Gestion responsable des données : quelles limites au marketing centré sur la data?

12 février 2021

L'IA et la data prennent de plus en plus de place dans les choix stratégiques des entreprises. En parallèle, la société civile (ONG, citoyens, consommateurs, utilisateurs) s’interroge sur la protection et la sécurité de ses données personnelles. A ce titre 25% des internautes disposent d’un adblocker en ligne et 80% des consommateurs avancent qu'ils n'hésiteront pas à mettre fin à un service, qu'ils jugent pourtant utile, s'ils ont le moindre doute sur la manière dont leurs données sont gérées (CITE pour Dassault Systèmes, 2020). Le cas de la migration récente de millions d’utilisateurs Whats App au profit de Telegram et Signal en est une bonne représentation.

L’essor de l’enjeu de la gestion des données personnelles : de quoi s’agit-il et quel est le cadre juridique ?

Avec l’essor des outils de web marketing (SEA, Facebook Ads, emailing etc.), de « growth hacking » ou solutions de commerce connecté, le sujet de la gestion et de la protection des données est passé d’une préoccupation marginale à un véritable sujet sociétal global. Les pouvoirs publics ont en ce sens mis en place un Règlement Général sur la Protection des Données (RGPD) pour donner la ligne à respecter par les entreprises pour une gestion plus éthique des données personnelles. Même si le RGPD donne un cadre aux entreprises, la loi invite surtout ces dernières à réfléchir à leurs pratiques et leur manière de fixer des limites en matière de collecte et de gestion de ces données.

 Dans la pratique, certaines fonctions de l’entreprise sont plus exposées que d’autres à la gestion des données personnelles. Même s’il est du ressort de la direction de se préoccuper de ces enjeux, les marketeurs sont les premiers concernés. Ces derniers se confrontent en effet à la collecte des données personnelles de clients, prospects, consommateurs ou autres profils de manière journalière et ont la charge de leur gestion. Il semble ainsi logique de chercher à comprendre le cadre légal mais aussi d’identifier les bonnes pratiques pour une gestion responsable et éthique de ces données.

La notion de donnée personnelles est à ce titre clairement définit par la CNIL. Elle correspond à « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement (ex : nom, photo, empreinte, adresse postale, adresse mail, numéro de téléphone, numéro de sécurité sociale, matricule interne, adresse IP, identifiant de connexion informatique, enregistrement vocal, etc.). Peu importe que ces informations soient confidentielles ou publiques. Pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée (noms masqués, visages floutés, etc.). Attention, s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) d’identifier une personne, les données sont toujours considérées comme personnelles ». Pour faciliter la démarche aux entreprises, la CNIL met à disposition un logiciel* permettant de lister les Privacy Impact Assessment (PIA) obligatoires dans le domaine marketing.

 Que puis-je mettre en place et quels sont les bénéfices de la mise en place de mesures pour une gestion des données personnelles responsable en entreprise ?

Au-delà de la notion obligatoire du RGPD, une entreprise en conformité dispose de plusieurs bénéfices :

  • Répondre à l’attente des consommateurs,
  • Amélioration de la réputation : générer de la confiance auprès du consommateur, valoriser sa marque employeur, renforcer son image dans les médias via l’obtention d’une certification (ISO 27 001),
  • Valorisation du patrimoine : valorisation de son fonds de commerce notamment. Mais la mise en conformité permet aussi de réduire les risques de sanction.

Selon Caroline Belotti, avocate associée chez TGS Avocats et responsable du département conformité, les entreprises peuvent suivre plusieurs principes pour répondre à cet enjeu :

  • Licéité : connaitre la base légale du traitement des données et s’appliquer à suivre la réglementation établie.
  • Loyauté et transparence : informer les personnes et leur expliquer de manière claire et intelligible les pratiques mises en place par l’entreprise en matière de collecte des données.
  • Limitation des finalités : questionner la finalité de ses actions et leur légitimité.
  • Minimisation, exactitude et limitation de la conservation : ne collecter que le nécessaire, mettre à jour ses fichiers, purger ses bases, vérifier la gestion des accès aux bases intermédiaires (données réservées à des responsables spécifiques de l’entreprise : RH etc.)
  • Sécurité et confidentialité : choisir des partenaires et prestataires sûrs.
  • Mettre en place des politiques internes de gestion des données.

Pour la gouvernance interne il va s’agir de définir les objectifs, générer les réflexes et fédérer les équipes. Il s’agit notamment de réaliser un audit interne des pratiques, rédiger et déployer des politiques internes, fixer la location des données (Europe, Etats-Unis), rédiger des clauses d’information claires et faire preuve de pédagogie auprès des consommateurs, réaliser des formations auprès de ses collaborateurs, mettre en place des outils de gestion interne automatisés ou encore vérifier si ses prestataires correspondent aux valeurs de l’entreprise.

Finalement, ces mesures prises en faveur d’une gestion plus responsable des données peuvent venir asseoir ou entamer la politique RSE de l’entreprise. L’activité étant ralentie en ces temps de crise, pourquoi ne pas en profiter pour travailler sur la gestion responsable des données et penser les bases des valeurs sociétales de demain ? Cette remise en question de nos pratiques peut également devenir l’évènement fondateur d’une démarche de révélation de la raison d’être de l’entreprise. Entre les géants du numérique Chinois et Américains (Alibaba, Facebook, Google, Amazon) prêts à vendre et utiliser la donnée sans limite et une culture Européenne plus éthique et responsable, les entreprises européennes ont un rôle à jouer dans la définition des normes de demain, mais aussi plus simplement, concernant ce que nous considérons aujourd’hui comme acceptable ou non, éthique ou non …

Vous avez aimé cet article ? Voici les prochaines conférences Adetem : https://www.adetem.org/agenda/

 Maxime Le Guyader

Propos issus de la conférence organisée par l’Adetem et le club Marketing Responsable, dont Olivier Classiot (E&H) est co-président, le 21 Janvier.

Merci aux intervenants Raphael RICHARD, Spécialiste du marketing digital et Fondateur de l’agence Neodia, Caroline BELOTTI, Avocate Associée TGS France Avocats, Responsable Département Conformité, Maurice NDIAYE Co-président de l’Adetem et fondateur du cabinet Synomia, ainsi que Coralie DIEBOLD animatrice de la conférence et fondatrice de l’agence de communication YesForComm.

 *Lien vers le logiciel mis à disposition par la CNIL