COMMENT BIEN COLLECTER LES DONNEES PERSONNELLES: LES REGLES A SUIVRE POUR ETRE CONFORME A LA LOI
A l'heure où les réseaux sociaux ne cessent de rassembler de plus en plus d'internautes sur la Toile, préserver les données personnelles s'impose au coeur des débats. La protection de la vie privée sera d'ailleurs abordée lors du G8, présidé par la France, fin mai. Dans ce contexte, les professionnels du marketing direct doivent être vigilants quant à la collecte des données personnelles, placées sous la haute surveillance de la Commission nationale de l'informatique et des libertés (Cnil). Sans oublier que ces données évoluent et qu'elles doivent donc être en permanence mises à jour.
INFO +: LES OBLIGATIONS QUE DICTE LA LOI
Pour collecter les données personnelles, les entreprises doivent respecter six règles d'or suivantes:
1 / Veiller à la sécurité des fichiers ;
2 / Assurer la confidentialité des données ;
3 / Informer les personnes concernées de leurs droits ;
4 / Demander l'autorisation à la Commission nationale de l'informatique et des libertés (Cnil) ;
5 / Fixer une date de conservation raisonnable des données périssables ;
6 / Définir un objectif précis au traitement des données.
1. DEFINIR UNE STRATEGIE DE COLLECTE
L'important est d'abord d'établir une stratégie claire concernant sa data « L'entreprise doit avant tout avoir une vision globale des données personnelles de ses clients », indique Sarah Wanquet, correspondante informatique et libertés (CIL) et directrice juridique chez Acxiom. Cela va dépendre du type de services et/ou de biens que la société vend, mais aussi de sa politique de ressources humaines et de marketing. Il faut adopter une stratégie efficace et se poser les bonnes questions: que faire des données personnelles? Fidélisation, prospection, les deux? Dans quel but l'entreprise va-t-elle exploiter ces informations? Toutes ces questions doivent être mûrement réfléchies.
2. RESPECTER LA LOI
Très vite la question de la loi se pose. « Il est indispensable, comme l'explique Marie Salliou, directrice clientèle chez Geronimo Direct, de se mettre en conformité avec les règles dictées par la Cnil. » Il s'agit d'être clair et précis dans ses conditions d'opt-in et d'opt-out (e-mails et SMS), et au sujet du droit d'opposition (courrier et téléphone). « L'idéal, souligne Sarah Wanquet (Acxiom), est de désigner un CIL, véritable relais de la Cnil » En effet, ce dernier permet non seulement de garantir la conformité de son organisme à la loi « informatique et libertés», mais aussi de maîtriser les risques juridiques. Un point important quand on sait que certains manquements à la loi sont pénalement sanctionnés... « Il est essentiel que les annonceurs soient vigilants par rapport aux personnes qui manipulent leur base de données afin qu'ils respectent toujours la loi », met en garde Sarah Wanquet.
