Concrètement, Inspire va permettre aux internautes d’acheter directement leurs produits au travers d’un flux personnalisé de vidéos et de photos.
(c) Amazon
Alors oui, on vous entend venir : pour l’instant, la fonctionnalité n’est disponible qu’en test aux Etats-Unis.
Mais si la sauce prend, Amazon entend bien le déployer à plus grande échelle.
Alors, faut-il se préparer psychologiquement à investir ce potentiel nouvel espace ?
Notre pronostic : avec des pincettes pour le moment.
Amazon est peut-être un mastodonte, mais le géant du Web a aussi eu tendance, historiquement, à multiplier les ratés en matière de lancements.
Autre géant, autre développement : Netflix a lancé son offre d’abonnement plus abordable avec publicités.
Sur le papier du moins, la possibilité de profiter de l’audience variée et captive de Netflix est prometteuse.Mais en attaquant avec un CPM de 60-65$, la plateforme a fait frémir les annonceurs.
TF1 permet d’investir dans des campagnes publicitaires à partir de 1000 euros.
Ce n’est bien sûr qu’un début :
“La pub TV est accessible à tous les budgets : dès 5 000€, vous pouvez acheter par exemple 3 semaines de campagne sur nos chaînes de télévision TNT (TMC, TFX, LCI…) et toucher 2 500 000 contacts (soit un CPM à 2€).”
Dès que nous aurons plus de retours, nous vous parlerons de Disney+ et autres joyeusetés des écosystèmes fermés où investir vos précieux euros d’acquisition.
Vous utilisez très certainement une CMP (Consentment Management Platform) pour gérer le consentement aux cookies des visiteurs de votre site Web.
Il existe des CMP gratuites et des CMP payantes (ou gratuites de base avec des options payantes). Dans tous les cas, leur objectif est de permettre aux éditeurs de sites de recueillir le consentement des utilisateurs afin d’exécuter ou non un certain nombre de fonctionnalités.
Le souci est que l’on s’est rendu compte ces derniers temps que toutes les CMP ne se valent pas… et que nos clients s’en aperçoivent souvent trop tard.
Aujourd’hui, faire appel à une CMP vise surtout à être capable d’historiser les consentements. En cas de contrôle de la CNIL, cette dernière va vérifier si l’éditeur du site est en possession de l’historique. Sans CMP, avec une approche “from scratch”, vous n’avez tout simplement pas cet historique (“léger” problème, n’est-ce pas ?).
Sur le papier donc, tout va bien, d’autant que les CMP permettent aussi le scan automatique des cookies pour les classer. Notez qu’il faut souvent repasser du temps dessus pour vérifier que tout est au bon endroit : il arrive que des cookies soient mal connectés.
Retour d’expérience : il arrive que notre module Marketing Studio ne reçoive pas la donnée car la solution d’exemption l’avait connectée sur un autre outil que le nôtre.
Quelle que soit la solution d’ailleurs, cela demande toujours une vérification régulière.
C’est un point à prendre en compte quand vous évaluez la pertinence de X ou Y CMP pour votre site (gratuite ? freemium ? payante ? pour quel forfait ?). Beaucoup de solutions ne comprennent pas d’accompagnement , hors mails à un service support. Or un account manager est souvent nécessaire.
Et côté budget ?
Certaines CMP facturent en fonction du nombre de domaines ou du nombre de visiteurs uniques.
ex One Trust : par ndd
Didomi : trafic
Du côté des outils disponibles gratuitement (Axeptio, Tarte au Citron…), la bannière permet rarement de personnaliser le contenu, l’emplacement, l’image… cela peut poser un souci du côté de la marque (brand), mais aussi de la conversion. Le but est d’augmenter le taux de consentement en personnalisant un maximum !
Sirdata se détache par son modèle particulier : la CMP est mise à disposition gratuitement, mais en contrepartie votre audience peut être revendue / retargetée sur d’autres sites.
Quid des statistiques ?
Le nerf de la guerre pour optimiser sa conversion ! Là encore, les limites sont souvent fortes ou les chiffres biaisés. Pourquoi ?
Vous allez par exemple avoir accès à un graphe qui vous livre le taux de consentement, mais ces chiffres ont tendance à rendre ce taux cumulable.
