Accueil

Marketing dans le cadre du RGPD : 7 choses que tous les spécialistes doivent savoir

Soumya Patnaik

Data protection consultant

Actuellement, une grande partie de la consommation est effectuée en ligne. Par conséquent, il est essentiel que votre stratégie de marketing en ligne soit adéquate, actualisé et efficace, quel que soit le secteur d'activité de votre entreprise, la taille de votre organisation et votre marché ( B2B ou B2C).

D'autre part, avec la mise en œuvre du RGPD, les droits de protection des données ont fait l’objet d’une plus grande sensibilisation, mais la confiance dans les espaces en ligne a également été perdue. Par conséquent, les experts en marketing doivent marcher sur des œufs. Dans cet article, nous analysons 7 questions courantes que tous les spécialistes doivent connaître.

1. Quelles lois s'appliquent au traitement de données à caractère personnel à des fins de marketing en ligne dans l'UE ?

Dans l'UE, les données personnelles dans le domaine du marketing en ligne sont régies par deux lois: la première est le Règlement Général sur la Protection des Données, c’est-à-dire le RGPD, et la seconde est la Directive vie privée et communications électroniques. La Directive est un complément du RGPD et peut être considérée comme une lex specialis en ce qui concerne son objet, à savoir les services de communication électroniques. La communication électronique comprend la communication via Internet (tels que les courriels, les applications, etc.), la communication téléphonique, les services de messagerie instantanée, entre autres.

2. Quelles activités de traitement de données à caractère personnel font partie de la stratégie de marketing en ligne d'une organisation ?

Voici quelques-uns des objectifs spécifiques du traitement de données personnelles pour les stratégies de marketing en ligne :

  1. Utilisation de données personnelles pour mesurer et améliorer l'efficacité de la conception d'un site
  2. Utilisation de données personnelles pour mesurer et améliorer l'efficacité des publicités en ligne et des campagnes marketing
  3. Utilisation du trafic et d'autres données de localisation pour cibler le contenu publicitaire personnalisé
  4.  Utilisation de données personnelles pour la prise de décision individuelle automatisée / le profilage et la publicité comportementale
  5. Utilisation de données personnelles pour faciliter la communication en ligne directe, telles que les courriels, les SMS, les messages téléphoniques automatisés.

 

3. Quel est le fondement juridique du traitement de données à caractère personnel à des fins de marketing en ligne ?

Le traitement des données personnelles doit respecter l'un des fondements juridiques de l'article 6 du RGPD. En outre, chaque activité/ensemble d’activités de traitement doit avoir un objectif spécifique et le fondement juridique doit être aligné sur cet objectif. Comme indiqué au point 1, lorsque le traitement des données personnelles a lieu dans le contexte de services de communications électroniques, il convient de vérifier si le contexte du traitement est couvert ou non par la Directive vie privée.

Au point 2, nous avons énuméré cinq objectifs spécifiques du traitement des données à caractère personnel dans le contexte du marketing en ligne. Sur ces cinq objectifs, trois contextes de traitement spécifiques apparaissent : (a) l'analyse marketing, (b) marketing de contenu ciblé et c) communication en ligne directe.

