Gestion des données clients : le RGPD rebat les cartes
La gestion des données clients s'apprête à entrer dans une nouvelle ère, sous l'impulsion du Règlement général sur la protection des données. Cette initiative est l'occasion de remettre à plat les usages et de tourner le dos à des pratiques qui s'étaient parfois perdues dans un marketing de masse.
Je m'abonneLes données clients sont plus que jamais essentielles pour les marques. À l'heure de l'omnicanal, comment envisager de transformer ses activités retail et e-commerce, ou de développer de nouvelles offres de service sans avoir une vision globale des comportements et des attentes de ses clients?
Un nouvel horizon s'ouvre le 25 mai, avec l'entrée en vigueur du Règlement général sur la protection des données (RGPD). Ce texte adopté par le Parlement européen il y a deux ans donne aux citoyens davantage de contrôle et de droits sur l'utilisation de leurs données personnelles.
Les données clients entrent pleinement sous l'appellation des "données à caractère personnel" visées par le RGPD puisqu'elles incluent le nom du client, sa date de naissance, son adresse postale et e-mail, son numéro de téléphone ou de carte bancaire, le détail de ses achats et abonnements... Alors que bon nombre de marques continuent de collecter des données sans que le consommateur ou l'internaute ne le sache, le règlement responsabilise les entreprises sur leurs pratiques. Elles devront limiter la collecte aux données utiles, informer les clients sur leur utilisation en interne ou avec des tiers, limiter leur détention dans le temps, s'assurer d'un consentement explicite avant toute prospection commerciale ou personnalisation du site et des communications...
Dans les entreprises de plus de 250 employés, un "registre des traitements", consultable à tout moment par la CNIL, témoignera des pratiques de l'entreprise et de leur conformité. Gare à ceux qui penseraient pouvoir échapper à ces nouvelles règles! Les sanctions sont pour le moins dissuasives puisqu'elles peuvent atteindre jusqu'à 4% du chiffre d'affaires mondial de l'entreprise.
Des pratiques plus vertueuses
Même si le cadre réglementaire est connu depuis avril 2016, seuls 6% des sites analysés par le cabinet Converteo étaient parfaitement en conformité avec le RGPD au 1er septembre 2017. Depuis la rentrée, bon nombre d'entreprises sont entrées dans la mise en oeuvre opérationnelle de leur mise en conformité. Le RGPD reste souvent vécu comme une contrainte, voire un frein à l'acquisition de nouveaux clients et une perte potentielle de revenus. "Certaines marques prennent pourtant conscience que le règlement met en lumière des pratiques de mass marketing contestables et contestées, observe Pascal Hary, directeur développement des ventes et expérience client pour l'Europe du Sud chez Oracle. La mise en conformité devient une opportunité pour revisiter leur approche globale avec plus de pédagogie et des pratiques plus vertueuses afin d'améliorer la relation avec les clients."
Lire aussi : RGPD : quel impact sur la gestion des clients ?
- Les investissements liés à la mise en conformité avec le RGPD vont continuer à croître pour atteindre 958M€ en 2018 et 976M€ en 2019. (Source: estimations IDC pour le Syntec Numérique)
- Si une fuite de données est constatée, l'entreprise devra informer ses clients dans les 72 heures.
- Les amendes peuvent aller jusqu'à 4% du chiffre d'affaires ou 20 M€. Pour les infractions les moins graves, un premier seuil de sanction est fixé à 2% du CA ou 10M€.
- Le RGPD s'applique aux sociétés européennes et aux sociétés non-européennes, dès lors qu'elles ciblent les résidents de l'UE grâce au profilage ou qu'elles proposent des biens et services à des résidents européens.
Certains dossiers que les équipes de data management avaient parfois du mal à défendre ont déjà avancé: "Tout le monde dit que la data a de la valeur, mais il est souvent difficile de convaincre les instances dirigeantes du ROI sur ces questions. Elles savent désormais qu'à partir de mai, cela pourra coûter 4% du chiffre d'affaires", note Jean-Michel Franco, directeur marketing produit de Talend. Quand Orange Consulting intervient sur un dossier RGPD, les équipes s'assurent systématiquement que les enjeux sont partagés par toutes les équipes, y compris la direction.
Sans doute échaudés par les conséquences de fuites de données qui font régulièrement l'actualité, beaucoup de groupes ont ouvert ce chantier avec le volet sécurité. "Certaines marques se sont rendu compte que beaucoup d'acteurs intervenaient sur leurs campagnes digitales et que les bonnes pratiques de sécurité s'étaient un peu perdues au fil du temps. Quelques-unes ont développé des blockchains pour crypter leurs données", détaille Chrystel Galissie, directrice associée connaissance client & data science de Wide, agence de communication du groupe Micropole. Ces données sensibles peuvent aussi être "pseudonymisées" via des identifiants artificiels.
