E-marketing Paris 2020

Tirer parti de bases de données prospects et clients : ce qu’il faut savoir

img

Illustration : Taskin Ashiq

Comment un responsable marketing ou commercial peut exploiter sa base de données prospects/clients en étant conforme au RGPD et en tirer avantages ?

L’activité commerciale et marketing de toute organisation nécessite de détenir des informations à caractère personnel à propos de ses prospects et clients. Elles sont une forme d’actif de la société. Mais le RGPD impose de mettre en place des process très contraignants qui impactent directement la base de données marketing prospects/clients. Avant de lancer une action marketing, il faut donc aujourd’hui se demander, à propos des données personnelles :


- En ai-je vraiment besoin ?

- Suis-je autorisé à les détenir ?

- Quels sont les risques pour moi, mon entreprise et pour le client à les détenir ?

Afin de répondre à ces questions, concentrons-nous sur les informations elles-mêmes, leur formulation et la pertinence de leur détention, ainsi que sur les aspects organisationnels et techniques de la base de données en insistant sur la protection et l’accessibilité de celle-ci. Avec, comme fil conducteur, les avantages à mettre en œuvre ces préconisations et les risques à ne pas le faire.

I. LA DETENTION DES DONNEES PERSONNELLES

Les données personnelles sont définies de la manière suivante (Article 4. RGPD) : « Toute information se rapportant à une personne physique identifiée ou identifiable ». De plus, certaines données, au regard du RGPD, sont classifiées comme sensibles (Article 9.1. et .9.2 du RGPD) et nécessitent désormais une vigilance particulière et sont, sauf exception, normalement interdites de traitement. Il convient donc de pouvoir justifier des raisons ou exceptions pour lesquelles on possède ses données et dans le cadre d’un activité marketing, on s’intéressera plus particulièrement au consentement et à la légitimité.

1. Le consentement de la personne

Le RGPD impose qu’il soit libre, spécifique, éclairé et univoque. Il ne vaut que pour une finalité de traitement. La personne doit également avoir la possibilité de retirer son consentement à tout moment (Articles 16. à 19. du RGPD), par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement. La base de données doit donc pourvoir contenir les informations relatives aux consentements et à leurs retraits, total ou partiel. Si l’on achète une base de données, il faudra obligatoirement avoir la preuve du consentement des personnes à y être présentes et ceux au regard de quelle(s) finalité(s).

Dans le cas d’un salon, il est facile de remplir une fiche contact contenant les mentions nécessaires, comme la finalité du traitement, et la faire signer par la personne sur place Lorsque l’enfant est âgé de moins de 16 ans, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Cas particulier des cartes de visites : Donner sa carte de visite vaut-il consentement ? Et pour quelle finalité ? Le RGPD ne traite pas directement de ce cas. Pourquoi ne pas y inscrire une mention manuelle précisant si notre interlocuteur peut nous recontacter et à pour qu’elle raison. A l’inverse, on peut contacter par courriel les personnes dont on détient la carte de visite afin de leur demander leur consentement, en expliquant la finalité du traitement que l’on souhaite effectuer.

2. Légitimité

Analyser la légitimité des données, au regard de la finalité du traitement envisagé et des risques que cela peut représenter est une démarche aujourd’hui indispensable avant de lancer n’importe quelle action marketing impliquant de contacter des personnes. N’oublions pas que le Responsable Marketing d’une organisation sera très probablement Responsable de traitement de la base de données prospects/clients. A ce titre, il engage la responsabilité de son entreprise et l’expose à des risques. Même si la donnée est sensible, il est légitime, par exemple, qu’une agence immobilière ou un hôtel soit informé du handicap d’un client. Par contre, la société sous-traitante de nettoyage de l’immeuble n’a pas à connaitre cette information. En termes de durée, il faut pourvoir justifier la conservation de certaines données (Article 5.e. du RGPD), par exemple en raison d’obligations légales (garantie, comptabilité, etc.). Pour ce faire, le RGPD prévoit que la durée de détention maximum des informations est égale à la durée minimum légale. Il est aussi prévu que les données soient régulièrement mises à jour et puissent être rectifiées à la demande d’une personne. C’est une excellente raison pour reprendre contact avec un prospect ou un client inactif. Cela permet de maintenir ou recréé un lien avec le client, ou bien d’effacer les informations si elles n’ont plus lieu d’exister et ainsi de diminuer son espace de stockage qui, comme l’envoi de publicité, à un coût pour l’organisation. Nous conseillons donc d’inclure dans la base de données la date de la dernière action. N’oublions pas que ces personnes peuvent demander à accéder à leurs informations, donc il est indispensable de limiter de telles notes et de les formuler de façon « politiquement correcte » et non discriminante. Et même dans ce cas, une personne pourrait ne pas apprécier les remarques la concernant. Certaines entreprises ont mis en place un contrôle automatique des mots tapés dans la partie « notes » de leur CRM.

