Cet article comporte deux sections : une infographie qui résume en 6 points ce qu’est le GDPR, suivie d’une analyse de fond sur ce que ce cette nouvelle réglementation signifie réellement.
Les législateurs viennent mettre leur nez dans ce que l’on croyait jusqu’alors réservé aux nerds : les données. On s’alarme pour deux raisons. Premièrement, parce que le droit a son jargon que le commun des mortels qualifierait de langage extraterrestre. Mais si une chose est claire, c’est que la loi a un pouvoir coercitif, c’est-à-dire qu’elle nous oblige à certains comportements sous peine de quoi nous nous exposons à des sanctions (salées dans le cas de GDPR!) La deuxième raison de l’affolement général, c’est que les précieuses données en question sont l’or noir des temps modernes, l’une des pierres angulaires de la pratique numérique depuis plusieurs années déjà. Notons d’ailleurs que lorsqu’on parle de “data”, la donnée client semble souvent voler la vedette au reste des données qui sont pourtant tout aussi intéressantes et peut-être moins risquées à exploiter : donnée de produits, de commandes, etc.
Avec une maîtrise en droit des T.I. et une en administration des affaires électroniques, (et donc un pied dans chaque univers), mes collègues marketeurs se sont naturellement tournés vers moi pour y voir plus clair sur ce fameux nouveau règlement général sur la protection des données.
Ayant fait mon droit en France, je peux témoigner de la volonté persistante des législateurs européens à encadrer les pratiques du numérique. On peut penser notamment aux efforts autour de la loi anti-piratage (HADOPI) en 2010. Et ce n’est pourtant pas chose facile pour eux de suivre la vitesse effrénée du développement technologique. Mais ils sont encouragés par les citoyens européens eux-mêmes qui, culturellement parlant, semblent plus sensibles à l’utilisation des données personnelles.
Ce qui est saisissant cette fois-ci, c’est la portée de cette législation. Les législateurs ont bien compris que le monde dématérialisé du numérique n’a que faire des frontières étatiques (un site Web américain est à un clic de souris d’un utilisateur allemand par exemple). Le GDPR a donc une vocation à s’appliquer à tous et partout, dès que des données personnelles d’Européens sont collectées, stockées et utilisées par une entreprise.
La vérité c’est que, derrière la question de conformité juridique «simple» (que votre avocat et tous les articles sur le sujet tenteront de vulgariser), cette législation marque la naissance d’une nouvelle ère. Et je pèse mes mots. Il n’y a pas de retour en arrière possible sur ces questions fondamentales de société et même d’éthique. Les scandales de Cambridge Analytica et l’audition de Mark Zuckerberg est sur la place publique : la population a découvert le pot-aux-roses. Il y a une véritable prise de conscience populaire sur ce sujet sensible. La preuve : c’était un sujet de discussion au dernier souper de famille. Quand je cite Andrew Lewis à mon grand-père : «Si tu ne payes pas pour quelque chose, tu n’es pas le client mais bien le produit vendu.» Il me répond que s’il a été vendu, il aurait bien aimé au moins en être informé! Et c’est bien là le coeur du problème.
Soyons clair, GDPR n’est pas là pour mettre un terme à la collecte, à l’utilisation et au stockage de données personnelles des utilisateurs. En fait, cette législation a une double vocation :
1. Protection des données personnelles des utilisateurs (pour prévenir par exemple des brèches comme celle survenue avec Equifax en mars 2017)
Les données personnelles peuvent être définies comme toute information (ou groupe d’informations) qui permet d’identifier, directement ou indirectement, une personne physique. Les plus évidentes sont par exemple : nom, données de localisation, numéro d’identification, mais aussi un ou plusieurs facteurs spécifiques à l’état physique, physiologique, génétique, mental, économique, culturel ou social de la personne.
2. Information des utilisateurs
Les exigences listées convergent toutes vers la capacité pour les entreprises à démontrer une extrême transparence dans les activités de collecte, d’usage et de stockage des informations. Ce qui se faisait jusque là souvent à l’insu des utilisateurs, particulièrement dans les domaines AdTech et MarTech, devra être explicitement et intelligiblement exposé. Et c’est bien là que la pratique marketing va devoir s’adapter!
L’obtention du consentement est au coeur d’une nouvelle expérience utilisateur. Selon le texte de loi :
La demande de consentement doit avoir été formulée de manière intelligible et dans une format facilement accessible, mentionnant clairement la raison pour laquelle les données en questions sont traitées.
Car oui, un utilisateur pourrait avoir envie de consentir à la collecte, à l’utilisation ou au stockage de ses informations… s’il a quelque chose à y gagner en retour. Après tout, le ciblage est une pratique qui permet de servir du contenu, des services, des messages qui sont a priori plus pertinents pour l’utilisateur. Je suis une femme dans la trentaine habitant à Montréal passionnée par l’art, je veux une publicité sur la Foire Papier qui a lieu près de chez moi et non une publicité sur un rabais dans une boutique de linge pour hommes à Sherbrooke. La promesse de curation et de pertinence est selon moi la clé des nouvelles stratégies de séduction qui devront être déployées pour récupérer le consentement. On passera d’un message légal qui crie: «On veut se protéger» à un message marketing qui clame: «Tu as tout à y gagner.»
Autre point important : la loi GDPR s’attend à ce que les entreprises puissent prouver une «utilisation légitime des données collectées, utilisées et stockées». Ce qui veut dire que l’impact va varier selon l’entreprise concernée, la nature de ses activités, ainsi que la raison de la collecte, de l’utilisation et du stockage des données. Encore une fois, une entreprise de AdTech, qui a pour modèle d’affaires même la monétisation de données utilisateurs, peut être plus concernée qu’une entreprise qui collecte les informations de ses clients (via un consentement explicite) simplement pour mieux les servir. Autant d’occasions pour les entreprises de repenser leur expérience utilisateurs et redoubler d’effort et de créativité pour exploiter les données propriétaires de façon optimale… et légale bien sur! #DataOptInFTW
Étape 1 – Réunissez les bonnes personnes.
Étape 2 – Auditez-vous!
C’est l’occasion de faire le point sur les questions suivantes :
Oui, l’exercice sera fastidieux, mais ô combien utile! Une fois documenté, il vous sera ensuite plus facile de mesurer les réels impacts de GDPR pour votre entreprise et de poser les bonnes actions. Qui sait, vous vous rendrez peut-être compte que certaines données collectées ne vous apportaient finalement pas tant de valeur d’affaires…
Parallèlement à cet article, l’équipe d’Adviso s’est lancée dans la création d’un podcast, dont le premier épisode porte sur la sécurité des données.
Écoutez leurs propos dans un court épisode de 12 minutes!