Lire aussi : La data, atout ou menace pour le retail ?
Architecture et cartographie
Avant de permettre aux clients d'accéder à leurs données personnelles, d'exercer leur droit à la limitation des usages, au déréférencement ou à l'oubli, encore faut-il savoir où elles se trouvent. Avec le développement du digital et du mobile, les systèmes sont souvent devenus très hétérogènes. "La phase de découverte des données est parfois perçue comme un risque mais c'est avant tout une façon de revisiter son architecture autour de la donnée client et de la donnée sensible. Ce travail peut devenir un avantage concurrentiel pour les entreprises européennes qui sauront se donner une image vertueuse par rapport à d'autres entreprises internationales", fait valoir Franck Hourdin, vice-président cybersecurité EMEA d'Oracle. Les informations-clés des clients et utilisateurs devront être centralisées dans un espace dédié.
Le RGPD remonte le niveau de contrôle entre les activités, les marques, les pays... De plus en plus de données étant stockées en dehors d'un contrôle central, cela complique sensiblement leur réconciliation. "Certains ont fait du data master management pour leurs clients, mais le croisement avec les prospects n'a pas toujours été réalisé. Les données d'opt-in sont souvent localisées dans un système marketing inconnu de l'outil de gouvernance de la donnée. Une demande d'opt-out ne concerne pas forcément toutes les marques de l'entreprise", rappelle Jean-Michel Franco. Talend utilise le machine learning pour cartographier, consolider et harmoniser la donnée entre les différents systèmes de l'entreprise, ou la mettre en quarantaine le temps de procéder aux vérifications nécessaires.
Un nouveau métier a été créé par le RGPD: le data protection officer (DPO). Point de contact avec la CNIL, il est en charge du conseil, de l'audit interne, de la conduite du changement, de la veille technologique, tient le registre sur les pratiques de l'entreprise... Il doit bien connaître les textes juridiques et avoir une équipe capable de vérifier les bases de données, les pratiques de data marketing et les règles de purge. Très recherchés, les DPO se recrutent dans deux types de profils: des juristes et des spécialistes de la sécurité. Pour éviter les conflits d'intérêts, ce poste à temps plein ne peut toutefois pas revenir à la DSI ou à la direction marketing.
Bon nombre d'entre eux ont été nommés au premier semestre 2017 ou à la rentrée. De nombreux recrutements sont en cours. Si certains groupes ont choisi de nommer très tôt leur DPO pour avoir une vision globale des enjeux de la mise en conformité, d'autres retardent ce choix hautement politique pour impliquer davantage le comex dans la décision.
Les nouvelles règles n'obligeront pas forcément à réduire la voilure sur les datalakes, ces zones de stockage qui gèrent de gros volumes de données. "Le datalake restera une solution pertinente et plus agile que les outils historiques. Il faudra en revanche identifier la personne référente pour utiliser les données et définir le temps de leur conservation", explique Thibauld Vian, consultant senior digital et data chez Convertéo. Sur la durée de conservation, la non-conformité vient souvent de paramétrages par défaut des durées de rétention et du manque de clarté de gestion entre les différents métiers et entités dans l'entreprise...
Une relation client-marque plus équilibrée
L'une des priorités consiste à avoir une vision consolidée des consentements des clients pour mener les sollicitations marketing et commerciales. Dans la phase de collecte des données, les personnes concernées doivent disposer d'une information claire sur l'usage qui en sera fait, aisément accessible et sans case précochée. Toute absence de réponse est considérée comme un opt-out. Les données nécessaires au contrat (données de carte bancaire, adresse postale...) ou collectées à des fins légitimes (l'adresse e-mail lors de l'abonnement à une newsletter) échappent au consentement explicite. Il sera en revanche exigé pour le ciblage publicitaire, les publicités géolocalisées, l'établissement de scores... Les données personnelles masquées dans le système décisionnel pourront continuer à faire l'objet d'agrégations. Des pratiques plus vertueuses sont attendues sur le partage ou la vente de données.
Lire aussi : Le Centre d'appels Europe, nouvel arbitre pour les utilisateurs européens de Facebook, TikTok et YouTube
Le RGPD contient également un droit d'explication. "On a tendance à automatiser de plus en plus de process et les algorithmes amènent une sophistication qui doit pouvoir être maîtrisée. L'intention est saine, mais sa mise en oeuvre est loin d'être évidente compte tenu de l'emprise du machine learning sur les modes de décision", tempère Thibauld Vian. Les retailers devront sans doute être un peu plus regardants sur leurs algorithmes de recommandation... Autre nouveauté : la portabilité des données vers un service tiers, qui permet par exemple d'accéder directement à un statut privilégié lors du changement de prestataire.
