RGPD et Marketing

RGPD et Marketing

Les consommateurs avertis savent que leur activité et leurs données sont suivies en ligne. C’est pourquoi il est devenu si important d’avoir des réglementations qui garantissent la confidentialité (en particulier sur les réseaux sociaux) et permettent aux clients de choisir les informations personnelles qu’ils partagent.

Le règlement général sur la protection des données (RGPD) est une loi introduite par l’Union européenne le 25 mai 2018. Cette loi a remplacé la directive sur la protection des données 95/46/CE et a été conçue pour :

  • Harmoniser les lois sur la confidentialité des données à travers l’Europe
  • Protéger et renforcer la confidentialité des données de tous les citoyens de l’UE
  • Remodeler la façon dont les organisations de la région abordent la confidentialité des données

Que signifie le RGPD pour les entreprises ?

En tant que règlement ayant force exécutoire, le RGPD est pas facultatif. Si une personne ou une organisation souhaite faire des affaires au sein de l’Union européenne ou avec des citoyens de l’UE, elle doit respecter la réglementation.

Avec la législation GDPR, les entreprises doivent être explicites sur la manière dont elles collectent les données personnelles à des fins de marketing. Cela signifie demander une autorisation explicite spécifique au fur et à mesure qu’ils la collectent, ainsi qu’offrir aux consommateurs une raison valable pour avoir l’information.

En substance, le RGPD :

  • Donne aux individus plus de contrôle sur l’utilisation de leurs données personnelles
  • Donne de la clarté à travers la région sur la façon dont les données peuvent être utilisées d’un pays de l’UE à l’autre (et au-delà)
  • Exige que les entreprises affectent davantage de ressources à la confidentialité des données et en assument davantage la responsabilité

Bases légales du traitement des données

Pour se conformer à la réglementation, le RGPD prévoit six bases juridiques pour le traitement et le stockage des données personnelles. Dans la protection des données, une base juridique fait référence à la justification du traitement des données personnelles.

Les six bases juridiques pour le traitement des données dans le cadre de la réglementation GDPR sont :

  1. Consentement de la personne concernée – Les données sont fournies librement par l’individu dans des circonstances claires et sans ambiguïté.
  2. Obligation contractuelle entre l’organisation et l’individu – L’organisation a besoin de certaines données pour leur fournir un service – par exemple, une adresse pour la livraison du commerce électronique.
  3. Obligation légale de l’organisation – L’organisation peut avoir besoin de certaines informations pour se conformer aux exigences légales ou statutaires.
  4. Intérêts vitaux de l’individu – L’organisation peut avoir besoin de traiter certaines données pour protéger la vie de quelqu’un
  5. Intérêt public/tâche publique – L’organisation peut traiter des informations pour remplir des fonctions publiques définies par la loi
  6. Intérêt légitime – L’organisation a un intérêt à traiter des données telles que les coordonnées, car elle a un intérêt commercial légitime à envoyer un e-mail ou à appeler la personne à des fins commerciales.

Responsabilités des spécialistes du marketing des données

Les spécialistes du marketing numérique doivent comprendre leurs responsabilités spécifiques par rapport aux six bases juridiques et aux règles associées au traitement et au stockage des données.

Ceux-ci inclus:

  • Règles de consentement aux données: Le consentement aux données fait référence à la collecte de données personnelles sur les leads et les prospects via les différents canaux de marketing numérique d’une organisation, et à l’obtention de leur consentement explicite et sans ambiguïté pour accepter d’avoir des nouvelles de l’organisation.
  • Règles de traitement des données: Le traitement des données fait référence à la manière dont une organisation utilise les données qu’elle collecte et à la question de savoir si les prospects, prospects et clients comprennent pourquoi elles doivent être traitées de cette manière.
  • Règles de conservation des données: La conservation des données fait référence à la durée pendant laquelle une organisation conserve les données personnelles et aux raisons commerciales de le faire.
  • Règles de transfert de données: Le transfert de données fait référence au transfert des données personnelles des citoyens de l’Union européenne en dehors de l’UE à des fins commerciales légitimes.
  • Règles de suppression des données: La suppression des données fait référence au moment et à la manière dont les données personnelles sont définitivement supprimées des systèmes d’une organisation.

