RGPD : Comment les marques se mettent en conformité
A moins de 100 jours de l'entrée en vigueur du règlement sur la protection des données personnelles (RGPD), où en sont les marques et leurs sous-traitants ? Eléments de réponse à l'occasion de la conférence RGPD organisée par Emarketing.fr, le 15 février.
BazarChic a ouvert son chantier RGPD il y a 9 mois, témoigne Julien-Henri Maurice, CMDO de BazarChic, à l'occasion de la conférence RGPD "100 jours pour vous mettre en conformité" organisée par E.marketing.fr, le 15 février. Le site de ventes privées a d'abord géré l'aspect organisationnel, en nommant, en externe, un Data Protection Officer (DPO) pour l'accompagner dans la mise en conformité avec la législation. Et pour adresser au mieux le sujet, BazarChic a également constitué une task force de 25 personnes travaillant sur le sujet.
"Nous avons commencé par cartographier notre traitement des données, explique le professionnel, afin de vérifier ce que nous faisions bien... ou pas." Au programme : comment est collectée la donnée, où est-elle stockée, ou, encore, quelle est sa durée de conservation. Les contrats de la marque passés avec ses sous-traitants ont également été revus et la cybersécurité renforcée, afin d'éviter des fuites de données personnelles. Le CMDO s'est aussi attaqué à l'architecture IT et au back office (le privacy by default), avant de consolider le privacy by design (la protection des données privées dès la conception). Pour autant, "au 25 mai 2018, nous ne serons pas totalement 'compliant', reconnaît Julien-Henri Maurice, mais nous pourrons montrer patte blanche à la CNIL."
Mettre en oeuvre une démarche "data friendly"
Au sein de France Télévisions, la prise de conscience d'un bon usage des data date de 2014. "Nous avons entrepris une démarche data friendly à l'été 2014, fait part Ghita Taoujni, directrice marketing de la direction du numérique de France Télévisions, avec 3 piliers principaux : la transparence, la sécurité et l'utilité." En détail, la "transparence" suppose une information explicite et accessible en permanence, mais, aussi, le consentement préalable pour les actions générant de la collecte de données, l'absence de partage des données personnelles des internautes avec des annonceurs ou, encore, la possibilité pour l'utilisateur de modifier des informations le concernant. "L'information des personnes à leurs droits, à la finalité de la collecte, aux flux, ou, encore, à la durée de conservation est, avec l'accountability, le pilier du RGPD", confirme Sylvie Jonas, avocate en droit des technologies de l'information, associée du cabinet Avistem Avocats, qui rappelle qu'il "va falloir faire le deuil de la conservation ad vitam aeternam d'une donnée client" (avec le RGPD, celle-ci est de 3 ans, NDLR).
Au niveau de la sécurité, France Télévisions veille à la sécurité des accès aux bases de données, à pouvoir faire face rapidement à d'éventuelles failles et à l'anonymisation des données des utilisateurs inactifs au bout de 18 mois. Et répond aux exigences du RGPD, en collectant des données uniquement en contrepartie d'un bénéfice utilisateur identifié et tangible. "L'utilisateur a besoin de comprendre pourquoi nous lui demandons de se logger, précise Ghita Taoujni. Nous devons, donc lui proposer des fonctionnalités qui font sens."
"Notre démarche data friendly nous a permis de sensibiliser plus tôt les collaborateurs au RGPD et d'avoir les bons outils", explique aussi Valentin Vivier, responsable du projet data de France Télévisions. Et de transformer des risques en opportunité. La régie de France Télévisions a ainsi fait de la charte data friendly une opportunité : un logo "data friendly" est ajouté à ses documents de prospection, avec pour résultat des annonceurs rassurés par la démarche du groupe. La démarche est également expliquée aux utilisateurs via un plan de communication - dont fait partie la vidéo ci-dessous.
Le cabinet Converteo, qui accompagne France Télévisions dans le projet RGPD, ne voit pas le règlement comme une révolution. "La mise en conformité au RGPD est un projet data comme un autre, relève Dounia Zouine, senior manager de Converteo. La différence est qu'il y a une deadline et des avantages, tels que la mobilisation de toutes les parties prenantes et des budgets qui se débloquent plus rapidement." Et de poursuivre : "Avant cette loi, le marché de la data ressemblait au Far West, il était incontournable d'adresser ce sujet, et d'en faire une opportunité." La professionnelle conseille d'évaluer au préalable les risques pesant sur les données (quelle est leur localisation, notamment), puis de dérouler une méthodologie, en sollicitant les bons acteurs en fonction des enjeux (marketing, IT, juridique, par exemple).