Si l'abonné d'une compagnie aérienne justifie des vols déjà effectués durant les dernières années, il pourra par exemple accéder sans attendre au statut gold dans une nouvelle compagnie.
Les consommateurs consentiront d'autant plus à partager leurs données qu'ils s'inscriront dans une relation plus équilibrée avec les marques. Un gagnant-gagnant qui prendra davantage en compte le cycle de vie du client, proposera des sollicitations plus pertinentes et des leviers de récompense plus personnalisés. Afin d'éviter la surchauffe ou une indifférence des clients qui serait préjudiciable à la taille du fichier exploitable, les marques ont tout intérêt à débuter la collecte le plus tôt possible, avant mai pour celles qui seront prêtes.
Chrystel Galissie conseille de se concentrer sur les notions de canal utile ou de point de contact préféré: "Il faut surtout que les points de contact soient opérationnels. Il est donc préférable de ne pas demander le consentement sur tous les canaux en même temps."
À l'aube d'une nouvelle ère ?
Même si les sujets techniques mobilisent les énergies, le RGPD n'est pas qu'un projet informatique. "C'est davantage une question de conduite du changement dans l'entreprise avec un message plutôt rassurant sur la manière de faire un business éthique. Le temps d'adaptation n'est pas forcément confortable. En rebond, de belles opportunités ou de nouveaux business models arriveront très vite si les entreprises se montrent créatives et si les clients comprennent le bénéfice qu'ils peuvent en tirer. Le RGPD permet aussi de s'approcher du sans couture dont on parle depuis des années, grâce à des process qui simplifient les usages", affirme Yolande Garcia, responsable stratégie digitale expérience client et accompagnement GDPR chez Orange consulting.
L'agence Wide a constaté ces changements dès que les experts métiers ont été associés aux projets. "Les marques ont alors réfléchi à des questions de transparence et de coconstruction, à la manière de remettre l'éthique et leurs valeurs au centre d'une relation qui était devenue très mercantile, aux opportunités pour se différencier en personnalisant la relation", témoigne Chrystel Galissie. Le RGPD est aussi l'occasion de pousser des démarches de "privacy by design", qui intègrent la question de la protection des données dès qu'un projet se lance, voire de "privacy by default", qui offrent un maximum de protection aux utilisateurs. Ceux qui sauront s'emparer pleinement de ces sujets feront d'une contrainte une véritable opportunité pour changer leur culture d'entreprise.
Interview: Michael Bittan, associé responsable des activités cybersécurité chez Deloitte
Comment les marques ont-elles abordé l'entrée en vigueur du RGPD?
Les sociétés qui vendent sur Internet ou qui font du marketing digital se sont posé très tard la question de leur conformité par rapport au RGPD, pour la plupart à l'automne 2017. Elles ont peut-être pu penser qu'elles ne feraient pas partie des premières sociétés auditées, mais il ne semble pas que la CNIL puisse réaliser des distinctions entre les entreprises et les secteurs d'activité. Certains groupes ont réagi lorsque leurs sous-traitants les ont interrogés sur leur conformité au RGPD à l'occasion du renouvellement de leur contrat. Des univers très réglementés comme la banque ou l'assurance sont parmi les plus avancés. Dans le retail, presque personne ne sera pleinement en conformité le 25 mai... L'analyse des écarts à la conformité a tout de même diminué chez de nombreuses entreprises du secteur. Ceux qui seront proches de la conformité auront intérêt à le faire savoir car ce sera un avantage concurrentiel.
Quels sont les risques encourus en cas de non-conformité?
La pénalité de 2 % ou 4 % sur le chiffre d'affaires mondial de l'entreprise peut faire peur mais le plus gros risque réside dans les éventuelles fuites de données de sociétés qui ne seraient pas en conformité à la date prévue. Selon le type de données concernées, la responsabilité juridique du board ou du chef d'entreprise peut être engagée. Surtout, la réputation et le business de l'entreprise seront affectés. Dans une économie numérique de plus en plus large, un défaut de confiance peut avoir des conséquences majeures sur le chiffre d'affaires. On peut hésiter avant de créer un compte chez une entreprise qui a été piratée.
Et les avantages attendus?
Il faut profiter de la mise en place de règles de gouvernance sur le cycle de vie de la donnée pour engager une réflexion plus globale sur le sujet. Pour tous les secteurs, la donnée devient primordiale, même si ce n'était pas leur coeur de métier à l'origine. Dans l'automobile, la position du constructeur a évolué car la data fait partie du véhicule. Les concepts marketing autour de l'utilisation de la donnée font de plus en plus sens, comme dans l'assurance avec les contrats de type "pay as you drive", où le conducteur accepte d'être analysé.