Nous vivons dans un monde digital où chaque personne y laisse son empreinte. Les usagers reçoivent de plus en plus de publicités et d’offres promotionnelles ciblées. Les enseignes s’efforcent d’adapter leurs services et de personnaliser leur communication selon les différents profils de leurs clients. Pour se faire, les entreprises utilisent des solutions pour la collecte et le traitement des données personnelles.

Les données aux cœurs des stratégies

Aujourd’hui, les clients sont de plus en plus volatiles et n’hésitent pas à passer d’une enseigne à une autre. Pour se différencier et conserver leur position, les entreprises placent les clients au cœur de leur stratégie et s’adaptent en permanence à leurs besoins. Le traitement des données utilisateurs devient donc une nécessité, les données étant par elles-mêmes un actif pour l’entreprise.

Qu’impliquent les nouvelles lignes directrices du RGPD (Règlement Général sur la Protection des Données) ?

Plusieurs principes émanent de ce règlement à savoir celles de finalité, de transparence et du respect du droit des personnes. En d’autres termes, une organisation doit exposer un objectif légitime pour collecter des données à caractère personnel (finalité) et doit avertir les utilisateurs de la collecte et du partage des informations avec des tiers (transparence). Cela signifie également que l’utilisateur bénéficie du droit d’acceptation mais aussi d’opposition à la collecte de ses données. Il peut également demander la rectification et la suppression totale de celles-ci, ce qui n’était pas le cas jusqu’à présent.

De nouvelles opportunités avec le RGPD

Le RGPD donne un cadre quant à la façon de collecter les données mais également de les utiliser. Ces règles perçues par les entreprises comme contraignantes peuvent néanmoins devenir une opportunité de développement et un facteur différentiant. En effet, selon l’étude de l’agence Havas Paris 2018, 86% des Français sont prêts à payer plus cher pour une enseigne ou une marque qui fait preuve d’éthique dans la gestion de leurs données. Nombreux sont les moyens de collecter les données clients : les formulaires, les concours, les newsletters, les cartes fidélités et bien d’autres. Le but ultime pour une entreprise est donc de collecter des données qualifiées et de donner confiance à ses utilisateurs.

Les moyens pour collecter des données en toute légalité

Le consentement

Le concept central du RGPD est celui du consentement. L’adage « qui ne dit mot consent » n’est pas applicable dans le cadre du RGPD au sein de l’Union Européenne. Le RGPD prévoit, sauf exceptions mentionnées dans l’article 6 « Légalité du Traitement », que le consentement doit être explicite, sans présélection des données (pas de cases pré-cochées). Les pratiques en matière de recueil des données et de leur gestion ne sont bien souvent plus adaptées et doivent évoluer. Pour prouver que l’utilisateur a bien donné son accord, un processus de génération de certificat de consentement doit être mis en place.

Une fois le consentement validé et les données collectées, encore faut-il régulièrement s’assurer de la qualité et de la mise à jour de cette base de données. De même, l’entreprise doit pouvoir retrouver facilement la trace écrite du consentement de chaque utilisateur ainsi que son contexte (date, canal utilisé etc.).

Pour allier ces éléments, l’entreprise fait appel à un tiers de confiance. Ce tiers doit « certifier » le consentement mais également s’assurer que les données transmises sont sécurisées par l’utilisation de solution cryptographique. Par exemple, le cryptage chiffre les données sensibles avec l’utilisation de clefs modifiées régulièrement, stockées à distance et accessibles grâce à une connexion sécurisée. En somme, l’entreprise doit gérer la collecte de données comme un contrat sur lequel l’utilisateur appose sa signature.

Du point de vue utilisateur, il doit avoir la possibilité de gérer ses données au sein d’un portefeuille, c’est-à-dire avoir ses données centralisées par exemple au sein d’une application mobile. Le client accède rapidement à son historique de consentement, à ses données privées utilisées et aux traitements associés : il a le contrôle total de ses données.

Une fois les données capturées et agrégées, l'accent est mis sur leur transfert, leur utilisation, et leur stockage. L'une des solutions les plus prometteuses est l’anonymisation avec deux solutions :

La première solution appelée « Anonymisation » implique l'élimination de tous les identifiants personnels pouvant conduire à la véritable identité d'une personne physique. Il s'agit d'informations directes telles que nom et adresse, ou indirectes comme les achats effectués, les amis ou titre du poste. Les entreprises voulant éviter les violations de données ou les pénalités dérivées du RGPD peuvent externaliser les données personnelles chez un tiers. Ces données sécurisées et centralisées peuvent ainsi être analysées et utilisées pour du profilage : moyenne d’âge des clients, panier moyen etc.

La deuxième solution, la « Pseudonymisation », est une alternative, puisque l’identité de la personne n’est pas totalement supprimée. Le lien « données-personnes physiques » est remplacé par une clé. Cela permet d’externaliser le traitement des données, de les sécuriser, tout en gardant la capacité de retrouver le lien avec une personne physique post-traitement. Cette solution n’exempte pas les entreprises de la portée du RGPD, mais peut alléger certaines exigences telles que le consentement, le droit à l’oubli, la protection par la conception et la sécurité.

Afin de mettre en œuvre ces nouveaux processus, il est fortement recommandé aux organisations de s’adresser à des Entreprises de Services Numériques habilitées tiers de confiance par les autorités compétentes et agréées par la CNIL.