Sur chacun des points de la collecte au stockage des données, une méthodologie doit ainsi être pensée. Olivier Martineau, CEO de Spread détaille ainsi les différentes étapes pour obtenir un consentement et être RGPD compatible en 99 jours : la première consiste à définir un consentement éclairé. "Le consentement doit être donné "librement", de façon éclairée, avec une finalité, et dans des termes clairs et simples. Ce doit être un acte positif via un bouton ou une case à cocher, par exemple", détaille-t-il. Étape 2 : migrer l'opt-in existant et s'assurer la qualité de la base de données. "Il est nécessaire de pouvoir retrouver facilement dans sa base une trace de consentement écrit ainsi que son contexte", relève Olivier Martineau. Étape 3 : collecter des consentements, via des opérations marketing et des marronniers (fêtes, anniversaires, par exemple). Étape 4 : planifier la qualification des bases de données, via la segmentation des opt-ins non valides et des actions sur cette cible, notamment. Étape 5 : informer vos abonnés avec transparence, en donnant aux consommateurs une visibilité sur leurs données. Étape 6 : place à la fin de l'opt-in. "20 % des consentements vont être détruits, mais il ne s'agit pas d'une catastrophe car l'écrémage va permettre à la base de données de gagner en qualité et en délivrabilité", révèle le CEO de Spread France.
Sensibiliser ses collaborateurs
La meilleure pratique reste de faire du RGPD un projet entreprise. Telle est la vision de Mediapost (groupe La Poste). "Nous suivons les principes de la charte data mise en place par le groupe La Poste en mai 2016, explique Cathy Andrau, DGA de Mediapost. Nous sommes dans une démarche de surprotection des données avec une certification ISO 27001 et celle-ci est intégrée au projet d'entreprise soutenu par le COMEX."
Mediapost - qui commercialise notamment le fichier des nouveaux emménagés, riche de 1,3 million de contacts - se dit en conformité. La société a ainsi nommé son DPO et réalisé plusieurs actions obligatoires, parmi lesquelles : les traitements de données effectués sont déclarés dans le registre consultable par la CNIL, l'inventaire des fournisseurs de données et de prestataires est réalisé, les clauses contractuelles avec ses sous-traitants et les responsables de traitements ont été renforcées, ou, encore, la minimisation de la donnée est prévue. "La sensibilisation des salariés est également un point clé, poursuit la DGA de Mediapost, qui veille ainsi au respect des clauses de confidentialité, notamment lors des départs. Il est primordial de faire connaître et de rappeler les astuces techniques et les bonnes pratiques auprès de tous les collaborateurs qui gèrent de la data". Mediapost commence également les audits de ses prestataires pour vérifier que ceux-ci respectent bien les clauses contractuelles.
Collaborer avec ses sous-traitants
L'étape de vérification du respect des clauses contractuelles est clé, car le règlement sur la protection des données personnelles introduit la notion de co-responsabilité du responsable de traitement et de son sous-traitant. D'où la nécessité de travailler main dans la main, comme en témoignent Marc Désenfant, directeur France d'Actito et Jérôme Sutter, directeur digital des laboratoires Filorga. Le duo se dit convaincu que le RGPD va lancer un dialogue et un travail commun. "Le RGPD est une opportunité d'une meilleure collaboration entre annonceurs et sous-traitants, afin de remettre le client au centre", explique Marc Désenfant, directeur France d'Actito. Pour Jérôme Sutter, CDO de Filorga, pas de panique : "Le 25 mai n'est pas une date couperet. C'est une façon pour les annonceurs de se responsabiliser sur la protection des données et leur emplacement et d'avoir une analyse pragmatique en termes de data privacy." Pour le directeur digital de Filorga, il est d'ailleurs "impossible d'être en conformité avec le règlement, car il existe encore des zones de flou dans le texte".
"Le devoir de conseil des sous-traitants doit être vu par l'annonceur comme positif, car il est plus personnalisé que le conseil d'une agence", prônent encore les deux professionnels, convaincus de l'approche gagnante-gagnante d'une collaboration sur le RGPD. Ainsi, le directeur France d'Actito conseille, pour recueillir un consentement e-mail, "de se mettre à la place du consommateur et de formuler la demande en proposant réductions, par exemple".
Pour aller plus loin :
Sur le même thème
Voir tous les articles Réglementation