitement des données ?

Muriel Glatin, Data Protection Officer chez Webedia : Pour commencer, il faut préciser que la RGPD est un texte qui vise l’uniformisation des pratiques mais beaucoup des points et des règles qui le composent existent déjà dans la loi Informatique et Liberté, qui est en vigueur depuis 40 ans !

Parmi les nouveaux principes du Règlement, on retiendra surtout le principe de responsabilisation qui se traduit, entre autre, par l’obligation pour les entreprises de “prouver” leur conformité. Désormais, elles devront documenter les processus et mesures mis en oeuvre pour garantir la sécurité des données et ainsi attester leur conformité avec le Règlement.

Il faut aussi noter que ce qui fait beaucoup parler, c’est le pouvoir de sanction des autorités de réglementation (la CNIL en France) qui sera, dans ce prochain contexte, plus important en cas de manquement.  

On a le sentiment que ce texte est un véritable casse-tête pour les entreprises qui travaillent sur leur mise en conformité depuis déjà des mois. Est-il cependant possible d’en résumer les principales mesures ?

On peut en effet distinguer 5 sujets à traiter impérativement avant l’entrée en vigueur du règlement le 25 mai.

1- Le sujet du consentement, l’opt-in, qui doit être obtenu de façon claire et qui doit préciser la finalité de la collecte (ce que l’entreprise va faire de cette donnée).

2- La communication sur le traitement de cette donnée personnelle, qui doit proposer une formulation FALC (Facile à Lire et à Comprendre). Les autorités verront d’un très mauvais œil les explications alambiquées ou les propositions ambiguës.

3- La gestion des cookies, qui devront être qualifiés et distingués selon différents niveaux d’acceptation de l’utilisateur. Les entreprises devront aussi paramétrer la conservation de ces cookies pour une durée maximale de 13 mois.

4- La problématique du désabonnement, qui là aussi doit être rendu très simple et très clair (aussi facile que l’abonnement).

5- Le droit à l’oubli (la durée de conservation) qui impose aux entreprises de régulièrement “purger” leur base de données. C’est généralement ce qui les fait grincer des dents car supprimer des milliers voire des centaines de milliers de données d’un coup n’est pas dans leurs habitudes.

Pour un groupe comme Webedia dont l’activité est principalement digitale et essentiellement tournée vers le content et la data, quelles sont les spécificités à prendre en compte ? Comment les entreprises vont-elles devoir aborder leurs dispositifs de content ?

L’esprit de la loi n’est pas de “casser le business” mais au contraire d’apporter des outils pour plus de transparence et plus de responsabilité. Pour tous les dispositifs de content, il faudra bien entendu appliquer ces 5 mesures à la lettre, comme toutes les entités qui récoltent de la donnée. Mais le principal enjeu est l’ “accountability”. Autrement dit, la responsabilité de protéger et de sécuriser les données des utilisateurs.

Tous les dispositifs de content devront répondre au principe de la “minimisation”, à savoir l’obligation de récolter le moins d’informations possibles sur l’utilisateur. Une autre façon de dire que la donnée doit être justifiée et légitime pour une utilisation claire.

Exemple : pour s’abonner à une newsletter, un simple mail suffit, il n’est pas nécessaire de renseigner son âge ou son adresse ! Ces données là ne pourront plus être exigées dans les “champs obligatoires” des formulaires de collecte, sauf si leur “utilité” est prouvée pour une utilisation consentie…

Doit-on faire une différence entre un dispositif BtoC & BtoB ? La donnée professionnelle est-elle identique à la donnée personnelle ?

Pour commencer, il faut savoir qu’une donnée professionnelle est une donnée personnelle. En revanche, les entreprises sont exempts de collecter un opt-in auprès d’un professionnel dans le cadre de son exercice.

Exemple : Si un professionnel télécharge un livre blanc édité par une entreprise sur un sujet en rapport avec son activité professionnelle, l’entreprise a le droit de le démarcher ensuite commercialement sans lui avoir demandé son consentement au préalable.

A noter : cet exemple est parfaitement prohibé avec la donnée d’un prospect particulier. Sa consultation d’un contenu éditorial (type webzine, newsletter, etc) ne donne pas le droit à l’entreprise de le démarcher (sauf à avoir récolter son consentement au préalable... ). Tout est affaire de communication et de consentement. Mieux informer et mieux prévenir pour que l’utilisateur reste propriétaire de ses données à tout moment.

Un mot pour conclure ?

En résumé, les dispositifs ne sont pas amenés à être absolument bouleversés mais pour les entreprises et leur DPO (Data Protection Officer), la feuille de route est dense en matière de communication, de formalisation, de tri et de qualification des données.

Ce challenge à la fois technique, juridique et organisationnel est déjà bien intégré par les entreprises qui travaillent sur le sujet depuis déjà plusieurs mois… Pour celles qui ont besoin de rattrapper leur retard, les cabinets d’expert en privacy et bien sur les cabinets d’avocats peuvent les accompagner dans cette transformation des pratiques… Enfin, n’oubliez pas d’être Privacy by Design, et de solliciter l’équipe DPO de Webedia dans le cadre de toute nouvelle démarche impliquant des traitements sur des données à caractère personnel.

  3 CONSEILS POUR VOS CAMPAGNES DE CONTENT MARKETING par Florian Compain
La Rédaction
  • Stratégie

Voir aussi

Livre blanc du content marketing