RGPD et marketing comment gérer le consentement des utilisateurs

Publié le 14 mars 2022

A son arrivée, le RGPD a bousculé les habitudes des départements marketing en imposant de nouvelles obligations aux entreprises. Ces obligations ne sont toutefois pas toutes nouvelles en France, le RGPD pouvant être considéré comme une version renforcée de notre loi « Informatique et Libertés » (loi nᵒ 78-17 du 6 janvier 1978). En 2018, à la veille de l’entrée en application du RGPD, nous avons été nombreux à recevoir une avalanche d’invitations de la part des services marketing afin de consentir à recevoir des sollicitations de leur part. Cette année, quatre ans plus tard, l’attention revient sur les services marketing avec l’annonce par la CNIL de la prospection commerciale comme l’un de ses thèmes de contrôle pour 2022.

Quel impact du RGPD sur les services marketing ? Le cœur d’activité d’un service marketing nécessite le traitement des données à caractère personnel des clients et potentiels consommateurs : présentation – parfois personnalisée – des biens et services pour stimuler le besoin, recueil des avis sur ces biens et services, suivi et analyse des parcours des internautes, établissement de statistiques diverses… L’utilisation des données personnelles en marketing est aujourd’hui inévitable. Il est donc essentiel pour les services marketing d’être en mesure de faire corps avec la protection des données personnelles dont disposent les personnes physiques. Comment se conformer à ces exigences ? Quelles pratiques adopter ?

1. La nécessité de recueil du consentement (opt-in) et ses limites

1) Le consentement mais pas que : l’existence d’autres bases légales

Lors de l’arrivée du RGPD, la focalisation sur le consentement de la personne concernée pour justifier tout traitement de données a pu faire de l’ombre aux cinq autres bases légales prévues par l’article 6.1 (exécution d’un contrat, obligation légale, intérêt légitime de l’entreprise …). Bien que, dans le cadre des traitements de données des activités de marketing, la connaissance et la stimulation des besoins des personnes nécessitent souvent leur consentement, certaines situations ne le nécessitent pas forcément. Dans son référentiel relatif à la gestion des activités commerciales paru en février 2022, la CNIL propose d’autres bases légales pour certaines opérations marketing : l’intérêt légitime de l’entreprise peut être utilisé pour les actions de prospection commerciale sans nécessité de récolte de consentement

• à destination de consommateurs : par voie postale, par appel téléphoniques ; et par voie électronique, pour des biens et services analogues déjà achetés/souscrits auprès du responsable de traitement (la CNIL précise que lorsque la prospection n’est pas de nature commerciale – caritative par exemple –, il est alors possible de basculer dans la base légale de l’intérêt légitime du responsable de traitement).
• à destination de professionnels de manière générale (c’est-à-dire par voie électronique, postale ou téléphonique)

2) Le consentement spécifique aux cookies

L’utilisation de cookies et autres traceurs (pixel de traçage, fingerprinting, etc.) afin de permettre, par exemple, la publicité personnalisée nécessite obligatoirement la récolte du consentement de l’internaute. Attention, ici le consentement demandé à l’internaute ne découle pas du RGPD mais de l’article 82 de la loi « Informatique et Libertés » (issu de l’article 5.3 de la directive ePrivacy). Par conséquent, comme il ne s’agit pas d’un choix entre six potentielles bases légale du RGPD mais d’un choix binaire imposé par la directive (consentement ou non),l’intérêt légitime ne peut donc pas être utilisé pour qu’un cookie puisse être déposé ou lu ! Néanmoins, il existe un lien entre le consentement au dépôt de cookie et le consentement du RGPD : le consentement de l’article 82 de la loi « Informatique et Libertés » doit répondre aux mêmes caractéristiques que celles du consentement posées par le RGPD … que nous allons détailler.

