Au regard des règles en matière de confidentialité, une owned audience (audience propriétaire ou propre) détient également des atouts importants. Comme ses membres ont volontairement partagé leurs coordonnées avec vous, en échange de (et dans l’attente de nouveaux) contenus pertinents, un premier critère essentiel du RGPD est en effet automatiquement rempli.
Ce n’est cependant pas le seul critère de consentement. Ainsi, il existe des règles spécifiques autour de cet ‘opt-in’ et la question de transparence qui l’accompagne. Indépendamment de ce consentement éclairé, vous êtes tenu.e de mettre en place une gestion des données rigoureuse, les considérations éthiques allant parfois au-delà des considérations légales.
Consentement
Dans le cadre du Règlement général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR), et spécifiquement pour les bases de données de newsletters (ou celles ayant des objectifs similaires), opt-in est un mot-clé. Les gens doivent s’inscrire eux-mêmes pour recevoir vos communications ; vous ne pouvez pas les ajouter sans leur consentement.
En outre, cette inscription doit se faire de manière active et explicite, par le biais d’une action consciente et affirmative, telle que cocher soi-même une case. Une case déjà cochée est inacceptable.
Le RGPD n’est par ailleurs pas le seul cadre réglementaire qui prescrit ces règles, souligne Bastiaan Bruyndonckx, Partner chez Lydian et spécialiste dans les domaines juridiques Governance & Data Protection et Information & Communication Technology. « Le Code du droit économique et l’arrêté royal du 4 avril 2003 complètent le RGPD et stipulent clairement que la publicité par courrier électronique, le marketing numérique par e-mail ou d’autres canaux, donc, ne sont possibles qu’après consentement. La loi en question prévoit toutefois une exception pour les clients existants, mais celle-ci est également soumise à toute une série de conditions strictes. » Des conditions qui s’alignent étroitement sur ce qu’énonce le RGPD.
Consentement éclairé
L’autorisation explicite dans la réglementation sur la confidentialité va aussi de pair avec une transparence sur les objectifs de la collecte de données, et donc un devoir de transparence et d’information. Indiquer clairement quelles sont les données que vous stockez, comment, pour combien de temps et pour quelles raisons, telle est la devise. Cela peut se faire par le biais d’une déclaration de confidentialité, dont vous incluez le lien dans chaque formulaire d’inscription.
Ensuite, il s’agit de tenir effectivement toutes ces promesses, sans tester les limites du consentement. Souhaitez-vous, au fil du temps, aussi exploiter la data d’une autre façon ? Alors, réitérez votre demande de consentement.
Consentement éclairé rétractable
Les droits que peut exercer l’utilisateur ne s’arrêtent pas à l’accord de consentement. Ainsi, on a toujours le droit de consulter ses données et, le cas échéant, de les modifier. On doit aussi pouvoir se désinscrire à tout moment. Bastiaan : « Le droit de s’opposer à la réception future de publicités électroniques est également repris dans le RGPD. Tout comme le droit de retirer son consentement, sans devoir motiver cette décision. »
Il est donc indispensable de prévoir un lien d’opt-out ou un bouton de désinscription. Ceux-ci aussi sont toutefois assortis de certaines exigences, la simplicité étant le mot d’ordre principal : il doit être au moins aussi facile de se désinscrire que de s’inscrire. « Donner son consentement par le biais d’un simple formulaire en ligne pour ensuite devoir se farcir 10 écrans et 37 questions avant de pouvoir se désinscrire, ça n’a vraiment rien d’amusant ni pour le client, ni pour l’Autorité de protection des données. »
Avertissement ou amende ?
Le fait que l’Autorité de protection des données (APD) veille au grain signifie qu’il existe aussi une politique de sanctions à cet égard. « L’APD se pose d’abord la question de savoir s’il s’agit bien de publicité, ce qui généralement est néanmoins le cas. L’interprétation de la publicité est très extensive. » Et donc, la plupart des formes de content marketing entrent, elles aussi, dans la définition.
« Lorsqu’on épluche les décisions de la Chambre Contentieuse, on constate que les plaintes n’ont rien d’exceptionnel – et que l’APD est passablement sévère. » Il arrive ainsi assez souvent que les gens se désinscrivent, mais qu’ils continuent malgré tout à recevoir des courriels ou des messages WhatsApp. « Au niveau des sanctions, le contexte joue toutefois un rôle important : une petite PME ou un petit indépendant recevront plutôt un avertissement et moins vite une forte amende qu’une grande enseigne établie. »
Règles de segmentation et de sécurité
Une base de données n’est pas tenue de se limiter aux coordonnées ou au informations personnelles de base. Mieux encore : quiconque vise une segmentation de valeur – ce qui est crucial dans une discipline axée sur la pertinence telle que le content marketing – a besoin de davantage de (types) de données. « À cela aussi, le RGPD accorde de l’attention, avec des règles spécifiques en matière de profilage », explique Bastiaan. « Chacun fait bien de les parcourir rapidement. »
La même chose vaut pour une gestion correcte des données collectées. « Via l’article 32, le RGPD pose le principe général que celui ou celle qui est responsable du traitement des données, doit également garantir la sécurité des informations. »
Le degré de sécurité attendu dépend entre autres de la sensibilité des données. « Il va de soi que les données médicales se manient avec plus de précaution. Les informations financières demandent toutefois aussi de l’attention. Même si ces dernières ne sont pas reprises dans la liste RGPD des données sensibles, la plupart des autorités de protection des données, dont la belge, estiment qu’elles sont passablement sensibles. »
Gestion éthique des données
Le fait que dans certaines situations (graves) l’APD attend des marques qu’elles informent toutes les personnes concernées lorsqu’une fuite de données se produit, n’est pas la seule raison pour laquelle il est judicieux d’éviter de tels incidents. « C’est avant tout une question de réputation », indique Bastiaan. « Lorsque vous devez signaler à vos clients que leurs données personnelles ont été rendues publiques par votre faute, leur confiance dans vos produits ou services, comme dans vos contenus, s’effondre. »
C’est aussi là que réside la morale de cette histoire : respectez scrupuleusement les cadres législatifs, mais osez aussi faire un pas de plus. Plus votre gestion des données est éthique, plus la confiance des consommateurs sera grande.
« Il est absolument possible de mettre des accents supplémentaires. Ainsi, vous pouvez accorder à votre public une voix supplémentaire au chapitre – et donc des droits – au niveau du traitement des données par l’intermédiaire d’un outil libre-service en ligne, nommer un Data Protection Officer ou établir une charte de confidentialité détaillée. Les marques qui jouent un rôle de pionnier dans ce domaine seront sans aucun doute récompensées. »