  • Analyse marketing : il s’agit de l’utilisation des techniques de traçage pour « suivre » les données des utilisateurs afin de mesurer l’efficacité d’un site, de campagnes marketing, de publicités, etc. Ceux-ci peuvent être des cookies, des pixels invisibles, des pixels de suivi et des technologies similaires qui stockent et suivent des données personnelles sur les équipements terminaux des utilisateurs. Cela est spécifiquement couvert par l'article 5, paragraphe 3, et par les considérants 24 et 25 de la Directive qui exigent le « consentement préalable » de l'utilisateur. Pour en savoir davantage, vous pouvez consulter notre article sur les cookies.
  • Marketing de contenu ciblé : Cela peut être plus ou moins intrusif pour la vie privée en fonction des catégories de données à caractère personnel traitées et de la nature du contenu ciblé. Par exemple, si les données relatives au trafic sont suivies pour diriger l'utilisateur vers un site ou une publicité spécifique, le consentement préalable de l'utilisateur est requis conformément à l'article 6, paragraphe 3, et au considérant 26 de la Directive. Les données de localisation autres que les données relatives au trafic ne peuvent être traitées que si elles sont rendues anonymes ou avec le consentement préalable des utilisateurs, dans la mesure et pour la durée nécessaire, conformément à l'article 9, paragraphe 1, de la Directive. Cependant, il existe des formes de suivi plus invasives que la publicité comportementale basée sur le profilage/la prise de décision individuelle automatisée nécessitant un niveau de consentement plus élevé. Au point 5, nous développons ce sujet plus en détail.
  • Communication directe en ligne : l'article 13, paragraphe 1, de la Directive vie privée dispose que l'utilisation des courriers électroniques, SMS, fax, appelants automatiques, etc. à des fins de prospection directe requiert le consentement préalable des personnes concernées. Selon le considérant 40 de la Directive, le consentement doit être explicite, tandis que l'article 13, paragraphe 1, ne vise que le consentement  standard. Nous vous conseillons de consulter la législation locale sur la vie privée pour déterminer la norme de consentement requise dans chaque cas pour l'envoi de communications à des fins de prospection directe.

4. Puis-je m'appuyer sur l'intérêt légitime du marketing en ligne ?

Le considérant 47 du RGPD indique que le prospection peut être fondé sur « l'intérêt légitime » du responsable du traitement. Toutefois, cela ne signifie pas que vous pouvez vous y fier par défaut. En tout premier lieu, vous devez vérifier l'applicabilité des fondements mentionnés au point 3 ci-dessus. Le cas échéant, vous devez obtenir le consentement préalable.

Le recours à des « intérêts légitimes » repose sur un équilibre entre les avantages/intérêts et l’effet sur les droits et les intérêts des personnes concernées. Tant que les droits des personnes concernées ne prévalent pas sur les intérêts du responsable du traitement ou d'un tiers (intérêts qui doivent être bien définis), il peut être possible d'invoquer ce motif.

Certains facteurs à prendre en compte pour déterminer la légitimité de ce motif sont les suivants :

  1. Les attentes raisonnables des personnes concernées en fonction de la relation qu'elles entretiennent avec vous (le responsable du traitement) et si elles sont au courant de l'utilisation de leurs données personnelles à des fins de marketing ; et
  2. La nuisance de recevoir des communications non sollicitées

La Directive vie privée prévoit des situations spécifiques dans lesquelles le responsable a un intérêt légitime à poursuivre certaines activités de marketing. Ceci s'applique exclusivement aux clients existants. L'article 13, paragraphe 2, et le considérant 41 de la Directive établissent que si les coordonnées électroniques ont été obtenues dans le cadre de la vente d'un produit/service, les mêmes coordonnées peuvent être utilisées pour proposer au client des produits ou des services similaires, à condition qu'une possibilité de refus claire, distincte et gratuite soit fournie aux clients à l’instance de chaque message. Ceci est parfois appelé « soft opt in ». Veuillez noter que cela ne s'applique pas aux produits/services de tiers.

Cela se produit, par exemple, lorsque des personnes visitant votre site sont intéressées par vos produits ou services et s’abonnent ou remplissent un formulaire de demande d'informations. Dans ce cas, vous pouvez compter sur l'intérêt légitime de leur envoyer des communications concernant des services similaires. Cependant, même dans ces cas, vous devez vous conformer à des conditions supplémentaires (voir le point 5).

