Qu'est-ce que le RGPD et comment affectera-t-il votre entreprise ?

Examiner le RGPD et la façon dont une plateforme de gestion du consentement peut affecter votre entreprise est quelque chose que nous devrions tous faire. Le champ de bataille entre le consentement du client et l'intérêt légitime est féroce. Lorsque le Royaume-Uni a adopté sa norme GDPR sur la façon dont les entreprises peuvent collecter et traiter les données des consommateurs, cela a envoyé des ondes de choc dans le monde entier. Pourtant, ce n'était que la première norme de ce type. Le Canada a depuis publié sa propre norme, tout comme l'État de Californie .

Qu'est-ce que le RGPD ?

Définition RGPD : RGPD signifie Règlement général sur la protection des données. Il s'agit de la loi sur la confidentialité et la sécurité des données la plus stricte au monde. Bien qu'il ait été rédigé et promulgué par l'Union européenne (UE), le RGPD implique de lourdes responsabilités juridiques pour les organisations du monde entier si elles collectent des données relatives aux citoyens de l'UE. Le RGPD est entré en vigueur le 25 mai 2018.

Bientôt, les mises à jour des systèmes d'exploitation d'Apple et de Google anonymiseront davantage les données, ce qui rendra plus difficile pour les entreprises de comprendre comment les utilisateurs ont trouvé leurs sites pour commencer. Cela inquiète beaucoup Facebook , étant donné que son principal moteur de revenus est son produit publicitaire - et sans attribution appropriée, les entreprises ne seront pas en mesure de dire à quel point une publicité sur Facebook, ou ses autres propriétés comme Instagram, est vraiment efficace. Ce sera bientôt la base que toutes les entreprises utilisent une plate-forme de gestion des consentements.

Impact du règlement général sur la protection des données (RGPD) pour les entreprises en ligne

Mais pour l'instant, regardons GDPR, la politique originale de confidentialité des données des consommateurs. Tous les autres utilisent un langage et des cas d'utilisation similaires, faisant du RGPD une politique standard. Il existe deux sections en particulier que les spécialistes du marketing doivent connaître avec la documentation RGPD :

• Article 6(1)(a) du RGPD – Le consentement comme base légale pour le traitement des données : La personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;
• Article 6, paragraphe 1, point f) du RGPD – Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si ces intérêts prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent protection des données personnelles, en particulier lorsque la personne concernée est un enfant.

Ces deux articles décomposent ce que l'on appelle la collecte de consentement et la collecte d'intérêt légitime. Assurons-nous de bien comprendre les deux.

Comment votre organisation peut se mettre en conformité avec le RGPD : trier une fois pour toutes le consentement des clients

La conformité au RGPD dépend du consentement du client.

Le consentement du client est considéré comme l'étalon-or de la collecte de données : un consommateur doit cliquer sur un bouton (qui ne peut pas être pré-rempli) pour indiquer qu'il accepte de fournir ses informations à l'entreprise. Une plateforme de gestion du consentement rationalise le processus d'obtention du consentement.

Vous les avez sans aucun doute vus sur une variété de sites que vous avez visités récemment. Voici un exemple tiré du site Web Future of Commerce de SAP :

Le consentement du client nécessite que le client – ​​chacun individuellement – ​​consente physiquement à la collecte et au traitement de ses données.

En effet, les politiques SMS TCPA exigent quelque chose de similaire pour le marketing par SMS.

Tout comme l'exigence du consentement du client de ne pas avoir de case pré-cochée et d'exiger un consentement physique, les politiques TCPA exigent également un accord physique pour l'envoi de messages texte, et cet accord ne peut pas être pré-coché. De plus, la langue de l'accord doit inclure des informations sur la fréquence à laquelle un utilisateur recevra des messages, et comment se désabonner et arrêter tous les messages.

Le RGPD n'est donc pas seul dans cette exigence d'un processus de consentement plus manuel. Les organisations peuvent choisir d'attendre, mais la nécessité d'une plate-forme de gestion du consentement est l'écriture sur le mur GDPR.

