*GDPR en anglais
Que faites-vous de nos données ?
L’utilisation des données personnelles est un sujet sensible pour les clients et prospects, qui font preuve d’une exigence croissante envers les entreprises. Selon un sondage Wavestone de 2016 réalisé dans 6 pays, 68 % des citoyens interrogés considèrent n’avoir qu’un contrôle partiel sur leurs informations personnelles. La moitié pense que leurs informations sont utilisées dans d’autres buts que ceux pour lesquels ils ont donné leur consentement.
Au sein de l’Union européenne (UE), le constat est similaire : 96 % des Français souhaiteraient savoir quelles sont leurs informations personnelles détenues par les entreprises, et 99 % des personnes interrogées tous pays confondus ont indiqué qu’elles feraient supprimer leurs données personnelles si elles doutaient de l’utilisation qui en était faite par les entreprises.
Ces chiffres sont un véritable signal d’alerte pour les entreprises, car la donnée est le carburant de la relation qu’elles établissent avec leurs clients. Sa collecte, son traitement, son analyse et son stockage sont au cœur des pratiques liées à l’acte de vente et au support après-vente, en passant par la livraison et l’aide au financement. Une réglementation européenne est donc devenue indispensable pour augmenter le niveau de confiance des clients comme des prospects.
Objectif confiance
L’application des mesures du GDPR a comme premier avantage de redonner du pouvoir au client sur ses données, qui sont également plus sécurisées et confidentielles.
Ainsi, l’entreprise doit justifier que les données ont été obtenues de manière consentie et prouver qu’elles permettent d’améliorer l’expérience client. Elle doit aussi redonner à ce dernier le contrôle de ses données. L’étude menée par Pegasystems Inc montre d’ailleurs que 82 % des clients ont l’intention de faire valoir leurs nouveaux droits et de limiter le volume d’informations stockées et utilisées par les entreprises.
La confiance et la satisfaction des clients sont au cœur du nouveau business model induit par le GDPR. Les consommateurs sont prêts à communiquer des informations personnelles s’ils en tirent un bénéfice. Aux entreprises donc de déterminer sous quelles conditions les clients acceptent de confier leurs données, et de démontrer que celles-ci sont sources de valeur ajoutée. Comment ? Par exemple en permettant de mieux personnaliser les produits et services ou en facilitant les procédures de notification dans l’industrie – signalement et rappel de produits défectueux.
Autre avantage possible : réaliser des économies. Selon une étude KPMG réalisée entre avril et mai 2016, 57 % des consommateurs accepteraient de confier des renseignements sur la composition du foyer à un fournisseur d’énergie si cela permettait d’optimiser l’utilisation de leurs appareils électriques.
La garantie du consentement
Avec le GDPR, les clients doivent donc être informés de l’usage qui est fait de leurs données et leur consentement, être recueilli afin de pourvoir les exploiter. Un consentement qui doit être obtenu par l’entreprise, avec une preuve d’accord.
Concrètement, cela implique que l’entreprise devra généraliser certaines pratiques comme par exemple la diffusion d’un message d’information et le recueil du consentement du client via un contrat lors de l’ouverture d’un compte-utilisateur en ligne, ou encore le principe d’opt-in qui consiste à obtenir l’accord préalable du destinataire avant de lui adresser des newsletters ou d’autres mailings.
Lors d’un jeu concours, de la souscription à une carte de fidélité, d’un contact avec le SAV, le service dépannage, le service de livraison, ou d’une communication avec un chatbot, l’entreprise devra prouver que la collecte des données est limitée aux seules informations indispensables à l’objectif préalablement annoncé. Pour l’analyse statistique des parcours client à partir des commandes en ligne ou en magasin (produits achetés, fréquence d’achat, montant du panier etc), les données d’analyse et les modèles prédictifs associés devront être traités de manière anonyme.
Enfin, sur le web, les méthodes de retargeting seront à reconsidérer, de même que le démarchage « à l’aveugle », de type spamming, qui repose sur le croisement de fichiers ou l’achat de bases de données d’origine obscure.
Et en dehors de l’UE, que deviennent les données ?
Le GDPR octroie aussi le droit au client de récupérer les données qu’il a fournies sous une forme réutilisable, voire de les transférer à d’autres personnes ou organisations. Les responsables de traitement et autres Data Protection Officers devront s’assurer que les clients disposent de process ou de fonctionnalités leur permettant d’exercer leurs droits en ligne : portabilité, rectification, opposition et suppression.
Enfin, le transfert des données hors UE est plus fortement encadré, pour assurer un niveau de protection suffisant de la data. Les données transférées hors UE restent soumises au droit communautaire durant leur transfert, mais aussi ensuite lors du traitement. L’entreprise doit donc vérifier que de tels sous-traitants hors d’Europe garantissent contractuellement la sécurité des données et l’adhésion aux normes du GDPR.
Si le travail de mise en conformité constitue un chantier important (inventaires, études d’impacts, mise en place de mesures correctives…), cet effort s’avére bénéfique pour l’entreprise dans de nombreux domaines : la relation client notamment, mais aussi la R&D, le marketing, les Ressources Humaines… même la structure organisationnelle de la firme pourrait s’en trouver optimisée.