RGPD : les conseils de ceux qui sont prêts
Le RGPD entre en vigueur le 25 mai 2018 et nombre d'entreprises n'ont pas encore terminé leur mise en conformité. Témoignage de 4 marques pionnières en la matière à l'occasion du Salon E-marketing Paris 2018, le 10 avril 2018.
À quelques jours de l'entrée en vigueur du règlement général sur la protection des données personnelles, le fameux RGPD, force est de constater que la route de la mise en conformité est encore longue. En mars 2018, seules 35 % des marques ont commencé leur mise en conformité avec les principes du RGPD. Et 18 % des entreprises seulement pensent être conformes le 25 mai 2018. De l'autre côté de la barrière, 85 % des Français avouent que les marques ont un rôle pédagogique à jouer face à la technicité de ce règlement. Et 77 % que la transparence des marques entrera à l'avenir dans leurs critères d'achat (source SmartGDPR). Le défi est donc de taille. À l'occasion du Salon E-marketing Paris 2018, le 10 avril 2018, 4 marques pionnières révèlent leurs bonnes pratiques pour être RGPD conformes le 25 mai 2018.
Le réglement impose notamment de revoir les règles de recueil du consentement, de répondre aux droits de portabilité et d'oubli accordés aux citoyens. Pour autant, Thomas Elm, Data Protection Officer (DPO) d'AccorHotels et Hélène Legras, DPO d'Orano (anciennement AREVA), voient avant tout dans le RGPD une opportunité pour le business, car celui-ci "laisse un champ des possibles et impose peu de contraintes". "Il s'agit d'une opportunité de faire de la pédagogie auprès de l'ensemble des métiers de l'entreprise, de responsabiliser les sous-traitants et de collecter de la donnée vraiment utile", explique Thomas Elm.
"Bcp de process sont nécessaires pour expliquer aux salariés ce qui doit être fait ou non avec les data" Helene Legras @Oranogroup #EMKTP2018 pic.twitter.com/sNEyNWeHXV
- Emarketing.fr (@Emarketing_fr) 10 avril 2018
Pour Béatrice Lhopitallier, directrice data du groupe Les Echos et Le Parisien, la mise en conformité est "un sujet préoccupant et chronophage qui représente un risque envers notre business model basé sur l'utilisation des données pour le ciblage publicitaire, notamment". Mais, aussi une opportunité de revoir les pratiques CRM et de prospection, en étant plus transparent dans la collecte et l'utilisation de l'information. Pour la directrice data, il s'agit ainsi de créer une nouvelle relation de confiance avec les lecteurs : "Face à la défiance du client sur la collecte de la donnée, la contrainte législative est un moindre mal."
Ne pas oublier l'article 20
Antoine Denoix, directeur marketing, data et digital d'AXA, considère la donnée comme un élément clé du business model d'AXA, pour mieux vendre et conseiller les clients. "Le RGPD permet de mettre en oeuvre la purge de l'organisation et de la gouvernance. Il redonne le sponsor aux métiers pour mieux comprendre les données clients et leur parcours de la collecte à l'utilisation, en raisonnant en termes de risque pour le client -c'est nouveau - et de privacy et en prenant soin des données." Néanmoins, le directeur marketing alerte sur des points méconnus, à l'instar de l'article 20 du RGPD portant sur le droit à la portabilité des données. "Amazon va pouvoir demander à AXA les données de sinistre de ses abonnés Prime et venir nous concurrencer sur le sujet de l'assurance", illustre-t-il.
"Le RGPD implique de remettre en ordre la maison, mais l'art 20 sur la portabilité peut représenter une opportunité pour les premiers à en profiter" Antoine Denoix @AXA #EMKTP2018 pic.twitter.com/vqNNsU7Coo
- Emarketing.fr (@Emarketing_fr) 10 avril 2018
Par où commencer ?