5. Si je m'appuie sur un intérêt légitime, quelles autres conditions dois-je respecter ?

Lorsque vous utilisez un intérêt légitime comme fondement de traitement, assurez-vous qu'un droit exprès de refus ou option d’opt-out est fourni aux personnes concernées et qu'elles sont clairement informées de ce droit, ainsi que de la manière dont elles peuvent l'exercer. Assurez-vous également que l’option d’opt-out est facile à utiliser. Par exemple, lors de l'envoi de matériel promotionnel aux clients par courrier électronique vous pouvez fournir un lien de « désabonnement » qui demande simplement aux utilisateurs de cliquer, sans autre action. D'un point de vue pratique, il est important d'examiner la manière dont les « options d’opt-out» sont gérées au sein de l’organisation et de veiller à ce qu'elles ne passent pas inaperçues et soient mises en œuvre sans retard injustifié.

Les principes de transparence et de responsabilité du RGPD doivent toujours être respectés. Par conséquent, l'intérêt légitime ne vous décharge pas de votre responsabilité de garantir le droit à l’information des personnes concernées.

6. Qu'est-ce que le consentement explicite et quand est-il nécessaire ?

Selon le RGPD, le consentement « standard » doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données. Le consentement explicite impose toutefois au responsable du traitement des normes de responsabilité plus strictes. Cela signifie que le consentement doit non seulement respecter les conditions énumérées ci-dessus, mais doit également être obtenu d'une manière qui ne laisse aucun doute sur une interprétation erronée de la part des personnes concernées.

Dans le contexte du marketing, il est obligatoire d'obtenir le consentement explicite de la personne concernée pour le profilage/la décision individuelle automatisée. Ceci est déduit de l'article 22 du RGPD, qui reconnaît que la décision individuelle automatisée et le profilage peuvent avoir des conséquences graves pour les individus : par exemple, dans le domaine de la publicité, il pourrait s'agir de l'exclusion ou de la discrimination d'individus, les décisions qui affectent leur libre choix, etc. Le Groupe de travail « Article 29 » (G29) vous recommande de vous appuyer sur les critères suivants pour déterminer la nécessité du consentement explicite :

  1. le caractère intrusif du processus de profilage, y compris le suivi des personnes sur différents sites web, appareils et services ;
  2. les attentes des personnes concernées ;
  3. la façon dont l’annonce est diffusée ; et
  4.  le recours aux vulnérabilités connues des personnes concernées visées.

7. Que dois-je savoir avant de lancer des campagnes sur d’autres sites Web/plateformes ?

Si vous publiez des annonces sur des sites Web tiers, sachez que ces sites Web collectent peut-être des données personnelles d'utilisateurs qui cliquent sur vos publicités. Vous pensez que cela ne vous concerne pas car les utilisateurs se trouvent sur un autre site Web, c'est-à-dire qu'ils sont soumis à une autre politique de protection de la vie privée et à d'autres termes et conditions. Notez toutefois que, dans de nombreux cas, les informations collectées lorsque l'utilisateur clique sur vos annonces sont soumises à une politique de protection de la vie privée différente ou à un contrat spécifique en matière de traitement des données entre vous et le site Web. Cet accord stipulera explicitement que les données personnelles sont traitées par le site Web en votre nom, ce qui fait de vous le responsable du traitement conformément au RGPD. Cela inclut souvent des interdictions de leur transférer des données personnelles. Dans la pratique, vous êtes soumis à leurs conditions et n’exercez aucun contrôle sur les données qu’ils traitent.

Assurez-vous donc de lire les conditions générales lorsque vous vous inscrivez pour un espace publicitaire sur un site Web tiers. En plus, demandez à votre service juridique de vous aider et posez des questions au délégué à la protection de la vie privée du site Web, si nécessaire. Au moins, assurez-vous que le traitement des données à caractère personnel est limité et que les finalités du traitement sont clairement définies.

Dans de nombreux cas, ces campagnes sont attachés aux pixels de suivi/conversion placés sur votre site Web. Il est important de savoir comment cette technologie fonctionne et quelles informations ces cookies recueillent avant de les placer sur votre site web. Pour en savoir davantage, vous pouvez consulter notre article sur les cookies.