Ex : jour 1, X personnes ne consentent pas
jour 2 : Y personnes ne consentent pas
Les chiffres se cumulent et au bout d’une période donnée, un vrai écart se creuse. Vous risquez d’obtenir des personnes qui achètent à J+4 alors que le refus a eu lieu le 1er jour.
Cela impacte directement les annonceurs : “je ne comprends pas, j’ai 30% de non consentement et 50% des cas entre GA et mon back-office”
Oui, il y a un problème quelque part.
En réalité, vous avez dans ce cas un taux moyen de 20% de personnes à instant T qui n’ont peut être pas acheté ou achèteront plus tard. Il n’est pas fiable de comparer des transactions sur un mois et un taux de consentement à instant T.
On revient au problème d’écart de données entre le BO et GA.
Ce qu’il faut retenir de tout cela :
à ce stade les CMP sont surtout utilisées pour être en règle vis-à-vis de la CNIL
en tant que responsable acquisition, il est important de pouvoir évaluer la capacité à pouvoir poser des questions à quelqu’un du côté de la CMP, à trouver les bonnes informations sur la plateforme, à comprendre ce que les chiffres impactent et ne pas s’en tenir à “j’ai 80% de consentement”
la personnalisation du design peut profondément impacter le taux de conversion (consentement)
les analyses du consentement sont nécessaires pour identifier la part de trafic perdue et prendre les décisions nécessaires… à condition d’opter pour des études sur 6 mois plutôt que sur 1 mois
La bonne nouvelle, c’est que l’on a 1 an d’historique désormais, ce qui rend les choses beaucoup plus fiables qu’au tout début.
Nous vous conseillons aussi de ne pas forcément prendre de plateforme gratuite. Optez par exemple pour Didomi ou OneTrust.
Marketing Studio 360° évolue avec cette nouvelle fonctionnalité qui devrait vous plaire : la détection automatique de la bonne ou mauvaise performance de vos leviers.
Chaque semaine, vous pouvez désormais visualiser les campagnes qui sous performent ou cartonnent, en mode auto-pilote complet !
Performer ou sous-performer repose sur 2 variables fondamentales :
L’adéquation du rôle attendu du levier dans le chemin de conversion et de son rôle réel.
L’apport de la typologie de clients souhaitée vs la typologie de clients réellement apportée (Nouveaux/ Anciens clients)
Les + pour vous :
des infos directement disponibles sur votre dashboard Marketing Studio et votre Daily Mail
un monitoring pour chaque campagne
Optimiser cette dimension, c’est réaliser en moyenne 20% d’économie sur l’utilisation de vos budgets CPC et 5% de CA incrémental.
Prochaine étape
Déjà client Marketing Studio ? RDV sur la plateforme.
Si vous n’êtes pas utilisateur et souhaitez en savoir plus sur la solution, prenez rdv avec Marie-Lou ci-dessous :
RGPD et Webanalytics est un sujet délicat. Le Règlement Général sur la Protection des données (RGPD) est entré en vigueur le 25 mai 2018. S’il impacte la grande majorité des sites Web dans leur manière d’informer, de récolter et de traiter les données sur leurs utilisateurs, le domaine du web analytics est particulièrement sensible. Etes-vous en conformité ? Quelques pistes de réflexion pour le savoir et les initiatives à prendre, sous Google Analytics notamment.
RGPD et webanalytics : les grandes problématiques
Se mettre en conformité avec le RGPD implique bien plus que quelques modifications de la bannière d’acceptation des cookies ou du texte existant sur le recueil et la protection des données.
Dans les faits, toutes les données à caractère personnel sont concernées, ce qui signifie que les outils et systèmes déployés en interne doivent aussi être adaptés. Comment recueillir le consentement ? Organiser la portabilité des données, les droits d’accès, d’opposition, d’oubli, de rectification… ? Comment sécuriser ces données? Sur de nombreux points, les exigences ne sont pas nouvelles et relèvent plus du rappel. Mais le RGPD va plus loin sur de nombreux points et il importe d’y être bien préparé.
En matière de webanalytique, rappelons que ce n’est pas parce qu’une personne ne donne pas explicitement son consentement qu’on ne peut pas collecter des données Google Analytics (ou autre). Le règlement porte en effet sur les données personnelles, c’est-à-dire celles qui peuvent permettre d’identifier une personne, y compris de manière indirecte.