II. RECOMMANDATIONS SUR LA SECURITE DU CONTENU DE LA BASE DE DONNEES

La sécurisation des données est très probablement le point le plus sensible et le point faible de la majorité des entreprises. Pourtant, le RGPD ne procède, pour l’essentiel, qu’à des mises à jour de loi informatique et libertés. On parle désormais de violation de données personnelles, définie ainsi à l’article 4 :
« Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Afin d’éviter que cela se produise, il convient de se concentrer sur les aspects organisationnels et les aspects techniques.

A. LES ASPECTS ORGANISATIONNELS

1. Revoir les contrats avec les sous-traitants

En tant que donneur d’ordre, une société est responsable des agissements de ses sous-traitants vis-à-vis de la RGPD. Si la base de données doit être envoyée à des sous-traitants alors il faut en choisir qui présentent des garanties suffisantes pour assurer la protection des données à caractères personnelles. Le Responsable Marketing ou Commercial devra donc être particulièrement vigilant si les données sont transférées en dehors de l’union européenne car les contrôles et la réalisation d’audits seront plus difficiles.

2. Réaliser une analyse d’impact en cas de violation des données (impacts & conséquences sur la vie privée du client, impacts sur la société)

Une des nouveautés majeures apportées par le RGPD est l’approche par les risques. L’article 35. du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD – Data Protection Impact Assessment), lorsqu‘un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. En cas de violation des données personnelles, l’article 34 prévoit « d’avertir les personnes concernées dans les meilleurs délais » et l’autorité de régulation dans les 72h. En étant pro-actif et en anticipant les actions de communication à mener, on travaillera moins dans l’urgence, avec une meilleure maitrise et par conséquent un meilleur ressenti de la part des personnes concernées (les propriétaires des données). Imaginez un laboratoire d’analyses médicales dont les données de ses clients se retrouveraient publiques sur internet. La fuite ne proviendrait pas forcément de ses services, mais par exemple d’un cabinet de médecin. Dans tous les cas, l’effet pourrait être dévastateur pour la réputation de ce laboratoire et il vaut mieux être préparé. Ainsi, l’organisation qui cherche à mettre en avant sa responsabilité sociale pourra tirer avantage à publier une synthèse de son analyse d’impact, et mettre en perspective sa politique de gestion des données personnelles avec celles en matière de cybersécurité et de transparence des algorithmes, car ces thématiques se recoupent et reflètent des attentes de plus en plus fortes de la société. Nous conseillons donc de préparer un plan d’impact en cas de violation de la base de données marketing prospects/clients, incluant la campagne de communication à mettre en œuvre en cas de fuite de données.

B. LES ASPECTS TECHNIQUES

L’article 5 du RGPD rappelle que la sécurité informatique est fondamentale : Les données sont « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ». Le cœur de l’obligation de sécurité est ensuite défini par l’article 32 :
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Responsable du traitement, dans notre étude le Responsable Marketing ou Commercial, et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

- la pseudonymisation et le chiffrement des données à caractère personnel,des moyens permettant de garantir la confidentialité, l’intégrité,

- la disponibilité et la résilience constantes des systèmes et des services de traitement,

- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique,

- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».

1. Pseudonymisation des contacts de la base de données

L’intérêt de pseudonymiser (remplacer le nom par un pseudonyme) et de pouvoir effectuer des traitements statistiques des données de la base en limitant la possibilité d’identifier les personnes. Nous le recommandons quand ce traitement statistique est effectué par un sous-traitant. C’est un cas fréquent dans le cadre de l’Intelligence Artificielle, qui traite en masse des données de clients afin de prédire des comportements. On peut reprendre la citation « Je sais qui tu es mais je ne sais pas comment tu t’appelles » de Fulup Ar Fol, architecte internet chez Sun Microsystems, qui expliquait à un atelier de la Liberty Alliance à Paris en 2005 : « Si vous prenez un double café crème et deux croissants dans le même bar, tous les matins, assez rapidement le serveur préparera votre commande avant même que vous le lui demandiez. Il sait que c’est vous mais il ne sait pas qui vous êtes ».

Il suffit donc pour cela d’attribuer à chaque client un code généré aléatoirement que l’on retrouvera, par exemple dans le cadre de l’envoi du mailing de demande de consentement, derrière le bouton « Je donne mon consentement ».

