En France, la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés posait déjà les bases de la protection des données personnelles. Le GDPR vient renforcer cette protection notamment par la généralisation et l’homogénéisation des mêmes règles à tous les pays de l'Union européenne et par le principe de responsabilité ou accountability, obligation de prouver à tout moment la mise en conformité.
Le GDPR s’applique à toutes les entreprises et organismes publics, leurs sous-traitants et partenaires qui collectent, traitent ou stockent des données personnelles des résidents européens.
Les retailers, accros aux données clients
La collecte, le traitement et le stockage des données personnelles de leurs prospects et de leurs clients est au cœur des pratiques des retailers depuis des années déjà :
- Analyse statistique des parcours digitaux,
- ouverture de compte client en ligne,
- abonnement aux newsletters de la marque et de celles des partenaires ,
- en magasin, souscription à la carte de fidélité, temps d’attente et de parcours, endroits transités, zone chaude et zone froide,
- mémorisation des produits achetés, de la fréquence d’achat, du montant du panier,
- utilisation ici et là de codes promos,
- mise en place de jeu concours permettant de collecter des informations de prospects…
Le volume et la diversité des données collectées dans ce secteur d’activité sont pléthoriques.
Cette utilisation intensive de la donnée est devenue un enjeu stratégique pour les retailers.
Par la connaissance approfondie des usages de leurs clients, basée sur des données réelles, ils identifient les leviers d’amélioration de leur business.
L’augmentation du chiffre d’affaires, l’optimisation de l’offre produit ou service, l’adaptation des horaires d’ouverture, le positionnement concurrentiel, les modèles prédictifs pour pousser du cross et de l’upselling et limiter le churn ne s’envisagent plus sans collecter et traiter les données clients.
Peut-on faire l’autruche face au GDPR ?
Le retail, du fait de ses pratiques data, est fortement impacté par le GDPR. C’est une évidence. Devant l’ampleur de la tâche, la procrastination voire même le déni pourraient apparaître comme des hypothèses viables. Mais ne pas se mettre en conformité serait prendre un vrai risque en termes d’image et de sanctions financières (jusqu’à 4% du chiffre d’affaires annuel mondial).
Prendre le taureau par les cornes se révèle, en revanche, être une réelle opportunité car elle induit de se poser des questions essentielles sur la relation retailer-client, notamment sur le discernement et l’acceptabilité dans les usages, la qualité et l’efficacité des résultats.
Le GDPR : concrètement quels sont les impacts ?
Les incidences de la mise en conformité (inventaire, études d’impacts et mesures correctives) seront d’autant plus importantes en termes d’investissements financiers et de moyens humains qu’elle sera appréhendée tardivement. Pour les retailers qui n’ont pas encore abordé leur mise en conformité, il y a urgence à commencer par la mise en place d’une gouvernance et d’une roadmap.
Les adaptations sont basées essentiellement sur deux principes : redonner le pouvoir au client sur ses données et sécuriser-renforcer la confidentialité des données clients. Une revue détaillée des parcours et des process on et offline s’impose donc.
A chaque étape de collecte-traitement-stockage d’une donnée personnelle, il convient de se poser les bonnes questions :
- Les formats d’informations et de consentements sont-ils explicites et éclairés (texte information, opt-in, contrat…) ?
- La collecte des données est-elle minimisée aux seules informations indispensables ?
- Les clients disposent-ils de process ou de fonctionnalité leur permettant d’exercer leurs droits (accès, rectification, opposition, suppression) dans les délais imposés par le GDPR ?
- Les données d’analyse marketing et des modèles prédictifs sont-elles correctement pseudonymisées, anonymisées ou chiffrées ?
- Les contrats des sous-traitants et leurs process garantissent-ils la sécurité des données de mes clients ?
Sur la base de cette analyse, les adaptations sont à prioriser et à réaliser en fonction des risques et de la faisabilité technique.
Le GDPR n’empêche donc en rien les retailers d’utiliser les data clients pour gérer leur business au quotidien. Il leur faut cependant accepter que :
- les clients puissent revenir sur leurs consentements initiaux,
- la granularité des analyses soient plus macro,
- la coresponsabilité avec leurs sous-traitants soit exercée contractuellement…
Vers un nouveau modèle ?
La satisfaction clients revient au cœur du modèle, sur deux leviers :
- donner aux clients le contrôle de leurs données, c'est leur permettre de tester l'éthique et la transparence du retailer et, ce faisant, renforcer la relation de confiance ;
- Justifier la collecte de données, avec le consentement des clients, dans la mesure où elle contribue à améliorer la connaissance de leurs usages-besoins pour leur proposer une expérience personnalisée et incomparable.
Les retailers doivent donc intégrer ces deux axes dans leur modèle de développement business et innover. Dès lors, au jeu de l'offre et de la demande, une question se pose : pour quelle valeur ajoutée de service ou de produit et pour quel niveau de personnalisation, le client acceptera-t-il de confier ses données ? Elle doit amener les retailers à imaginer des offres et des services qui inciteront le client à accepter la collecte des données. Le modèle « gagnant-gagnant » est au cœur de cette nouvelle ère.
A court terme, le GDPR est perçue comme une ligne de coûts supplémentaires et comme un projet de conduite du changement dont les retours sur investissement n’apparaissent pas de façon évidente. Pour certains la tentation est forte de se mettre en conformité a minima. Ce serait prendre un risque en termes de sanctions financières et d’altération de l’image. Ce serait à moyen terme passer à côté d’une opportunité réelle. Car les retailers qui se mettront en ordre de marche les premiers ne manqueront pas d’en tirer les bénéfices auprès de leurs clients et vis-à-vis de la concurrence.
Yolande Garcia, manager
Stéphane Cantin, manager
Pour aller plus loin
Réinventer avec le numérique les expériences client et vendeur en magasin
Comment sécuriser vos contenus numériques
Comment concilier la protection des données privées et le développement du marché numérique en Europe ?
Je pilote des équipes digitales depuis plus de 20 ans autour de sujets passionnants : stratégie digitale, brand content, UX, expérience client, marketing digital, data... Chez Orange Consulting, je suis responsable de l’offre Privacy/GDPR et j’accompagne l’offre de Veille stratégique. Je suis aussi auteure transmédia, lauréate notamment de la Bourse SACD/Orange formats innovants.