La partie webanalytics doit donc être paramétrée pour que le croisement de certaines données (formulaires, dates, champs variés) ne puisse pas, justement, apposer un nom ou une identification sur le profil d’un visiteur anonyme qui n’a pas clairement donné son accord.
En général, le traitement des données sur les sites Web viennent des formulaires de contact, abonnements par e-mails, etc. d’une part (informations demandées par le site puis soumises par l’utilisateur) et, d’autre part, des données obtenues via le tracking des visites et les cookies déposés.
4 étapes de mise en conformité au niveau de Google Analytics
Bien que Google Analytics ne soit ni la seule solution de webanalytique disponible, ni le seul dispositif qui doive être paramétré pour s’adapter au RGPD, il s’agit d’un passage obligatoire pour les sites qui y ont recours.
La data récoltée autour du profil d’un visiteur unique touche directement à la question des données personnelles, même si cela peut ne pas être le cas lorsque le tracking n’assure pas une granularité précise.
Si vous gérez un compte GA, vous avez d’ailleurs dû voir le fameux message “ [Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) ».
Plusieurs actions doivent être mises en oeuvre (si ce n’est pas encore fait) :
Etape 1 : accepter les modifications (DPA)
Pour valider le Data Processing Amendment (DPA), suivre le chemin Administration > Paramètres du compte > Consulter la modification.
Qu’est-ce que cela change pour vous? Plusieurs choses, dont le fait que vous êtes responsable du fait de ne pas transmettre de données personnelles considérées sensibles à GA.
Etape 2 : déclarer les administrateurs des données de votre entreprise
Au même niveau que la capture d’écran ci-dessus, il suffit de cliquer sur “gérer les détails du DPA” pour renseigner les informations juridiques demandées. A noter qu’une même personne peut être indiquée plusieurs fois :
Etape 3 : valider la durée de temps de rétention des données
Avec le RGPD, la conservation des données liées à un utilisateur doit se voir attribuer une durée maximale. Google la place par défaut à 26 mois. Vous pouvez ajuster en fonction de la politique de votre entreprise. Cela veut dire concrètement qu’un utilisateur qui ne vient pas sur votre site pendant tout ce temps verra une grosse partie des données qui le concernent être supprimée de vos rapports.
Le site de la Commission Européenne précise que “les données doivent être conservées pendant le plus court délai possible. Cette période devrait bien sûr tenir compte des raisons pour lesquelles votre entreprise/organisation doit traiter les données ainsi que des obligations juridiques qui vous imposent de garder les données pendant une période déterminée (…)Votre entreprise/organisation devrait fixer des délais pour effacer ou examiner les données conservées.”
Etape 4 : mettre à jour les Conditions Générales d’Utilisation si la publicité est active sur le site
Dans Paramètres de la propriété, si les fonctionnalités publicitaires sont activées, il est important de bien informer les visiteurs et de leur préciser qu’ils peuvent désactiver ce tracking GA via cet outil.
Les bonnes questions à se poser pour évaluer votre conformité au RGPD
Elles sont de plusieurs ordres :
Avez-vous le droit de transférer ou de traiter des données avec des données tierces ?
Avez-vous communiqué les bonnes informations aux internautes ?
Avez-vous toujours besoin du consentement d’un utilisateur ?
Savez-vous réellement ce que vous pouvez faire de vos données analytiques ? Transfert, import, export, fusion…
Quelles sont vos responsabilités ?
Quelles sont les responsabilités de votre fournisseur de web analytique ?…
Pour ce qui est de la question du consentement, ce dernier est obligatoire si les données collectées sont sensibles et/ou accessoires, au sens où elles ne répondent pas à un besoin défini comme fondamental dès le départ.
En matière de cookies, il est important de respecter la législation nationale en vigueur (les bandeaux notamment, pour obtenir un consentement explicite de déposer le cookie). Le cookie doit être basé sur un choix véritable de l’utilisateur, qui doit être facilement capable de désactiver tous les cookies qu’il souhaite, à l’exception de ceux qui sont vraiment nécessaires, tout en étant en mesure de continuer sa navigation sur le site.