Comment générer une politique de confidentialité conforme au RGPD et définir les intérêts légitimes

L'intérêt légitime est davantage une zone grise au sein du RGPD et, par conséquent, de nombreux spécialistes du marketing le préfèrent. L'ajout d'une exigence d'un accord manuel pour la collecte de données ajoute de la friction à un site Web, et la friction peut réduire considérablement la conversion. Il est compréhensible qu'il puisse y avoir une résistance à la mise en œuvre d'une plateforme de gestion du consentement, cependant, en fin de compte, ce sera quelque chose qui ajoutera de la valeur à la fois aux consommateurs et aux entreprises.

L'Information Commissioner's Office (ICO), une autorité indépendante basée au Royaume-Uni qui guide les entreprises sur la manière d'appliquer les lois britanniques sur la confidentialité des données telles que le RGPD , a offert des conseils aux entreprises sur la manière de générer une politique de confidentialité conforme au RGPD et d'interpréter l'intérêt légitime. ICO explique :

1. Le traitement n'est pas requis par la loi mais présente un avantage évident pour vous ou pour d'autres ;
2. Il y a un impact limité sur la vie privée de l'individu ;
3. La personne doit raisonnablement s'attendre à ce que vous utilisiez ses données de cette manière ; et
4. Vous ne pouvez pas, ou ne voulez pas, donner à la personne un contrôle initial total (c'est-à-dire son consentement) ou la déranger avec des demandes de consentement perturbatrices lorsqu'elle est peu susceptible de s'opposer au traitement.

Cela rend l'intérêt légitime beaucoup plus flexible que le consentement du client.

Quand utiliser le consentement ou l'intérêt légitime : une évaluation pratique de l'intérêt légitime

Sur la base de notre répartition du consentement par rapport à l'intérêt légitime jusqu'à présent, vous pensez peut-être qu'il est simplement plus facile d'utiliser l'intérêt légitime dans tous les cas. Ce n'est pas nécessairement vrai. En fait, l'ICO a clairement indiqué que vous ne pouvez pas utiliser l'intérêt légitime comme méthode de collecte par défaut pour votre entreprise.

Bien que l'intérêt légitime soit un concept flexible et sera souvent pertinent, il ne s'applique pas à tout et vous ne pouvez pas l'utiliser comme base par défaut pour tous vos traitements.

C'est pourquoi la plupart des sites Web demandent votre consentement lorsque vous arrivez sur le site. Une plateforme de gestion des consentements rend ce processus transparent.

Alors, quand pouvez-vous utiliser l'intérêt légitime ? Heureusement, l'ICO propose un test en trois parties pour déterminer si un intérêt légitime peut s'appliquer à votre projet, site Web, etc.

1. Test de finalité – existe-t-il un intérêt légitime derrière le traitement ? Dans le cadre du test de finalité, vous devez vous demander si la collecte de données est éthique, légale et dans l'intérêt à la fois de votre entreprise et du consommateur. Et puis, vous devez indiquer clairement la raison pour laquelle vous souhaitez traiter ces données sans consentement (ou dans un intérêt légitime).
2. Critère de nécessité – le traitement est-il nécessaire à cette fin ? À l'aide du test de nécessité, vous devez démontrer qu'il n'existe pas d'autre moyen moins invasif d'atteindre votre objectif et vous assurer que le traitement est proportionné à la réalisation de vos objectifs.
3. Test de mise en balance – l'intérêt légitime est-il supérieur aux intérêts, droits ou libertés de l'individu ? Enfin, dans le cadre du test de mise en balance, vous devez vous assurer que le traitement des données ne porte pas atteinte aux droits et libertés de l'individu.

Très bien - donc, ce test en trois parties n'est pas très utile. Regardons plutôt quelques exemples.

Application du test en trois parties : exemples d'intérêts légitimes du RGPD

Les scénarios suivants sont proposés par l' ICO dans sa documentation pour aider les entreprises à mieux comprendre comment appliquer le test en trois parties et, finalement, quelles pratiques de collecte de données et d'informations utiliser.

L'affaire de la charité.

Un organisme de bienfaisance souhaite envoyer du matériel de collecte de fonds par la poste à des personnes qui lui ont fait des dons dans le passé, mais qui ne se sont pas opposées auparavant à recevoir du matériel de marketing de leur part.