Au sein d'Orano, Hélène Legras a travaillé sur la remise à jour de la cartographie des données, la mise en place de process pour informer sur la violation des données personnelles et le droit d'effacement, l'ajout d'une colonne dans la documentation sur la durée d'effacement, notamment, mais aussi des rencontres avec le responsable du data center hébergeant les données d'Areva. AccorHotels, qui exploite des données personnelles, voire intimes, sur ses clients, notamment pour personnaliser les offres et l'accueil a également travaillé sur la cartographie des données et le registre des traitements, l'analyse des risques, la remise à jour des contrats et la sensibilisation des collaborateurs via un serious games. Thomas Elm coordonne également les "DPO" locaux: "Le RGPD soulève une question de gouvernance autour de la protection des données personnelles avec nos franchisés, auprès desquels nous n'avons pas les mêmes possibilités de contrôle qu'auprès d'une filiale."
Quel DPO choisir ?
Le groupe Les Echos-Le Parisien a fait le choix d'un DPO externe. D'abord afin "qu'il puisse absorber tout le stress", plaisante Béatrice Lhopitallier. Cela donne à l'entreprise, "le temps de définir le profil de DPO à recruter, alors qu'il faut inventer ce nouveau métier, tout en apportant un regard neuf et objectif, indépendant de tout ce que nous avons déjà fait sur la data." Une approche à l'inverse de celle d'AccorHotels : "Prendre quelqu'un à l'extérieur ne parait pas faisable, car nous avons besoin de personnes sur le terrain au quotidien, au contact des équipes pour une approche "privacy by design". Idem chez AXA, où Antoine Denoix privilégie l'interne pour la connaissance des systèmes de l'entreprise, afin d'être prêt dès le Jour J. Et alors que Thomas Elm avoue être constamment sollicité chez AccorHotels, AXA a fait le choix de placer un "Data Management Office" d'une dizaine de personnes en dessous du DPO, afin de faire tampon. Enfin, Hélène Legras insiste sur les connaissances juridiques indispensables à un bon DPO, au même titre que les connaissances informatiques et celles concernant le fonctionnement de son entreprise.
Le RGPD marque-t-il la fin d'un marketing personnalisé ?
RGPD ou marketing personnalisé ? "L'un n'exclut pas l'autre, commente Antoine Denoix. Le RGPD oblige les entreprises à être plus claires avec leurs clients sur le recueil de leurs données et l'utilisation qui en sera faite. Il est nécessaire d'être utile aux clients pour le convaincre de donner ses données." "Ce n'est pas la fin du marketing personnalisé, poursuit Béatrice Lhopitallier. Il faut remettre de la confiance dans la relation et être clair sur la valeur pour les clients."
Thomas Elm, d'AccorHotels, rappelle enfin de ne pas placer la personnalisation comme un but ultime: "Il y a aussi une portion des clients qui ne veulent pas de la personnalisation et éprouvent de la satisfaction à être incognito dans un hôtel. Le privacy by design doit aussi incorporer cet élément".
Lire aussi : RGPD : Comment les marques se mettent en conformité
"Nous ne pouvons pas imposer la personnalisation. C'est ca que nous pousse à faire le RGPD" Thomas Elm @Accorhotels #EMKTP2018 pic.twitter.com/hpIM1OZK7p
- Emarketing.fr (@Emarketing_fr) 10 avril 2018
Un conseil pour les marques qui en seraient encore au stade 0 de la mise en conformité ?
- Béatrice Lhopitallier : Investir dans du consulting externe, car c'est un sujet juridique et technique et les entreprises n'ont pas forcément les compétences en interne. Il faut sensibiliser aux bonnes pratiques l'ensemble des BU.
- Hélène Legras : Il est essentiel d'avoir une feuille de route et de la maintenir après le 25 mai 2018. Aussi, il est essentiel de bien border les contrats.
- Antoine Denoix : Il faut d'abord, fixer votre niveau d'ambition par rapport au texte, puis doser vos efforts par rapport aux risques
- Thomas Elm : Lutter contre les raccourcis, comme le RGPD est égal au consentement (d'autres bases légales, comme la protection de l'intérêt vital ou l'intérêt légitime existent).
Pour aller plus loin :
Sur le même thème
Voir tous les articles Data