Voici par exemple ce que propose le site de Marriott Hotels lors d’une première visite (en pop up) :
(c) Marriott International
Ensuite, ce même utilisateur doit pouvoir modifier les cookies et paramètres liés quand il le souhaite, qu’il s’agisse de les accepter ou de les rejeter. Sur le même site toujours, il suffit de cliquer sur “Préférences de suivi” dans le menu du footer pour accéder à des informations claires et facilement gérables par le visiteur :
(c) Marriott International
N’oubliez pas non plus de bien organiser le stockage du consentement donné.
Vous l’avez sûrement déjà constaté en navigant vous-même sur différents sites : les informations que l’on vous donne varient d’un acteur du Web à l’autre. Dans le cadre webanalytics, il faudra notamment détailler aux utilisateurs finaux quelles données personnelles vont être recueillies, ce à quoi elles vont servir, de quelles manières elles vont être utilisées, et si le stockage ou le traitement est effectué hors de l’Union Européenne.
Avec toujours ce même mot d’ordre : être clair, simple et compréhensible, ce qui implique que ces informations ne doivent pas être noyées au fond des conditions d’utilisation d’un site Internet. Ces instructions doivent aussi expliquer clairement comment l’utilisateur peut accepter ou sortir des données collectées sur lui.
Conclusion : RGPD et webanalytics vont de paire
Au final, le RGPD en est encore à ses débuts, ce qui signifie que des évolutions et précisions sont encore à attendre dans les mois qui arrivent. C’est en tout cas une excellente base pour mettre en confiance les internautes et construire de nouvelles relations entre les enseignes et entités actives sur le Web et les utilisateurs finaux.
La déduplication en ecommerce est essentiel pour optimiser vos coûts d’acquisition.
Comment acquérir une excellente visibilité du cycle d’achat de vos clients et évaluer précisément le poids de chacun des canaux de votre mix-marketing ? C’est le défi des e-commerçants qui doivent optimiser leurs budgets de campagnes tout en trouvant la rémunération la plus adaptée à la performance de chaque levier.
Quel rôle joue la déduplication dans ce contexte ? Et pourquoi ne pas la confondre avec l’attribution? C’est ce que nous allons voir dans cet article.
La déduplication en ecommerce, qu’est-ce que c’est ?
Le principe
La déduplication en ecommerce consiste à mesurer et attribuer une conversion à un seul canal ou partenaire marketing. Cela signifie qu’elle conditionne la rémunération des canaux d’acquisition à la performance (CPA), en fonction de règles précises et selon un arbitrage basé sur des schémas avancés de contribution des canaux.
Elle peut être réalisée en temps réel ou après la conversion, prendre en compte tout ou partie des canaux, rémunérer certains leviers et d’autres non : son mécanisme et ses logiques de contribution peuvent donc être très complexes, en fonction de l’annonceur et de ses besoins.
La déduplication peut être inter-levier (elle conditionne la rémunération d’un canal au sein d’un parcours multi-leviers) ou intra-levier (elle ne rémunère qu’un seul canal pour une même conversion).
Les 2 grands modèles de déduplication
(c) Wikimedia Commons, Speculos
Comment mettre en place une stratégie de déduplication ? D’abord en organisant le suivi des conversions, via le tracking par cookies mais aussi les solutions d’affiliation.
Ensuite, chaque annonceur va devoir déterminer son modèle de déduplication en fonction de ses priorités et des outils à disposition. La stratégie d’investissement en ligne doit alors être en accord avec les objectifs fixés pour chacun des canaux : trafic et vente, bien sûr, mais aussi acquisition, réactivation et fidélisation de clients.
De là vont découler les choix du modèle d’attribution le plus approprié pour l’entreprise.
Modèles d’attribution : la déduplication peut attribuer la conversion au dernier clic (le dernier canal est rémunéré), au premier clic (généralement pour récompenser le canal qui a généré le prospect), ou encore au premier contact (le 1er canal qui a suscité de l’engagement).
Modèles de contribution : dans ce modèle, chaque levier impliqué dans le chemin de conversion est rémunéré de manière équitable (contribution linéaire), ou en fonction de sa position dans le canal (contribution linéaire pondérée).
Pourquoi choisir la déduplication en ecommerce ?
Pour l’annonceur, la déduplication permet de rémunérer un seul canal marketing plutôt qu’une multitude d’intermédiaires en cas de lead ou de vente.