Rôle du service Marketing dans la conformité RGPD

Le département Marketing – et, par défaut, le responsable du marketing – joue un rôle clé dans l’activation, le soutien et la communication du RGPD et de son impact sur l’entreprise à la haute direction.

En raison du rôle unique du marketing dans la collecte, le traitement, la conservation, le transfert et la suppression des données appartenant au public et aux utilisateurs et clients des organisations, la ou les personnes au sein de l’équipe désignées pour déployer la conformité GDPR doivent être pleinement conscientes de la portée et les responsabilités du projet.

Il s’agit généralement d’un effort d’équipe interfonctionnel, car le spécialiste du marketing numérique qui dirige les activités liées au RGPD devra travailler avec l’informatique, les ventes, le support, l’ingénierie, la réussite client et le produit, par exemple, pour garantir que les processus de confidentialité des données et toutes les dépendances sont compris et soutenus dans toute l’organisation.

Délégué à la protection des données

La nomination d’un DPO, ou Délégué à la Protection des Données, aidera à orienter les ressources en place pour la conformité RGPD :

[The] Le RGPD appelle à la nomination obligatoire d’un DPO pour toute organisation qui traite ou stocke de grandes quantités de données personnelles, que ce soit pour des employés, des personnes extérieures à l’organisation, ou les deux. Les délégués à la protection des données doivent être « nommés pour toutes les autorités publiques, et lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent » un suivi régulier et systématique des personnes concernées à grande échelle « ou lorsque l’entité effectue un traitement à grande échelle de » catégories particulières de personnes données », comme celles qui détaillent la race, l’ethnicité ou les croyances religieuses.

Contrôleur de données et processeur de données

Les membres de l’équipe de marketing numérique doivent également connaître les rôles de contrôleur de données et de sous-traitant. Il est impératif de comprendre dans quels scénarios ils sont le contrôleur de données ou le processeur de données.

Le Contrôleur de données peut être défini comme :

Le Processeur de données peut être défini comme :

Il est important pour un spécialiste du marketing numérique de savoir quand il joue l’un de ces rôles ou les deux à chaque fois qu’il traite des données dans son rôle.

Intérêt commercial légitime

« Intérêt commercial légitime » signifie qu’il doit y avoir une raison claire pour que l’entreprise collecte et traite des données particulières sur une personne concernée. Par exemple, il peut s’agir du nom et de l’adresse personnelle d’un client d’une entreprise de livraison de pizzas. Ce n’est pas parce qu’une personne commande une pizza qu’il est automatiquement légitime d’utiliser ces informations à des fins de marketing direct, par exemple pour lui envoyer des flyers. La transmission de ces informations à un tiers sans intérêt légitime serait également probablement considérée comme une violation du RGPD.

Les raisons de la collecte et du traitement ne doivent violer aucun droit de la personne physique. En tant que spécialiste du marketing numérique, vous devez examiner attentivement : quelles données sont collectées et pourquoi ?

Pour cette raison, l’enregistrement du consentement est une exigence très importante du RGPD. Le consentement doit être donné librement, sans ambiguïté, clair et transparent pour la personne concernée. Il ne doit pas y avoir de longues et déroutantes rames de jargon juridique à lire. Le consentement doit être correctement enregistré. Aussi, le parcours de désinscription doit être tout aussi simple – et clair – pour la personne concernée.

RGPD et rôles marketing

Les responsables hiérarchiques et la haute direction doivent également être conscients du fonctionnement complet et de l’impact du RGPD sur leur équipe dans son ensemble, et sur celle des contributeurs individuels.

Considérant une équipe de marketing numérique moyenne, quels sont certains des rôles et tâches clés dont les contributeurs individuels et leurs responsables doivent être conscients :

Développeurs

  • Les formulaires du site Web sont configurés correctement.
  • Les plugins du site Web sont conformes.
  • La plate-forme du site Web est sécurisée.
  • Le CMS est correctement intégré.

