RGPD et Marketing Mobile : comment recueillir l’opt-in utilisateur tout en protégeant ses droits ?

Le RGPD impose aux acteurs du mobile de repenser leur stratégie CRM pour mieux maîtriser “l’Onboarding” et la rétention de leurs utilisateurs.

L’entrée en application du Règlement Général sur la Protection des Données (RGPD) vient donner un coup de botte au système actuel. Jusqu’alors, le recueil du consentement pouvait être détourné ou dissimulé, mais ce procédé sera désormais proscrit et puni par la loi.

Ainsi, comment faire en sorte de recueillir le consentement du mobinaute tout en ayant une approche conforme au RGPD ?

 

RGPD et consentement

 

Définition du consentement selon le RGPD

L’article 4, alinéa 11 du RGPD précise la définition du consentement : “ le consentement d’une personne est représenté par toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Il permet aussi à l’utilisateur de choisir le type de données qu’il souhaite communiquer. Celles-ci peuvent être de natures très diverses :  

  • Des informations sur son État Civil : nom, prénom, âge, sexe, nationalité, domicile…
  • Son origine raciale ou ethnique
  • Ses opinions politiques
  • Ses croyances religieuses
  • Son orientation sexuelle
  • Des informations en rapport avec sa santé, biométrie, génétique
  • Les adresses qu’il fréquente et ses autres données de localisation
  • Ses identifiants en ligne
  • Un ou plusieurs éléments spécifiques lié(s) à sa physiologie, son psyché, ses affiliations économiques, culturelles ou sociales
  • Son appartenance à un syndicat
  • Etc.

 

Le consentement de l’utilisateur doit bien évidemment précéder la collecte de ses données personnelles. Sans le consentement, l’entreprise ne sera pas en mesure de réaliser certaines actions :

  • Collecter des données personnelles ou sensibles
  • Traiter les données collectées
  • Utiliser des cookies pour certaines finalités  
  • Utiliser les données à des fins de prospection commerciale par voie électronique
  • Etc.

 

Les différents types de consentement et leurs pré-requis

Le RGPD vient fixer les différentes définitions liées au consentement pour éviter toute interprétation hasardeuse.

 

Le consentement “express/explicite” peut être donné par :

  • Une déclaration écrite, y compris par voie électronique
  • Une déclaration orale
  • Une case à cocher (non pré-cochée par défaut) lors de la consultation d’un site internet

 

Le consentement “libre” : la personne concernée a le droit de retirer son consentement à tout moment (et en est informée au moment de donner son consentement). Il doit être aussi simple de retirer que de donner son consentement.

 

Le consentement “éclairé” : si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simple.

 

Le consentement “spécifique” : Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions.

 

Le consentement “indubitable/univoque” : La preuve du consentement « univoque » est à la charge du responsable de traitement, qui doit prévoir les mesures techniques et organisationnelles appropriées.

 

Les exceptions au recueil du consentement

Les données personnelles d’un individu peuvent être traitées sans son consentement, dans l’un des cas suivants :

  • Lorsque le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci
  • Pour le respect d’une obligation légale
  • Pour la sauvegarde des intérêts vitaux d’une personne physique
  • Pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique
  • Si l’intérêt légitime du responsable de traitement ou d’un tiers le justifie (très encadré)

 

 

RGPD et Marketing Mobile

 

 

Les enjeux liés au respect de la protection des données sur mobile

Les enjeux de la nouvelle réglementation sont d’autant plus importants sur mobile qu’il s’agit aujourd’hui du premier canal de communication entre une marque et sa communauté. Pourtant, de nombreuses applications s’avèrent encore défaillantes.

 

À l'ère du mobile first où 80% du temps mobile est passé sur les apps, celles-ci deviennent le collecteur n°1 de données personnelles parfois sensibles. Pourtant, + de 50% des apps mobiles ne sont pas en accord avec le RGPD !

En mai 2018, plus d’une application sur deux n’est pas conforme au RGPD (source : Servicesmobiles)

 

Certaines règles de base sont alors à prévoir avant toute relation marketing et commerciale avec vos prospects et clients. Celles-ci sont destinées à assurer le respect du droit des personnes lors du traitement des données :

De nouveaux droits font leur apparition avec ce texte : droit à l'oubli, à l'accès et droit de portabilité.

 

Afin de respecter le nouveau règlement E-Privacy, également entré en application en 2018, il faut s’assurer de la conformité :

  • De l’utilisation des métadonnées,
  • Du traitement des adresses IP
  • Des cookies

Ce dernier exige la validation du consentement de l’utilisateur tous les 6 mois. De plus, l’utilisateur pourra paramétrer son navigateur pour accepter ou interdire certains types de cookies.