Au-delà de l’aspect financier, c’est aussi une manière d’y voir plus clair, en adoptant une approche qui conditionne précisément la rémunération d’un canal au sein d’un parcours d’achat souvent complexe et multi-leviers.
Avec la multiplication des acteurs cherchant tous à déposer leurs cookies au plus près de la vente (sites de couponing, retargeting, etc.), une certaine vampirisation a eu lieu dans de nombreux secteurs. Pour l’annonceur, c’est un moyen de savoir hiérarchiser, voire dé-prioriser les intermédiaires.
Les problèmes que peut poser cette approche
Choisir de ne rémunérer qu’un seul maillon de la chaîne (que ce soit au premier clic, au dernier clic ou selon tout autre critère arrêté par l’annonceur) peut envoyer un signal négatif aux autres apporteurs d’affaires qui ont contribué au parcours du clients jusqu’à l’achat final (affilié, site de cashback, code promo, blog, etc.). Cela peut se retourner contre l’annonceur si une partie de son réseau prescripteur se tourne vers des concurrents qui ne fait pas “sauter” une majorité de leurs commissions.
La déduplication peut également contribuer à une vision partiellement erronée du ROI des différents canaux marketing qui drainent des ventes et leads tout au long de l’année.
La question est finalement toujours la même : quelle est la vraie valeur incrémentale apportée par chaque canal marketing, et comment la rémunérer à sa juste valeur ?
Les différences entre déduplication et attribution
L’attribution est une méthode d’analyse de la performance des différents canaux marketing.
Elle va pondérer le rôle des différents canaux marketing ayant directement ou indirectement contribué à la réalisation d’un objectif de conversion. En d’autres termes : elle permet d’attribuer à chaque conversion à un ou plusieurs canaux, ce que permet d’ailleurs un paramétrage fin de Google Analytics.
C’est une méthode très répandue en e-commerce, car il est de plus en plus rare qu’un internaute n’ait pas suivi un parcours d’achat complexe, qui allie clics sur des publicités, landing pages référencées organiquement, sites d’avis, comparateurs de prix, retargeting ou encore sites de codes promotionnels.
Entre emailing, search, display, comparateurs de prix ou encore canaux d’affiliation, la question de la rémunération de la performance des différents canaux engagés concerne plus de 50% des ventes. S’en passer est délicat, car cela revient à sur-estimer certains canaux (notamment en fin de parcours) et, à l’inverse, sous-estimer d’autres partenaires.
Il existe 3 grands modèles d’attribution à l’heure actuelle.
Le modèle constant : à chaque visite est attribué le même poids;
Le modèle “Time Decay” : les dernières visites ont plus de poids;
Le modèle parabolique : les premières et dernières visites sont favorisées;
Parallèlement au choix du modèle, la question de la fenêtre d’attribution doit être précisément définie, tout comme les règles d’attribution qui vont encadrer la rémunération et l’évaluation de la performance de chaque canal.
S’il n’existe pas de modèle d’attribution parfait, il est possible de s’approcher d’un modèle qui répond un maximum aux spécificités et besoins d’un annonceur. Des éléments comme l’existence ou non d’un réseau de vente physique, le type de produits vendus, la notoriété de l’annonceur ou encore le temps nécessaire au processus de conversion sont autant de facteurs à prendre en compte.
Dans tous les cas, il est important d’examiner chaque interaction dans le détail, afin de pouvoir évaluer la qualité de la visite. Un autre point important est de bien mettre en place le tracking de ses différents canaux, comme les campagnes SEM et d’affiliation. Sans données fiables, il devient très difficile de mesurer le la rentabilité des leviers marketing.
L’attribution permet d’analyser les performances et d’obtenir des indicateurs précis pour prendre les bonnes décisions. Quels canaux sont les plus rentables ? Comment optimiser le mix-marketing ? Y a-t-il cannibalisation entre certains leviers ? Etc.
Les éléments clés d’une stratégie de déduplication en ecommerce réussie
Pour réussir l’implémentation d’une stratégie en limitant les risques, plusieurs axes de travail doivent être réalisés :
Etablissement d’une vision claire des partenaires et de leur fonctionnement
Création d’une liste précise des objectifs de la déduplication
Définition des KPI à suivre
Estimation des coûts de déploiement et de follow-up
Vérification des ressources et compétences disponibles
Choix d’un outil qui permet de bien suivre sa stratégie de déduplication
Communication en toute transparence auprès des partenaires impliqués (affiliés, etc.)