3. S'EQUIPER DES BONS OUTILS DE COLLECTE
Vient ensuite la collecte des données personnelles. Si l'entreprise ne dispose d'aucun fichier, elle peut en louer ou en acheter auprès de fournisseurs. Sinon, elle peut récolter elle-même des données auprès de ses clients. Elle dispose alors de plusieurs solutions: la mise en place de campagnes de marketing direct (jeux-concours, etc.), un programme d'affiliation, des partenariats/du sponsoring, les réseaux sociaux (à travers, par exemple, une page Facebook dédiée à l'enseigne). « Chacun doit veiller à bien cibler ses clients, puis à, bien choisir les outils de collecte: CRM, Internet, téléphone, courrier, etc. », précise Marie Salliou, de Geronimo Direct. Mais, attention, la collecte des données personnelles doit avant tout bénéficier aux consommateurs. Il est important que les entreprises communiquent à ce sujet. « La collecte des données doit être loyale et transparente, il faut que l'entreprise informe les consommateurs sur la collecte: pourquoi, comment, et dans quel but cette dernière est effectuée », déclare Sarah Wanquet. Cette spécialiste conseille également: « Sur Internet, les annonceurs devraient consacrer une page entière intitulée «protection des données personnelles» afin d'afficher leurs droits et les conditions d'utilisation de ces informations portant sur leur vie privée. Il s'agit aussi d'expliquer l'intérêt de la collecte des données personnelles pour ses clients, en les rassurant sur la confidentialité. »
4. EFFECTUER UN TRI DES DONNEES
Une fois les données collectées, elles doivent être triées et segmentées le plus précisément possible. Une bonne collecte ne vaut rien si son traitement n'est pas organisé efficacement. Il s'agit de connaître le mieux possible les clients, mais surtout de savoir où ils se situent dans leur parcours client. Puisqu'une fois que les consommateurs sont regroupés suivant leurs caractéristiques (sexe, âge, situation familiale, profession, loisirs, etc), l'entreprise pourra analyser ces données, pour ensuite communiquer de manière plus ciblée, et mieux vendre. Pour mesurer l'impact de ses messages, l'enseigne peut tester l'efficacité de la gestion de ses données personnelles collectées, via des campagnes de marketing direct par exemple. Elle peut aussi observer leur performance grâce à des outils de Web Analytics (mesure d'audience, statistiques, etc.). « L'objectif est d'affiner au maximum les segments des données personnelles, afin d'exploiter au mieux ces dernières: en envoyant le bon message, au bon moment et à la bonne personne... Tout cela dans le but d'améliorer son retour sur investissement à tous les niveaux », ajoute Marie Salliou, de Geronimo Direct.
5. METTRE A JOUR SES DONNEES
Les données personnelles sont évolutives. Il ne sert à rien de les conserver sans effectuer une mise à jour régulière. Chaque base de données a besoin d'être sans cesse enrichie, via un ou plusieurs canaux de communication. Par exemple, si certaines informations manquent aux données personnelles de ses clients, l'entreprise peut mettre en place la technique de l'appending qui consiste à récupérer des adresses e-mails pour les ajouter à sa data... De plus, les détenteurs de fichiers à caractère personnel doivent fixer une durée de conservation raisonnable. Enfin, il ne faut pas oublier que conserver des données plus longtemps que la durée déclarée est puni par le Code pénal de cinq ans d'emprisonnement et de 300 000 euros d'amende. On vous aura prévenus, on ne badine pas avec les données personnelles...
FOCUS
Vente-privée.com mise sur la confiance
Nicolas Cosson, directeur marketing de vente-privée.com, site e-commerce spécialisé dans le déstockage en ligne de grandes marques, explique la stratégie de son entreprise par rapport à la collecte des données personnelles: « Pour accéder à nos ventes, il faut être membre du club vente-privée.com. Lors de l'inscription, gratuite et sans obligation d'achat, nous collectons des données de base: nom, prénom, date de naissance, adresse postale et e-mail. Nos futurs membres reçoivent ensuite un e-mail les invitant à confirmer leur inscription (principe du double opt-in) ; ils peuvent dès lors, s'ils le souhaitent, enrichir leur profil avec des données complémentaires (habitat, foyer, loisirs...) mais nous n'utilisons pas celles-ci à des fins de ciblage, de retargeting ou d'upselling. Chez vente-privee.com, l'offre est la même pour tous sans messages push ou intrusifs. De plus, nos conditions d'opt-in sont très claires, nos membres ont à tout moment la possibilité de choisir quels e-mails ils souhaitent recevoir de notre part. Très attachés à la confidentialité des données personnelles de nos membres, nous ne commercialisons pas notre base de données. C'est notamment parce que nous défendons des valeurs comme le respect et la transparence que 12 ,5 millions de membres (9 millions en France) nous font aujourd'hui confiance. Ils sont d'ailleurs nos meilleurs ambassadeurs puisque notre base s'est principalement constituée via le bouche à oreille et le parrainage »
