des méthodes fondées sur des nouvelles technologies, telles que la géolocalisation, l’usage des objets connectés, la combinaison ou encore le traitement algorithmique de données, dans un but d’améliorer le ciblage des prospects, d’affuter la connaissance du client et d’anticiper ses besoins.

Ces nouvelles méthodes, notamment permises par le data mining, l’intelligence artificielle, ou le recours aux nouvelles formes de plateformes CRM (par exemple les customer data platforms), ont en commun d’une part, de reposer sur un traitement massif ou systématique de données à caractère personnel et, d’autre part, d’exiger l’intervention de prestataires spécialisés avec lesquels l’entreprise se doit de sécuriser la relation contractuelle. A ce constat s’ajoute une tendance à l’inflation et à l’évolution législative destinée à réglementer l’usage de ces nouveaux outils.

Ce phénomène n’est pas sans enjeux pour les entreprises et leur direction marketing, qui doivent désormais composer avec les professionnels du monde de l’informatique ou de l’innovation et appréhender les risques qui accompagnent de telles solutions : risque économique (perte de données clients ou chute des retours sur investissement), dépendance technologique vis-à-vis du prestataire, sécurité des systèmes d’information, conformité légale et règlementaire…

Face à ces risques et une législation récente en perpétuelle évolution, nous pensons que les entreprises devraient centrer leur stratégie autour de deux axes principaux :

  • sécuriser la chaîne contractuelle
  • et assurer leur conformité règlementaire, surtout en cas de traitement de données à caractère personnel.

II) Multiplicité d’acteurs et multiplicité des risques : l’importance du contrat

La sécurisation de toute solution marketing nécessite pour les entreprises de prévoir un ou plusieurs contrats adaptés, dans un contexte d’évolution législative importante et d’acteurs spécialisés et multiples.

Parce qu’elles reposent sur des technologies de plus en plus pointues, les techniques de e-marketing font nécessairement intervenir une multiplicité d’acteurs : agences marketing, régies publicitaires, consultants, hébergeurs et plus récemment éditeurs on premise ou SaaS, intégrateurs, mainteneurs, infogérants…

A chacun de ces acteurs correspond une relation contractuelle qu’il convient d’encadrer.

La sécurisation contractuelle de l’utilisation de la solution dans son ensemble ne pourra être assurée que par une multitude de contrats qu’il convient de rédiger avec une cohérence d’ensemble = CGU avec l’utilisateur, contrat d’agence, de licence, de maintenance, de consulting, de service cloud, d’hébergement etc.

Une attention particulière portée à la négociation et à la conclusion de ces contrats, permettra ainsi de sécuriser plusieurs aspects essentiels de ce type de prestations, tels que :

  • le niveau d’engagement du prestataire ;
  • l’utilisation des éléments protégés par la propriété intellectuelle .
  • la protection des données.

 III) Utilisation massive des données à caractère personnel, profilage et RGPD

Les nouvelles pratiques du marketing digital s’appuient sur le traitement d’importants ensembles de données à caractère personnel afin, par exemple, de personnaliser les campagnes d’emailing en fonction des préférences et des comportements de leurs prospects, ou pour automatiser des actions marketing tel que le A/B testing, processus permettant par exemple d’identifier quel type d’emailing a fonctionné dans tel type de situation.

Ces techniques marketing, qui peuvent être le résultat d’un traitement algorithmique de grandes quantités de données[3], peuvent également être le fruit d’une interconnexion de fichiers, comme dans le cas des customer data platforms[4] et/ou reposer sur des méthodes de profilage.

Les règles spécifiques, prévues par le RGPD[5] ou par la CNIL encadrant le profilage, l’interconnexion, la géolocalisation, ou le dépôt de cookies – qui demeure une méthode de traçage de l’internaute usitée – devront impérativement être respectées.

Bien souvent, une analyse d’impact devra être réalisée, par exemple lorsque de larges ensembles de données à caractère personnel sont traités aux fins de profilage, lorsque les données de différents départements de l’entreprise sont interconnectées, ou lorsque les données sont collectées par des objets connectés.

Ces règles s’imposent à l’entreprise acheteuse en tant que responsable du traitement, comme aux prestataires, qui se doivent de proposer des services conformes au RGPD, dans le respect de la logique de privacy by design.

S’agissant du respect du principe de transparence, rappelons qu’un traitement de données à caractère personnel à des fins marketing constitue en soi une finalité, et doit à ce titre être annoncé aux utilisateurs au moment de la collecte de leurs données.

Lorsque la méthode de ciblage utilisée nécessite un consentement de la personne concernée (par exemple, sa géolocalisation), un consentement spécifique à l’utilisation à des fins marketing d’une telle méthode devra être recueilli[6]

Quant à la conformité RGPD des solutions incluant du machine learning ou de l’intelligence artificielle, le principe de minimisation des données semble représenter un sérieux obstacle.

A moins de cantonner la compréhension du principe de minimisation à celui de la pertinence des données traitées, et non à un principe de limitation quantitative de données, les quantités massives de données nécessaires au fonctionnement de ce type de technologies empêcheront par principe la légalité de ces traitements.

En conclusion, pour sécuriser vos projets de marketing digital, nous recommandons de :

  • encadrer au sein des contrats les points sensibles
  • identifier les différents traitements des données personnelles qui sont réalisés et se conformer aux législations relatives à la protection des données à caractère personnel
  • prendre en considération la responsabilité sociale et environnementale (RSE), qui va certainement devenir un sujet de plus en plus sensible dans les années à venir pour anticiper de nouvelles crises similaire à celle que nous vivons actuellement.

 

Arthur Poirier, Avocat en charge du marketing digital et Claudia Weber, Avocat associé | ITLAW Avocats | contact@itlaw.fr

Vous travaillez sur un projet de marketing digitial ? Il est toujours plus facile de « prévenir que de guérir » , pensez-y ! Sécurisez vos projets et limitez les « effets de bords »

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données, accompagne ses clients dans la sécurisation des projets impliquant le marketing digital, et est à votre disposition pour vous accompagner.

Pour nous contacter : cliquez ici

 

[1] https://www.alioze.com/chiffres-web

[2] https://fr.statista.com/statistiques/474685/chiffre-d-affaires-e-commerce-france/

[3] http://www.marketing-professionnel.fr/tribune-libre/intelligence-artificielle-machine-learning-evolutions-marketing-digital-201905.html

[4] https://www.strategies.fr/blogs-opinions/idees-tribunes/4025387W/la-fulgurante-ascension-des-customer-data-platforms.html

[5] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE)

[6] https://www.cnil.fr/fr/applications-mobiles-mises-en-demeure-absence-de-consentement-geolocalisation-ciblage-publicitaire

 

Nous contacter