Mise en place d’un vrai système de détection des fraudes
Au final, la déduplication en ecommerce tend de plus en plus à non seulement optimiser les investissements en ligne, mais aussi à prendre de meilleures décisions en matière de marketing. De la recherche de la bonne rémunération à de meilleures performances en passant par la possibilité de réellement piloter par la data, ces questions de déduplication et d’attribution doivent être au coeur de la réflexion d’un e-commerçant aujourd’hui… quel que soit le modèle retenu au final, puisqu’aucun ne fait encore l’unanimité !
Notre solution Elitrack, véritable Trafic Manager Assistant, mesure l’impacte de chaque levier dans la chaîne de conversion et identifie les fraudes publicitaires.
N’hésitez pas à demander une démo de notre solution dès maintenant !
Il est sur toutes les lèvres et approche à grands pas : le 25 mai 2018, les entreprises et organismes privés ou publics qui récoltent et utilisent des données personnelles sur les ressortissants européens devront être prêts à respecter le RGDP, le Règlement Européen sur la protection des Données Personnelles (ou GDPR, General Data Protection Regulation en anglais).
De quoi s’agit-il exactement ? A l’heure actuelle, le RGDP représente le dispositif légal de protection des données le plus avancé au monde. Il vise notamment à augmenter la protection des personnes physiques par rapport au traitement de leurs données personnelles dans tous les Etats membres. Vous pouvez consulter son texte intégral ici.
Le règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 vise trois grands objectifs :
Renforcer les droits des personnes via un meilleur contrôle de leurs données;
Crédibiliser la régulation (sanctions renforcées, coopération étroite entre les différentes autorités de protection des données…);
Responsabiliser les acteurs en charge des données, y compris les sous-traitants;
Votre entreprise est-elle concernée ?
Oui, si vous collectez, exploitez ou encore stockez des données sur vos utilisateurs, prospects, clients, visiteurs… et plus précisément sur toute personne physique située dans l’Union Européenne, sans tenir compte du lieu de traitement des données en question, ni du caractère uniquement digital de leur récolte (un fichier Excel rempli à la main compte aussi…).
Cela va du fichier client traditionnel à la gestion de votre newsletter en passant par les comptes clients (e-commerce par exemple), le tracking des sessions, l’utilisation des données pour le retargeting… ainsi qu’à vos activités si une société vous sous-traite ces missions !
En d’autres termes : peu d’entreprises peuvent affirmer ne pas entrer dans le cadre de ce règlement RGDP. Des sanctions allant jusqu’à 4% du chiffre d’affaire ou 20 000 000€ pourront être imposées en cas de non-respect des dispositions.
Les principes clefs du RGDP (et les dispositifs qui en découlent)
Le RGDP va plus loin que le cadre législatif actuel et prévoit notamment d’assurer les principes suivants :
Le droit à l’oubli : on en parle depuis des années, mais le règlement vient acter qu’il doit être facile pour une personne de demander à disparaître des bases des entreprises qui disposent de leurs données personnelles. Cela inclut aussi les commentaires déposés sur les sites Internet, la suppression d’un profil ou d’un contenu particulier.
Le droit à la portabilité des données personnelles : le Règlement Européen sur la protection des Données Personnelles prévoit qu’une personne puisse récupérer les données la concernant sous une forme facile à réutiliser et/ou à transférer à un tiers (par exemple, d’un éditeur de site Web à un autre éditeur de site Web, le transfert pouvant également être prévu de site à site directement). L’idée derrière ce nouveau droit est de redonner aux ressortissants européens du contrôle sur leurs données personnelles. Le transfert des données personnelles peut être particulièrement utile dans le cas d’un changement de prestataire : opérateur téléphonique, commerçant, banque…
Un langage clair et transparent : l’idée n’est plus d’enterrer les explications et options à destination des utilisateurs dans les méandres d’une page de conditions d’utilisation dont le lien est tout petit en bas d’un site Web. Le RGDP insiste sur la transparence et l’utilisation d’un langage clair visant à assurer une vraie compréhension des utilisateurs et le consentement ou non qui découle de la récolte et de l’utilisation de leurs données.