3) La « bonne » récolte du consentement

Les articles 4.11) et 7 du RGPD imposent de nouveaux standards en matière de consentement au traitement de données. Le consentement doit être donné par un acte positif clair qui est « libre, spécifique, éclairé et univoque ». Détaillons ces exigences :

• Univoque: la personne doit exprimer son consentement. Son silence ou son absence d’action pour dire « oui » (par exemple, continuer à naviguer sur votre site internet sans cliquer sur « oui » aux cookies, ne pas décocher une case pré-cochée…) ne vaut pas consentement ;
• Libre : le consentement ne doit pas être conditionné (par exemple, il ne doit pas être obligatoire d’accepter les cookies publicitaires pour accéder à un site internet) ;
• Spécifique : l’acte de consentir est à réaliser pour chaque finalité de traitement, de façon dissociable (par exemple, un formulaire devra contenir plusieurs cases à cocher, une pour chaque finalité à consentir) ;
• Éclairé: afin d’avoir réellement consenti, la personne doit savoir à quoi elle consent. Il est donc nécessaire d’apporter un certain nombre d’informations obligatoires (cf. article 13 du RGPD). A cet effet, le RGPD précise que les personnes doivent recevoir une information délivrée « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (article 12). Il est donc possible – et même nécessaire – d’adapter la fourniture d’informations aux situations et aux supports. Dans un environnement numérique par exemple, comme l’explique le G29, vous pouvez fournir l’information à différentes étapes du parcours utilisateur. D’un point de vue marketing, cela permet ainsi de concilier l’obligation d’information avec la fluidité du processus d’engagement.

Attention au consentement des mineurs pour les services de la société de l’information proposés directement à des enfants (tels que « les informations liées aux produits ou services, y compris les activités de marketing » comme l’explique le G29). En France, le traitement des données personnelles d’un enfant de moins de 15 ans fondé sur le consentement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale. Le G29 explique également que dans le cadre de traitements à faible risque pour les personnes, « la vérification de la responsabilité parentale par courrier électronique peut être suffisante ». Une fois « bien » récolté, le responsable de traitement doit être en mesure d’apporter la preuve que le consentement a bien été recueilli. Le RGPD ne prescrivant pas précisément comment cela doit être fait, les responsables de traitement sont libres dans cette démonstration (ce qui renvoi au principe d’accountability). Il est alors possible, par exemple, d’avoir recours à l’horodatage par un clic ou un acte de navigation pour prouver ce recueil, il peut s’agir d’une signature sur un formulaire papier ou électronique, même si cette méthode se révèle très peu adaptée aux traitements marketing. La pratique du double opt-in (confirmer à nouveau son accord à recevoir des mails de sollicitation dans un mail initial de confirmation) est également une bonne pratique. Le CEPD (comité européen composé des représentants nationaux des autorités de contrôle, telle que la CNIL pour le France) propose par exemple, « dans l’environnement en ligne, de conserver des informations sur la session lors de laquelle le consentement a été donné, parallèlement à la documentation sur le flux de travail relatif au consentement à l’époque de la session et à une copie des informations fournies à l’époque à la personne concernée. »

4) La nécessité de renouveler le consentement

Dans certains cas, il est également nécessaire de renouveler régulièrement le consentement de la personne concernée. C’est le cas du dépôt/lecture de cookies sur le terminal de l’internaute. Dans cette situation, la CNIL explique dans ses recommandations relatives aux cookies que le consentement de l’internaute peut être oublié par celui-ci dans le temps. Par conséquent, la Commission recommande de renouveler son recueil à des intervalles régulières. A cet effet, la CNIL considère qu’un délai de 6 mois constitue une bonne pratique. Le RGPD n’impose pas de renouveler à intervalles réguliers le consentement. Cependant, l’ICO (CNIL anglaise) recommande un renouvellement du consentement tous les 2 ans dans le cadre de pratiques protection de la vie privée des personnes. Enfin, pour rappel, si les données avaient été collectées avant l’entrée en application du RGPD (25 mai 2018), les traitements marketing ne sont licites seulement si le consentement a été récolté dans les conditions prévues par le RGPD et détaillées plus haut (opt-in).