2. Accessibilité à la base de données, droits d’accès et protection, pour le personnel interne

Il est nécessaire de prendre des dispositions afin de limiter l’accès à la base de données marketing prospects/clients. Avec un tableur type Excel, il faut prévoir de protéger la feuille et séparer les informations dans des onglets différents en fonction de leur nature. Avec un CRM, il faudra cloisonner les informations par catégories et limiter leurs accès en fonction des personnes. Par exemple, il n’est pas nécessaire pour le service comptabilité d’un traiteur, dans le cas d’un menu spécial, d’être informé sur la spécificité de ce menu (hallal, végétarien…) car il amène à des informations dites « sensibles » au regard du RGPD (Article 9 du RGPD). Si malgré tout on souhaite, pour des raisons tarifaires ou statistiques, pourvoir différencier ce menu, alors une mention type « menu spécial » doit être prévue à usage de la comptabilité.

3. Accessibilité à la base de données pour les personnes externes, principe du « privacy by design »

Les failles de sécurité sont à l’origine des premières sanctions infligées par la CNIL. Il est donc impératif de mettre en œuvre des mesures préventives permettant de limiter les risques de violation des données personnelles. Un audit du site internet d’une entreprise, réalisé par des spécialistes de la fraude informatique, permettra de les détecter et les corriger. Cela relève du principe du « privacy by design », prévu par l’article 25 du RGPD. L’entreprise doit en effet prendre des mesures techniques et organisationnelles appropriées au traitement des données au regard de la finalité recherchée par l’entreprise dans le traitement. Et ceci dès la conception du site internet et de la base de données qui y est rattachée.

4. Accessibilité à la base de données, par le personnel interne, en mobilité

L’accès à la base de données marketing prospects/clients, particulièrement lorsqu’elle est exploitée par l’intermédiaire un CRM, est souvent possible depuis un appareil mobile (tablette ou smartphone). Et avec la pratique très fréquente du « Bring your own device » (Byod), l’utilisation par les employés de leurs terminaux personnels est désormais ancrée dans les mœurs en dépit des menaces qu’elle fait peser sur la protection des données personnelles. Quelles sont les données sensibles qui entrent et sortent de l’entreprise ? Que faire en cas de vol du terminal ? De plus, en ayant des données professionnelles issues de la base de données marketing dans son appareil personnel, l’utilisateur se met en position de sous-traitant de sa propre société. Cependant, comme le rappel la CNIL, « l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique » pour peu qu’il ait autorisé l’accès au système d’information. Dans ce cas, qui est responsable en cas de violation de données (supposée ou effective) ? C’est pourquoi nous conseillons de bien séparer les appareils professionnels des personnels et de mettre en place une stratégie de Cope (Corporate owned, personally enabled) où l’entreprise fournit à ses employés des appareils standardisés et sécurisés. Dans tous les cas, que l’appareil soit personnel ou professionnel, il est conseillé de mettre en place des procédures de sécurisation telles que :

- Imposer la mise en place de mots de passe évolués (ou bien reconnaissance biométrique)
- Mettre en place un logiciel de cryptage des données

- Accéder aux informations à travers un VPN (réseau à distance)

- Accéder aux e-mails en Webmail

- Mettre en place des solutions de gestion des terminaux et des applications mobiles – Mobile Device Management (MDM) et Mobile Application Management (MAM)

- Mise en place de « conteneur » (sand Box), permettant de séparer les données privées des données professionnelles.
5. Réalisation de sauvegardes de la base de données, éviter les duplications inutiles

La base de données doit avoir une copie (un backup) dans le but de la restaurer en cas de problème sur l’original. Mais il faut bien faire la différence entre cette copie de sauvegarde (protégée, cryptée et non-accessible en dehors du service concerné) et une simple duplication. En effet, il est très facile de copier un fichier Excel et de se retrouver ainsi avec un fichier complémentaire, multipliant par conséquent les risques de perte ou de violation. En dehors de sa copie de sauvegarde, la base de données originale doit rester unique. Et si elle n’est pas exploitée à travers un outil de type CRM, alors elle peut par exemple être partagée dans un Cloud ou sur un serveur de partage type SharePoint (Microsoft) afin de rester unique et bénéficier d’un accès protégé.

III. CONCLUSIONS

Il est donc possible d’exploiter sa base de données marketing prospects/clients en étant conforme au RGPD, tout en en tirant des avantages. C’est une obligation légale mais aussi une réponse pour les clients qui sont plus que jamais soucieux de la protection de leurs données personnelles. Accueillir un nouveau client, c’est généralement espérer le conserver et construire une relation durable basée sur une confiance mutuelle. La protection des données des clients participe à cette confiance.

Prochaine étape : le E-privacy
Considéré comme une extension du RGPD mais destiné à réguler les communications par voie électronique, il aura également un fort impact sur le marketing. La date de sortie n’est pas connue, mais il vaut mieux se préparer, en particulier au niveau de la gestion des cookies sur les sites web, dont le paramétrage sera réalisé au niveau des navigateurs par les personnes.