Le concept de Privacy by Design : la protection des données doit être prévue en amont, dès la conception du service ou produit, et par défaut. Le principe de “minimisation” s’applique aussi, afin de limiter dès le départ les données personnelles récoltées et traitées au minimum nécessaire. La sécurité des données doit être également pensée au moment de la conception du projet, produit ou service.
Le consentement “éclairé” : le RGDP encadre bien la notion de consentement. Chaque utilisateur doit être informé de l’usage de ses données personnelles et doit pouvoir donner son accord ou s’opposer au traitement qui en est fait. Nous sommes là dans une vraie démarche d’optin volontaire, avec par exemple la validation via un bouton. Notez aussi que la “charge de la preuve du consentement incombe au responsable de traitement” (source : CNIL) et que des règles spécifiques ont été prévues pour les enfants.
Un système de notification en cas de violation des données et de failles de sécurité. Cette notification s’applique aux personnes concernées, mais aussi aux autorités.
La possibilité de limitation du traitement des données : chaque personne doit pouvoir, si elle le souhaite, limiter l’utilisation qui est faite de ses données.
La réalisation d’études d’impact sur la vie privée (EIVP)
6 étapes pour bien préparer votre entreprise au RGDP
Votre société gère des volumes importants de données personnelles ? Vous analysez le comportement d’un grand nombre de clients et prospects ?
Dans ce cas, vous devrez désigner un DPO, Data Protection Officer, ou Délégué à la Protection des Données en français. Ce dernier pourra être nommé en interne ou en externe et a pour mission de veiller au respect du règlement par l’organisme ou l’entreprise. Il lui reviendra par exemple d’échanger avec les sous-traitants et l’autorité de contrôle de son territoire.
D’autres étapes sont nécessaires à la bonne implémentation du RGDP dans votre entreprise :la tenue d’un registre des traitements, des analyses d’impact, des évaluations de risques avant chaque nouveau lancement de service ou de produit par exemple, ou encore la capacité à fournir les preuves du respect des exigences.
Etape 1 : Désigner un pilote (le DPO ou, d’ici mai 2018, un responsable dédié à ces thématiques)
Etape 2 : Cartographier les traitements de données personnelles que votre société effectue
Etape 3 : Prioriser les actions. En matière de protection des droits et libertés des personnes, quelles sont les initiatives à prendre en priorité pour vous assurer que vous respectez le RGDP ?
Etape 4 : Gérer les risques après avoir identifié les traitements de données les plus sensibles. Cette étape doit être accompagnée d’une analyse d’impact sur la protection des données (PIA) pour chacun des traitements en question.
Etape 5 : Organiser (ou réorganiser) vos processus internes en anticipant l’intégralité des scénarios qui peuvent survenir : faille de sécurité, demandes d’accès, de suppression ou de rectification des données par un utilisateur, changement de prestataire, etc.
Etape 6 : Documenter la conformité, afin de pouvoir prouver à n’importe quel moment que vous mettez tout en oeuvre pour assurer la protection des données et le respect du consentement et des droits des personnes.
Pour respecter les principes du RGDP et réussir la mise en oeuvre de ces étapes, choisir une bonne solution technique et surtout être capable de disposer de vraies compétences en data management et en cyber-sécurité.
Enfin,n’oubliez pas de bien examiner vos contrats existants avec vos fournisseurs et prestataires variés, afin de vous assurer leur conformité.
E-commerce et RGDP : faire de ce cadre juridique une nouvelle opportunité ?
Si le RGDP implique des investissements de temps et a priori d’argent, le fait de mettre en oeuvre une bonne gouvernance des données et une meilleure sécurisation de ces dernières va aussi être l’occasion pour les entreprises, et notamment les sites e-commerce, de renforcer la confiance des clients et internautes vis-à-vis de la marque ou de l’organisme.
Il sera donc important de bien communiquer sur ce que vous mettez en oeuvre, en interne comme envers vos clients et fans, afin de renforcer l’image positive de votre société, la confiance étant fondamentale en e-commerce !
Les données analytics sont touchées par cette réglementation. Découvrez la marche à suivre pour être en conformité.
Votre entreprise est-elle déjà prête à se conformer au RGDP d’ici mai 2018 ? Quels challenges avez-vous rencontrés ? Partagez votre retour d’expérience avec nous en laissant votre commentaire ci-dessous !