2. L’exigence de possible retrait (opt-out)

Les consommateurs ou professionnels peuvent cesser de porter un intérêt aux sollicitations des services marketing. Outre l’agacement de recevoir des sollicitations non désirées (et le potentiel passage de ces dernières en spam) qui produirait l’effet inverse de celui recherché, la réglementation impose de pouvoir faire cesser ces sollicitations :

• Lorsque le traitement est fondé sur le consentement de la personne (opt-in), celle-ci doit pouvoir le retirer (opt-out) à tout moment (article 7.3 du RGPD) ;
• Lorsque le traitement est fondé sur l’intérêt légitime de l’entreprise, la personne peut exercer son droit d’opposition (issu de l’article 21 du RGPD) à tout moment. Concrètement, plusieurs options sont envisageables : insérer un lien de désabonnement dans un mail, proposer une interface utilisateur pour gérer ses consentement …

La directive ePrivacy se recoupe ici à nouveau avec le RGPD : dans le cadre de la prospection commerciale par voie électronique, son article 13 (transposé à l’article L34-5 du Code des postes et des communications électroniques) rend indispensable le fait de proposer à chaque message électronique un moyen simple de s’opposer à la réception de nouvelles sollicitations (par exemple avec un lien pour se désinscrire à la fin du message).

3. Conclusion : impact pratique et à long terme sur les opérations marketing

1) En pratique, comment cela impacte les opérations marketing ?

La première étape sera la distinction entre les catégories de personnes concernées :

• la personne est-elle un professionnel ou un consommateur ?
• la personne est-elle un client ou un prospect ?
• Cela influera sur la nécessité ou non de consentement (opt-in).

La deuxième étape consiste à insérer le mécanisme d’opt-in si nécessaire et, indépendamment de la nécessité d’opt-in, d’informer la personne de l’utilisation de ses données pour réaliser de la prospection :

• Pour les prospects : par exemple, lors de téléchargement de livres blancs ou de participation à des jeux-concours, insérer une case à cocher par la personne pour recevoir des propositions commerciales, indiquant clairement le but de l’utilisation de son adresse électronique par l’entreprise ;
• Pour les professionnels ou clients : par exemple pour les clients, indiquer au moment de la commande que l’adresse électronique du client sera utilisée afin de lui envoyer des propositions commerciales.

Point d’attention, le parrainage : ici, l’entreprise demande à une personne de renseigner les coordonnées d’un tiers susceptible d’être intéressé par une offre commerciale, un article ou une annonce en ligne. Dans cette situation, sont manipulées des données personnelles d’un parrainé n’ayant jamais donné son consentement. La CNIL admet cette entorse au principe du consentement à certaines conditions :

• Le destinataire doit être informé de l’identité de son parrain ;
• Les données du parrainé ne peuvent être utilisées qu’une seule fois : pour lui adresser l’offre, l’article ou l’annonce suggérée par le parrain ;
• Il n’est pas possible de conserver les données du parrainé pour lui adresser d’autres messages sans son consentement.

2) Quels impacts à long terme sur les opérations marketing depuis l’arrivée du RGPD ?

Plus la base de données clients et prospects est grande, plus nombreuses sont les cibles et potentiellement plus important est le nombre de conversions. Néanmoins, la conformité au RGPD et plus largement à la protection des données personnelles pose des limites à la collecte de masse de données. D’ailleurs, il est interdit de réutiliser des données dans un autre but que celui pour lesquelles elles ont été collectées. L’enjeu est donc de dépasser le stade de la contrainte pour tourner ces exigences en opportunités. La protection des données personnelles oblige le marketing à se recentrer aujourd’hui sur la qualité plutôt que la quantité. Cela implique, par exemple pour la prospection commerciale par voie électronique, une réduction du nombre des personnes touchées par les opérations de prospection. L’opportunité peut être perçue sur l’image de l’entreprise, grâce à la réduction de l’agacement envers l’entreprise émettrice pour les personnes plaçant ces sollicitations immédiatement dans leur corbeille ou indésirables. L’opportunité peut également être perçue d’un point de vue environnemental, avec une réduction de la pollution engendrée par le trafic internet.

Tous les jours, GRACES.community sélectionne, gratuitement, pour vous le ou les articles importants pour votre prochaine veille réglementaire.

A propos de GRACES.community : pionner et leader des recrutements en Compliance, Ethiques, Gouvernance, Risques !

Proposer une offre de job : https://graces.community/recruteur/

Consulter les offres qui vous correspondent : https://app.graces.community/register/