L'objectif de marketing direct de l'organisme de bienfaisance pour rechercher des fonds pour faire avancer sa cause est un intérêt légitime.

L'organisme de bienfaisance examine ensuite si l'envoi de l'envoi est nécessaire à son objectif de collecte de fonds. Elle décide qu'il est nécessaire de traiter les coordonnées à cette fin et que le mailing est un moyen proportionné d'approcher les particuliers pour des dons.

L'organisme de bienfaisance considère le test de mise en balance et tient compte du fait que la nature des données traitées est uniquement les noms et adresses et qu'il serait raisonnable pour ces personnes de s'attendre à recevoir du matériel de marketing par la poste compte tenu de leur relation antérieure.

L'organisme de bienfaisance détermine que l'impact d'un envoi de collecte de fonds sur ces personnes est susceptible d'être minime, mais il inclut des détails dans l'envoi (et chacun des suivants) sur la façon dont les individus peuvent refuser de recevoir du marketing postal à l'avenir.

Le cas séminaire entreprise du RGPD.

Des particuliers assistent à un séminaire d'entreprise et l'organisateur récupère les cartes de visite de certains délégués.

L'organisateur détermine qu'il a un intérêt légitime au réseautage et à la croissance de son entreprise. Ils décident également que la collecte des coordonnées des délégués à partir des cartes de visite est nécessaire à cette fin.

Après avoir examiné l'objectif et la nécessité, l'organisateur évalue ensuite que la balance favorise leur traitement car il est raisonnable pour les délégués remettant des cartes de visite de s'attendre à ce que leurs coordonnées professionnelles soient traitées, et l'impact sur eux sera faible. L'organisateur garantit également qu'il fournira aux délégués des informations sur la confidentialité, y compris des détails sur leur droit d'opposition. L'organisateur rassemble ensuite les coordonnées des délégués et les ajoute à sa base de données de contacts professionnels.

Il n'y a pas d'échappatoires d'intérêt légitime : il s'agit de pratiques éthiques en matière de données

Vous ne savez pas quoi utiliser ? Commencez par l'étalon-or du consentement. À partir de là, développez votre intérêt légitime, mais faites toujours de votre mieux pour expliquer à l'avance quelles données seront collectées et à quelles fins. Enfin, autorisez toujours les destinataires de matériel marketing à se retirer d'une liste d'informations envoyées - même si ces informations sont basées sur le consentement ou l'intérêt légitime. Commencez à construire une plateforme de gestion du consentement en établissant comment votre entreprise traitera le consentement et les données comme une pratique.

En d'autres termes, traitez les données des consommateurs comme vous voudriez que les vôtres soient traitées. Le RGPD oblige les entreprises à simplement réfléchir un peu plus aux données qu'elles collectent, si elles doivent l'être, et comment le faire de manière éthique.

Certaines entreprises portent cette norme à un nouveau niveau et utilisent la collecte de données éthiques et la transparence comme tactique de marketing à part entière. Regardons Lush par exemple. Ils ont fait de la Data Ethics un pilier des valeurs de leur entreprise.

« Aujourd'hui plus que jamais, les gens sont conscients de la valeur critique de leurs données personnelles. Dans sa forme la plus légère, ce sont les tweets que vous publiez, les photos que vous téléchargez, les personnes que vous DM. Dans ses formes les plus sombres, c'est un tracker sur votre identité, un algorithme qui décide si vous devez être sur une liste de mise à mort. Nous sommes convaincus que la confidentialité des données est un droit humain fondamental. La politique de données éthiques vise à garantir que toutes les données du personnel et des clients de Lush sont sécurisées et transparentes. Nos clients et notre personnel ont le droit de savoir ce que nous détenons à leur sujet.

Alors que de plus en plus de pays, d'États et autres adoptent des normes de type GDPR, nous verrons probablement de plus en plus d'entreprises adopter les meilleures pratiques d'éthique numérique en tant que valeurs internes, puis les utiliser comme aliment marketing. C'est l'objectif idéal des politiques de confidentialité et de protection des données des consommateurs. Intégrer une plateforme de gestion des consentements est un investissement transparent dans le respect de vos clients.