eCRM - Cabestan
©
Cabestan
Livre Blanc
eCRM:
Collecter et exploiter
les données
prospects et clients
en toute légalité en
France
Introduction
La communication comportementale est une source
essentielle de revenus pour un large éventail
d’entreprises et elle est un facteur clé de croissance
et d’innovation de l’économique numérique.
On entend par communication comportementale, le
ciblage et la personnalisation d’une communication
de marque selon les données observées d’après
les comportements des prospects et clients dans le
temps.
La collecte et l’exploitation des données suscitent
de sérieuses inquiétudes quant à la protection de la
vie privée.
La technologie actuelle, toujours plus évolutive,
permet de tracer les internautes via différents
points de contact - sites web, mailing, emailing,
carte de fidélité, co registration… - et ce, à travers
le temps.
Se posent alors les questions de l’abus, de
l'intrusion dans la vie privée et de recul des libertés
individuelles.
Regardons plus précisément comment collecter et
exploiter des données sur les clients et prospects
tout en étant respectueux de la vie privée et de la
législation française en vigueur.
Les techniques de collecte des données
Il existe plusieurs moyens de collecter des
données:
Via un formulaire, une enquête, en s’inscrivant
à un réseau social, en participant à un jeu-
concours, en parrainant un ami, en achetant un
produit, ou même en face à face.
Via les offres partenaires
Dans ces cas de figures, les données sont
volontairement transmises par l’internaute et
permettent d’identifier directement ou
indirectement une personne physique. Ces
données correspondent généralement aux nom,
prénom, adresse email, numéro de téléphone,
date de naissance…et sont appelés données
personnelles.
Via l’utilisation de cookies traceurs, cookies
flash
Via le tracking de l’adresse IP
Le Search Engine Marketing consiste à
enregistrer et analyser les requêtes des
internautes sur les différents moteurs de
recherches comme Google, Bing ou Yahoo.
Le surf enregistre les déplacements de
l’internaute sur le web et étudie l’historique
de navigation.
Le clic sur bannière publicitaire.
Ici, les données sont collectées par les
annonceurs de manière anonyme.
Deux types de données émanent de ces
techniques : les données collectées de manière
anonyme et celles collectées de manière identifiée.
La CNIL, à l’heure de l’innovation
La CNIL, Commission
Nationale de l’Informatique
et des Libertés, est chargée de veiller au respect de
l'identité humaine, de la vie privée et des libertés
dans le monde numérique.
C’est donc cette commission qui décide de la loi à
appliquer quant à l’exploitation de la donnée client.
La capacité à comprendre et à anticiper les
développements technologiques est un défi majeur
pour la CNIL qui doit s’assurer que l’innovation est
compatible avec une protection efficace de la vie
privée.
La CNIL ne fait pas de différence entre la
communication comportementale - c’est-à-dire le
ciblage et la personnalisation d’une communication
d’une marque selon les comportements de ses
prospects et clients - et la publicité
comportementale – le ciblage et la personnalisation
d’une publicité selon le comportement d’un réseau.
Le cadre juridique reste, de nos jours, complexe et
flou.
Alors, quelle loi appliquer ?
Il n’existe aucune réponse juridique claire.
La CNIL distingue la donnée personnelle à la
donnée anonyme.
La donnée personnelle est soumise à la Loi
Informatique et Libertés du 6 janvier 1978.
« […] Constitue une donnée à caractère personnel
toute information relative à une personne physique
identifiée ou qui peut être identifiée, directement ou
indirectement, par référence à un numéro
d’identification ou à un ou plusieurs éléments qui lui
sont propres. »
Conformément à la loi du 6 janvier 1978,
l'internaute doit être clairement informé de l'identité
de la société qui collecte les données, des finalités,
du caractère des données à fournir, des
destinataires, de ses droits d'accès, de rectification
et d'opposition en indiquant le service auprès
duquel ils peuvent être exercés.
Cette information doit figurer sur le formulaire de
collecte ou, à défaut, se matérialiser par une charte
de protection des données personnelles sur le site.
Différence en B to B, ce consentement n'est pas
requis si le message est adressé à un professionnel
pour des produits liés à ses fonctions. Mais le
message doit être clairement identifié comme
commercial en indiquant le nom de l'entreprise
émettrice et comporter un lien permettant de se
désinscrire à tout moment, simplement et sans frais
- opt-out.
La donnée anonyme est soumise à la Directive
2002/58/CE « vie privée et communications
électroniques »
et à la Directive 95/46/CE « protection des
données personnelle ».
