Emailing, formulaires et analytics : comment respecter le RGPD

L’emailing : nettoyer les bases

L’emailing est le premier levier auquel on pense quand on associe RGPD et marketing digital, l’e-mail étant la principale donnée personnelle exploitée en webmarketing. Les CRM doivent plus que jamais être constitués exclusivement de contacts opt-in. Si votre base de données a été enrichie grâce à des techniques “sauvages” (de type growth hacking ou achat de base) ou si vous n’avez pas obtenu le consentement explicite de vos contacts pour leur envoyer une newsletter (en exploitant par exemple la base d’inscrits d’un webinar), deux solutions s’offrent désormais à vous pour être dans les clous du RGPD :

1) Faire le ménage en excluant les contacts non opt-in… mais avec le risque de voir votre base se réduire à peau de chagrin.

2) Envoyer un e-mailing pour obtenir le consentement explicite de vos abonnés pour continuer à leur diffuser votre newsletter. Le consentement nécessite un acte positif clair de la part de l’internaute. En d’autres termes, si l’internaute n’a pas répondu au mail et n’a pas donné son accord explicite, il devrait en théorie être exclu de la base.

Quoi qu’il en soit, l’utilisateur doit pouvoir retirer son consentement à tout moment pour l’utilisation de ses données via un centre de gestion des abonnements. Par alleurs, s’il n’y a pas eu de contacts avec l’utilisateur dans une période de trois ans. Notons au passage que seul le clic au sein de la newsletter est considéré comme un contact ; L’ouverture ne suffit pas. Si ce n’est pas le cas, alors il faudra le supprimer de la base de contacts. Avec ces dispositions, il est clair que la taille des bases va se réduire mais il s’agit selon nous d’un faux problème. L’audience « restante » sera plus engagée et plus réceptive : les taux d’ouverture et taux de clics devraient s’envoler !

Les formulaires : un consentement clair et éclairé

Tous les formulaires présents sur un site web collectant des données personnelles (demande de devis, inscription à une conférence ou à un webinar, téléchargement d’un livre blanc, candidature à une offre d’emploi, participation à un jeu-concours…) devront sensiblement évoluer. Quatre points se dégagent :

1) Le consentement doit être libre : l’opt-out est évidemment à bannir tout comme l’opt-in passif (case pré-cochée) ;

2) La finalité de l’utilisation des données doit être claire et facilement compréhensible afin que l’internaute agisse en connaissance de cause. Il faudra proscrire les tournures délibérément floues du type “J’accepte que les informations fournies soient exploitées dans le cadre de la relation commerciale”. Si vous récupérez le contact pour envoyer une newsletter, il faudra le préciser de façon explicite. Et si vous envisagez d’exploiter le contact pour envoyer une newsletter ET pour l’inviter à des événements, il faudra ajouter ces deux mentions avec une case à cocher sur le formulaire.

3) Le traitement doit être proportionnel (principe de minimisation des données). Par exemple, la présence d’un champ obligatoire « Téléphone » n’est pas nécessaire sur le formulaire d’inscription à un webinar si la connexion à cet événement se fait par mail. Dans ce cas, ce champ devra être supprimé.

4) Vous devrez conserver la preuve du consentement dans une base de données afin de démontrer le cas échéant que la personne a bien donné son accord pour l’utilisation de ses données personnelles.

Il sera intéressant de surveiller à partir du 25 mai l’impact éventuel de ces modifications sur le taux de remplissage des formulaires. La suppression de champs inutiles et la présence de mentions rassurantes pourraient avoir un impact positif sur le taux de conversion.

Les outils de web analytics : vérifiez vos prestataires

Les données de navigation étant considérées comme des données personnelles, les solutions de web analytics les collectant en vue de les analyser entrent donc totalement dans le scope du RGPD par l’intermédiaire du prochain réglement e-privacy (qui n’est pas encore publié et qui devrait ne pas l’être avant fin 2018). Mais les professionnels doivent s’y préparer dès maintenant. Ce réglement devrait notamment préciser le mode de fonctionnement des cookies analytiques.

Le secteur de la web analyse est néanmoins encadré depuis la directive européenne dite “paquet télécom” de 2009 qui a contraint les responsables de site à recueillir le consentement de l’utilisateur pour le dépôt des cookies. Certaines solutions comme AT Internet ou Piwik en sont dispensées à la condition de supprimer au bout de 13 mois les données de navigation collectées (ce qui n’est pas le cas de Google Analytics). Dans les faits, ce réglement est souvent mal appliqué car :

1) La finalité de traitement est souvent floue. Les bandeaux mentionnent l’utilisation de cookies sans souvent préciser leur finalité d’utilisation ;

2) Les types de traitement entre les cookies analytiques, les cookies publicitaires ou les cookies techniques ne sont pas forcément distingués. Si l’internaute bloque le dépôt de l’ensemble des cookies, il peut se retrouver en difficultés pour utiliser un site (par exemple les cookies de gestion du panier d’achat) ;

3) La poursuite de navigation sans clic sur le bandeau vaut pour accord et déclenche le dépôt des cookies.

Das la lignée du RGPD, la prochaine directive e-privacy, qui va durcir les sanctions par rapport à la directive paquet Telecom, devrait imposer plusieurs points : préciser de façon claire la finalité d’utilisation des cookies par type de traitement ; considérer qu’une poursuite de navigation sans consentement explicite entraînerait le blocage des cookies ; et enfin permettre à l’utilisateur de revenir sur sa décision de consentement au cas où il change d’avis.

Les professionnels doivent s’y préparer dès maintenant. En conséquence, on peut penser que le contenu des bandeaux cookies devrait s’alourdir afin de préciser de façon explicite la finalité de traitement (plutôt que les indiquer dans des conditions générales que personne ne lit) et occuper une place plus importante dans la page (via un pop-in et non un discret bandeau comme c’est souvent le cas aujourd’hui).

Au cas où les internautes bloquent massivement l’installation des cookies analytiques, la qualité des données serait affectée : les indicateurs de fréquence de revisites seraient inutilisables et il deviendrait impossible de reconstituer les parcours clients en amont d’une conversion et ainsi de piloter ses campagnes en fonction de modèles d’attribution.

Au-delà de la question du consentement, le web analytics est également impacté par des points du RGPD. L’une concerne le lieu de stockage des données : si les données analytiques sont hébergées dans un pays hors zone UE, le RGPD exige que le pays en question garantisse un niveau de protection équivalent. Google Analytics héberge ses données aux USA (et assure être certifié conformément au cadre Privacy Shield couvrant l’UE et les Etats-Unis) mais aussi dans d’autres pays du monde qui ne font pas partie de liste de l’UE.

Une autre disposition concerne la responsabilité en tant que sous-traitant : il est fondamental de vérifier le périmètre de responsabilité de votre fournisseur de solutions (considéré comme un sous-traitant) dans le contrat afin que vous ne vous retrouviez pas à assumer seul l’amende (20 millions d’euros ou 4% du CA) en cas de fuite de données ! Ce périmètre doit être précisé dans un contrat entre l’éditeur et le client et pour l’instant, Google n’en propose pas…

L’accès aux données analytics : il est nécessaire de cartographier l’ensemble des utilisateurs qui peuvent consulter les données issues des solutions de web analyse et de bannir les mails génériques de connexion du type equipe@entreprise.com qui ne permettent pas de retracer l’historique des connexions personnelles.

Le RGPD va donc clairement siffler la fin de la récréation et il faudra désormais adopter des approches plus claires et plus professionnelles pour augmenter le nombre de contacts de sa base de données prospects.