 

 

Les données collectées par mon application sont-elles personnelles ?

Les données sont considérées comme personnelles à partir du moment où elles permettent d’identifier directement ou indirectement un individu. Dans une application mobile, il pourra s’agir :

  • D’un identifiant client
  • D’un email
  • D’un numéro de mobile
  • De données techniques, de navigation et d’interactions (écran, bouton, …)
  • De données particulières (préférences, …)

 

Comment recueillir le consentement de vos utilisateurs tout en étant “GDPR compliant” ?

L’utilisateur doit donner un consentement express par un acte positif. Ainsi, lorsqu’il doit enregistrer des informations pour accéder à un service, bannissez les cases pré-cochées. Vous devrez également vous assurer de la clarté du message poussé.

 

Exemple de demande d'opt-in sur l'application Franprix.

En vertu du RGPD, le consentement pour recevoir des email marketing (de type newsletter par exemple) doit être séparé des autres informations. Source : Ledigitalizeur

 

Pour tirer parti de certains services, vos utilisateurs devront parfois obligatoirement accepter de partager certaines données sensibles. Il est alors conseillé d’adopter une approche transparente et d’expliquer pourquoi le service requiert la collecte de ce type de donnée.

 

Autorisez-vous Google Trips à accéder à vos données de localisation lorsque vous utilisez l'app ?

Obtenir les données de géolocalisation d’une personne : l’exemple de Google Trips

 

Pour des services optionnels, misez sur des formats engageants tels que les rich push notifications ou les messages In-App afin d’inciter les utilisateurs à donner leur consentement. Présentez alors la promesse du bénéfice avant de demander l’opt-in.

 

Pour ne rien rater de l'actu, activez les notifications ! Demande d'opt-in scénarisée sur l'application FranceInfo.

Message scénarisé proposant l’activation des push notifications.

 

À l’inverse, si vos utilisateurs veulent retirer leur consentement, ils doivent pouvoir le faire aussi rapidement qu’ils l’avaient donné. Ainsi, facilitez et simplifiez au maximum le désabonnement avec un processus détaillé :

  • Allez droit au but et évitez les distractions pour l’utilisateur. Aussi, ne demandez pas à votre utilisateur d’aller sur d’autres pages pour une chose aussi simple que le désabonnement.
  • Ne compliquez pas la vie de l’utilisateur en lui demandant de se reconnecter sur sa session
  • Ne faites pas faire subir de coûts supplémentaires à l’utilisateur
  • Ne demandez pas trop d’informations : une adresse mail est amplement suffisante

 

"Je choisis comment je souhaite être alerté par Hamak" : exemple de page de gestion de préférences sur l'application Hamak.

Donner le contrôle à ses utilisateurs : l’exemple d’Hamak

 

Il vous faudra également conserver des traces de ces mises à jour en étant capable, en cas de contrôle, de fournir :

    • Une liste des personnes ayant donné leur consentement
    • La date officielle de l’Opt-In utilisateur
    • La manière dont le consentement a été donné ( ex : via un email, par le biais d’un formulaire Facebook, etc. )
    • La date à laquelle l’utilisateur a retiré son consentement (Opt-Out)

 

Privacy by Design et Privacy by Default

 

Afin de faciliter votre mise en conformité, il convient de bâtir un processus sécurisé et transparent dès la conception de votre produit.  

Ainsi, assurez-vous de mettre en place toutes les mesures de sécurité nécessaires à la protection des données personnelles vos utilisateurs :

  • Limitation des informations collectées à ce qui est utile et justifiable dans l’intérêt de l’utilisateur : c’est la “minimisation” des données.
  • Réduction des durées de conversation au minimum de vos besoins
  • Anonymisation des données pour protéger la vie privée de vos utilisateurs
  • Chiffrage des données pour les protéger en cas de piratage

 


 

Une solution clef en main pour la gestion et la protection des données personnelles de vos utilisateurs : avez-vous entendu parler du Personal DataWallet de FollowAnalytics ?

 

Le Personal DataWallet de FollowAnalytics est une solution destinée à aider les entreprises dans leur mise en conformité : démarche simplifiée, exposition de l'information sur tous les canaux, meilleure compréhension des finalités de collecte et accès à leur droit pour les utilisateurs.

 

Pour aller plus loin sur le sujet, vous pouvez également consulter notre video de Parole d’Expert : RGPD & Entreprise.