RGPD: consentement, privacy by design… les mesures concrètes à adopter par les annonceurs et les prestataires marketing (interview S. Jézo et N. Messelet, NP6)

janvier 15, 2018

idees

L’entrée en vigueur du Règlement général de protection des données (RGPD) approche et ad-exchange.fr continue de collecter les analyses d’acteurs représentatifs de différents maillions de la chaîne des données en ligne, comme les éditeurs de solutions de data management platforms (DMP). La parole est donnée aujourd’hui à NP6. Ses clients (Canal+, SNCF, Casino, E.Leclerc, Axa, etc.) sont des annonceurs qui collectent des données pour mieux communiquer avec leurs prospects dans le cadre de campagnes d’activation média et des directions marketing qui cherchent à établir une relation suivie avec leurs clients connus. Sandra Jézo, directrice marketing, et Nicolas Messelet, directeur produits, répondent ensemble à nos questions.

Dans quelle mesure vous sentez-vous directement concerné par ce règlement?

Sandra Jézo, NP6.

Sandra Jézo, NP6.

NP6 a très tôt été attentif et souvent pionnier dans le conseil et la mise en œuvre de solutions visant à garantir la protection des données à caractère personnel et la qualité (exactitude et consentement) des données importées dans sa plateforme. Nous avons d’ailleurs depuis plusieurs années des procédures de contrôle des données appliquées par nos équipes mais aussi disponibles directement dans notre solution. Elles nous permettent de vérifier un certain nombre de critères qualitatifs sur les bases de données (origine de la collecte, récence du consentement, présence d’adresses pièges…) afin de sélectionner les annonceurs qui respectent une certaine déontologie ou d’accompagner d’autres clients, conscients des améliorations à mettre en œuvre, dans la construction d’une base de données saine, qualifiée permettant un meilleur ciblage des communications. Nous sommes convaincus qu’une communication personnalisée et raisonnée permet aux entreprises d’atteindre dans le temps de meilleures performances. Nous avons ainsi orienté encore plus précisément notre développement (via entre autres l’acquisition de deux experts du datamining SOCIO Logiciels & Ezakus) vers la création de la connaissance client, clé de voute d’une stratégie marketing efficace. Côté produit, au-delà du conseil renforcé à nos clients, porté aujourd’hui par nos équipes et demain par la nomination de notre DPO, la stratégie de NP6 est de faire évoluer ses solutions pour respecter l’approche privacy by design édictée par le RGPD. Ainsi nous intégrerons nativement des fonctionnalités pour traiter les points de conformité exigés par le RGPD notamment concernant les flux de données existants entre notre plateforme et nos clients. Un autre exemple concret de fonctionnalité répondant au besoin du recueil d’un consentement explicite est la possibilité de gérer ses mécaniques d’inscription double opt-in directement dans notre plateforme NP6 Conversational Marketing.

Le RGPD impose en effet que toute collecte de données personnelles (qu’elles soient nominatives ou de navigation) soit précédée d’un accord explicite de l’utilisateur. Est-ce que vous accompagnez vos clients dans le choix de l’outil et de la solution qui leur permettra de recueillir ce consentement et de le prouver tout au long du cycle d’utilisation de ces données? Sont-ils prêts pour l’entrée en vigueur de ce texte d’après vous?

Nicolas Messelet, NP6.

Nicolas Messelet, NP6.

Même si nous pensons qu’il est important de proposer aux annonceurs et aux éditeurs des fonctionnalités privacy by design autour de la qualification de flux de données ou de la collecte et centralisation des consentements du consommateur, certains clients continueront à disposer de systèmes ad hoc (propriétaires ou tiers) pour la collecte du consentement. En tant que sous-traitants nous veillons donc à exercer quotidiennement auprès de nos clients notre devoir de conseil sur les obligations légales permettant de recueillir et stocker le consentement. En parallèle il est évident que le RGPD fait naître de nouveaux acteurs et des nouvelles plateformes pour une gestion plus centralisée et précise (par canal, par site, par éditeur) du consentement du consommateur telle que celle portée par l’IAB et présentée à EDAA Summit 2017. Néanmoins, nous préférons attendre d’une part un positionnement clair sur la gestion (collecte, conservation) du consentement notamment à travers la réponse commune des états membres de l’UE concernant le texte sur la ePrivacy avant d’apporter un conseil plus précis sur les solutions à utiliser qui permettrait de gérer efficacement le consentement au regard de la loi. D’autre part, le retour de la CNIL sur l’évolution des packs sectoriels de conformité nous permettra de préciser à nos clients les différents niveaux de sensibilité de la donnée et de leur utilisation dans des plateformes marketing. Notre objectif par cette information étant que le renforcement de la limitation de l’usage de la donnée selon sa finalité devienne un réflexe chez l’annonceur mais aussi chez les prestataires du marketing.

Dans la mesure où ces données circulent et qu’elles peuvent être utilisées pour différentes finalités (activation média, cycle de vie client, diffusion d’offres personnalisées), comment faire en sorte de s’assurer que l’opt-in restera réel et toujours valable?

Pour répondre à cet enjeu majeur, il est dans un premier temps primordial pour l’annonceur de centraliser l’ensemble des données de consentement au sein d’une plateforme permettant de d’orchestrer des programmes relationnels adaptés au niveau de consentement ainsi qu’aux préférences de chaque consommateur. Ces plateformes devront notamment proposer des modules permettant :

  • de collecter nativement ou de synchroniser les données de consentement avec des fournisseurs tiers détenant cette information;
  • d’identifier facilement les consommateurs dont le consentement arrive à échéance (lié à la durée légale de conservation de la donnée);
  • de mettre en œuvre des scénarios relationnels personnalisés;
  • de réaliser les traitements nécessaires en conséquence: re-optin, effacement de la donnée.

Au-delà de l’aspect technique et fonctionnel, ce partenaire technologique, qui sera dans une position de sous-traitant, devra respecter une certaine déontologie et aura pour responsabilité de sélectionner des partenaires répondants aux exigences dictées par le RGPD.

La portabilité dans un cadre maîtrisé est envisageable mais paraît encore complexe à mettre en œuvre dans le cadre d’une application marketing.

Piège.Avez-vous identifié des points de ce texte qui posent des problèmes de mise en œuvre?

L’article 20 sur la portabilité des données nécessite à notre sens quelques précisions. Que nous dit cet article? « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. »Quelle sera l’étendue de la portabilité ? Sera-t-elle limitée aux informations données par la personne ou comprend-elle les données enrichies via des techniques marketing telle que le scoring ou encore des données comportementales de navigation? Qui entre le sous-traitant et le responsable de traitement sera responsable de la portabilité? Le responsable de traitement pourra-t-il imposer un format de fichier pour le transfert de ces données vers un autre sous-traitant? Il nous semble donc que la portabilité dans un cadre maîtrisé est envisageable mais paraît encore complexe à mettre en œuvre dans le cadre d’une application marketing. En réalité c’est le marché qui s’organisera autour de ce nouveau droit offert à l’utilisateur tant au niveau de l’étendue de la portabilité qu’au niveau des technologies à mettre en œuvre pour assurer ce service.

La suite de l’interview de Sandra Jézo, directrice marketing de NP6, et Nicolas Messelet, directeur produits, au sujet de l’entrée en vigueur du RGPD sera publiée demain.

Questions formulées par Luciana Uchôa-Lefebvre.

Partager sur :
  • 10
    Partages