«
[…]
Votre adresse IP, les mots clés que vous avez
saisis pour trouver le site de réservation, les sites
que vous avez visités, votre destination, toutes ces
informations ont été analysées pour déterminer
quelle publicité pourrait vous intéresser. »
L'utilisation de cookies ou toute autre technique de
collecte anonyme, ainsi que les moyens de s'y
opposer doivent également être portés à la
connaissance de l'internaute.
Les envois de communications commerciales,
doivent être soumis au consentement préalable de
l'internaute - opt-in -, en lui faisant cocher une case
prévue à cet effet, sans que celle-ci soit pré
cochée.
Or la réalité prouve que le paramétrage des
navigateurs n’assure la manifestation d'un
consentement que dans des cas très restreints.
Il est donc demandé aux régies publicitaires de
mettre en place des mécanismes d’opt-in préalable.
Les pratiques des annonceurs
L’objectif des annonceurs est de constituer, à
travers le temps, des profils d’individus qui
rassemblent des comportements communs. Ces
profils serviront par la suite à diffuser des
communications ciblées et personnalisés selon
leurs centres d’intérêt.
Le surf, le search, le clic sur bannière, pris
indépendamment, amènent la collecte de données
à caractère anonyme.
Seulement, dans la réalité les faits sont différents.
De manière générale, le travail sur les données
anonymes est souvent un prérequis à la
mutualisation de données.
Dans les entreprises, les techniques de collecte
sont pratiquées conjointement. De manière à ce
que si on cumule ces techniques entre elles, les
données à caractère, à l’origine anonyme, peuvent
s’avérer identifiées ou identifiables.
Imaginons quelques exemples:
L’adresse IP permet de tracker les utilisateurs
d’un ordinateur donné.
Même si l’adresse IP permet d’identifier un
terminal, elle peut être considérée comme une
donnée identifiée, même si derrière cette
adresse IP il peut y avoir plusieurs personnes
physiques.
Dans la réalité, seule le Fournisseur d’Accès
Internet peut connaître l’identité qui se cache
derrière l’adresse IP.
Les cookies sont utilisés pour tracer et
mémoriser les habitudes de navigation d’un
ordinateur et proposer des actions marketing
selon les cookies présents dans le navigateur
de l’utilisateur. Or, un même ordinateur peut
être utilisé par plusieurs internautes.
La technique du surf entraîne, à elle seule, la
collecte de données anonymes. Mais dès lors
qu’elle est rapprochée d’un identifiant de cookie
traceur, la donnée anonyme devient une
donnée identifiée.
De ce fait, la frontière entre la donnée anonyme et
identifiée est parfois très mince.
L’exploitation de la donnée dans le cadre
de la communication par Email
Il faut encadrer le rapprochement de données
anonymes avec des données personnelles
identifiées.
Il convient de préciser que le traitement mettant
en œuvre des données comportementales pour
adresser des communications ciblées à un
prospect est donc soumis aux dispositions de
la loi Informatique et Libertés du 6 janvier 1978.
Ces rapprochements doivent être faits en toute
transparence vis-à-vis du prospect ou client, lequel
doit aussi pouvoir s'y opposer à tout moment et
simplement.
Enfin la plus grande précaution s'impose lorsque
les informations rapprochées émanent d'un tiers.
En effet, il ne semble pas souhaitable que les
informations de navigation d'un tiers collecteur
puissent être rapprochées des données
personnelles d'un internaute sans son
consentement préalable.
La durée de vie des données personnelles
Les données ne doivent pas être conservées au-
delà de la durée de gestion de la relation
commerciale ou tout au plus de la prescription du
contrat.
Certaines données, telles que les références
bancaires doivent, en principe, être effacées dès la
fin de la transaction. Des conditions de sécurité
techniques et organisationnelles doivent être mises
en œuvre pour protéger les données et éviter leur
utilisation non autorisée ou leur altération.
Les sanctions encourues
Il est impératif de respecter la réglementation en la
matière sous peine de sanction pénale et
d'emprisonnement.
Lorsque des manquements à la loi sont portés à la
CNIL, celle-ci peut prononcer plusieurs type de
sanctions : un avertissement qui peut être rendu
public, une mise en demeure de 10 jours à 3 mois,
une sanction pécuniaire pouvant aller jusqu’à
300 000 € et pouvant également être rendu public.
Vers un cadre juridique contraignant ?
Le prochain G8 réunira les principaux acteurs
mondiaux de l’Internet en mai 2011 et permettra de
franchir une étape décisive dans la protection de la
vie privée face au développement des technologies
du numérique et éclairerait le rôle déterminant que
la France joue en la matière.
L'objectif est d'adopter un instrument juridique
international harmonisant la protection de la vie
privée et ayant un cadre juridique clair.
Pour toute information http://www.cnil.fr/
6
1
/
6
100%