PAROLE D'EXPERT: MAITRE CELINE AVIGNON / AVEC MAITRE LAURE LANDES-GRONOWSKI
L'OPT-IN, L'ACCORD EXPLICITE ET LA MISE A DISPOSITION DE FICHIERS
Les professionnels du marketing le savent bien: pour pouvoir louer ou céder un fichier d'adresses e-mails, celles-ci doivent être «optimisées». En effet, la collecte de données à caractère personnel en vue d'opérations de prospection commerciale est particulièrement encadrée, puisqu'aux termes de l'article L. 34-5 du Code des postes et communications électroniques:
« Est interdite la prospection directe au moyen d'un automate d'appels, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen [ ...]. »
Le recueil du consentement doit être préalable à l'utilisation des coordonnées et être spécifique et informé, la Commission nationale de l'informatique et des libertés (Cnil) recommandant, à cet égard, que le consentement préalable soit recueilli par le biais d'une case à cocher, non précochée. Si les professionnels associent l'opt-in à la prospection par e-mail, il convient néanmoins de rappeler que cette règle s'applique également aux SMS et MMS (l'article précité visant les courriers électroniques de manière générale et non uniquement les e-mails) ainsi qu'à la prospection par automate d'appels et par télécopie.
En tout état de cause, l'émetteur de la prospection a:
- L'obligation, au moment de la collecte de données, de faire figurer une mention sur le formulaire afin de recueillir le consentement des personnes destinataires, préalablement à l'envoi de ses communications commerciales ;
- L'obligation d'indiquer, dans tout message émis à des fins de prospection directe, au moyen d'automates d'appel, télécopieurs et courriers électroniques, des coordonnées valables auxquelles le destinataire peut utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci ;
- L'interdiction de dissimuler l'identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé.
Néanmoins, une proposition de loi ayant pour but de subordonner la mise à disposition de fichiers d'adresses e-mails et de coordonnées à l'accord explicite des personnes concernées vient d'être présentée presque simultanément au sénat et à l'Assemblée nationale et risque d'obliger les professionnels à revoir leurs pratiques. Ce texte vise à insérer un nouvel alinéa à l'article L. 34-5 précité selon lequel:
- « L'adresse e-mail et les coordonnées d'une personne physique, susceptible de faire l'objet d'une prospection directe ou d'un démarchage par courrier électronique, ne peuvent pas faire l'objet d'une vente, d'une cession, d'une location ou d'un prêt sans son accord explicite.»
Cette proposition de loi, si elle était adoptée en l'état, contraindrait les professionnels qui souhaitent céder, louer ou mettre à disposition d'un tiers leurs fichiers d'adresses e-mails et de coordonnées clients/prospects à recueillir l'accord des personnes concernées en vue de cette mise à disposition de leurs données à caractère personnel.
En pratique, il conviendrait non seulement de maintenir l'opt-in, mais également d'organiser le recueil de l'accord des personnes concernées relativement à la mise à disposition de son fichier par le responsable du traitement auprès de tiers.
Se posera dès lors la question de savoir de quelle manière les professionnels devront recueillir l'accord des personnes concernées dont les données seront ainsi communiquées à un tiers. Sur ce point, il convient d'ores et déjà de remarquer qu'une différence lexicographique existe entre la notion d'«accord explicite» employée dans la proposition de loi et le terme «consentement» figurant actuellement dans l'article L 34-5 précité. Il conviendra de déterminer si, contrairement au consentement qui est défini comme «toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à des fins de prospection directe», la proposition de loi envisage une manifestation moins formelle. Il serait sécurisant pour les professionnels afin, le cas échéant, d'anticiper l'adoption éventuelle de cette proposition, que soit précisé comment cet accord explicite pourrait se matérialiser. En tout état de cause, l'adoption de cette proposition de loi pourrait conduire à adapter la pratique de l'«opt-in partenaire».