Analystes de données

  • Les outils d’analyse sont conformes.
  • Les intégrations sont utilisées dans la mesure du possible pour empêcher l’exportation de données vers des ordinateurs.

Graphistes

  • Les informations internes de l’entreprise ne sont pas utilisées sur les graphiques destinés au public.
  • Les données client utilisées pour le contenu destiné au public doivent faire l’objet d’un consentement explicite signé et enregistré.

Rédacteurs

  • Les informations internes de l’entreprise ne sont pas utilisées sur le contenu destiné au public.
  • Les données client utilisées pour le contenu destiné au public doivent faire l’objet d’un consentement explicite signé et enregistré.
  • Les contractants ne doivent pas avoir d’accès non autorisé aux données du CMS.

RP

  • Obtenez, enregistrez et conservez le consentement des contacts médias pour envoyer des documents.
  • Préparer les communications sur les violations de données.
  • Maintenir une marque digne de confiance en matière de gestion des données.

Événements

  • Obtenez, enregistrez et conservez le consentement des visiteurs du stand avant de les ajouter à votre CRM pour le marketing.
  • Consultez les termes et conditions de la liste des participants à l’événement. (Les participants savent-ils qu’ils se sont inscrits pour recevoir des communications de votre organisation, et quelles communications correspondent à ces attentes ?)
  • Passez en revue les politiques de toutes les applications et services tiers que vous utilisez pour organiser ou assister à un événement. (À qui appartiennent les données et sont-elles sécurisées ?)

Le marketing numérique

  • Évaluations d’impact sur la vie privée (PIA) sur tous les processus et projets

Données sensibles

Selon le secteur, certains spécialistes du marketing numérique auront des exigences plus rigoureuses que d’autres en ce qui concerne les réglementations GDPR.

Ceux-ci inclus:

  • Soins de santé
  • Finance ou fintech
  • Service publique
  • Organisations qui traitent les données d’une personne de moins de 16 ans
  • Organisations qui collectent des données PII sensibles et vulnérables.

Toutes ces organisations exigent le respect des politiques de confidentialité et de protection des données les plus strictes

Responsabilités du service Marketing

Alors, quelles sont les responsabilités d’une équipe de marketing numérique pour l’enregistrement, la maintenance et la communication des données en relation avec le RGPD ?

Ceux-ci inclus:

Définir et enregistrer les opt-in et opt-out des e-mails
Concevoir un flux d’inscription et de désinscription clair où le consentement peut être interprété sans ambiguïté ; assurez-vous que la désactivation est aussi simple et claire que l’activation.

Normaliser la manière dont un nouveau contact arrive dans le CRM via toutes les voies marketing
Comprenez chaque processus de saisie de données du CRM sous la juridiction de l’équipe marketing et assurez-vous que dans le cas des citoyens de l’UE, chaque processus a des directives claires concernant le consentement.

Décrivant le processus d’honorer les demandes et les suppressions des personnes concernées
Faire un essai d’une demande de personne concernée et d’une demande de suppression de données ; affiner et documenter le processus, et former les membres de l’équipe concernés.

Communication des violations de données
Comprenez le délai dans lequel vous devez publier un avis concernant une violation de données et ayez à portée de main des modèles de communication pré-approuvés pour un scénario de crise.

Maintenir à jour la page de confidentialité et la page des conditions générales du site Web
À intervalles réguliers, demandez à votre DPO, à votre équipe informatique et à un expert juridique d’examiner votre documentation d’utilisation des données accessible au public.

Vérifier et approuver la façon dont les données CRM sont utilisées à des fins de marketing en interne et en externe
Assurez-vous que les membres de votre équipe disposent des autorisations appropriées pour accéder aux données dans les outils qu’ils utilisent et qu’ils savent à quoi les données auxquelles ils ont accès peuvent et ne peuvent pas être utilisées dans le marketing. Avoir une politique établie en matière de co-marketing ou de marketing partenaire, où la personne concernée est protégée conformément à la réglementation GDPR.

Comprendre les réglementations GDPR, les meilleures pratiques et la façon dont vous pouvez vous conformer de manière éthique est impératif pour votre rôle de professionnel du marketing numérique.