Catégories
Growth Hacking

Growth Hacking et RGPD : Ce qui change pour vous !

Quel rapport entre Growth Hacking et RGPD (ou GDPR en anglais pour General Data Protection Regulation) ? Vous allez vite comprendre en lisant cet article. Nouvelle mesure de protection générale des données des personnes, le RGPD est en vigueur depuis le 25 mai 2018 et vient durcir le cadre réglementaire déjà établi par la directive européenne de 1995. Appliqué dans tous les états membres de l’UE, le RGPD apparait comme un frein au Growth Hacking, un sérieux obstacle pour faire du marketing et de la prospection commerciale. Pire encore ! Il nous donne l’impression d’être désavantagés par rapport à nos concurrents américains ou asiatiques, pour qui le RGPD ne s’applique pas. Dans cet article, je vais vous expliquer ce que ce règlement change pour nous, mais aussi ce qu’il peut nous apporter.

Comment le RGPD freine-t-il le Growth Hacking ?

Le RGPD a pour but de protéger des données à caractère personnel. Pour cela, le texte définissant ce nouveau règlement européen impose une règle fondamentale : un accord explicite ou « opt’in explicite ». En clair, on ne peut plus envoyer un mail directement à quelqu’un pour prospecter si ce dernier n’a pas donné son accord. Bien sûr, il est aujourd’hui illégal de pré-cocher directement l’option à la place de cette personne, d’où le « explicite » dans « opt’in explicite ». Autre disposition du RGPD : mettre régulièrement à jour sa liste de prospects en redemandant les accords et en supprimant les coordonnées des individus qui ont changé d’avis. De même, les listes de prospects obtenues avant le RGPD doivent être revalidées en s’assurant d’un opt’in explicite. L’inconvénient, c’est que ces listes sont alors susceptibles d’être largement allégées. Compte-tenu de ces nouvelles mesures, pour faire grandir les entreprises, il faut donc utiliser des méthodes pour obtenir des leads qui respectent le RGPD, ce qui est bien plus compliqué.

Le Growth Hacking avant et après le RGPD

Nous vous l’avons déjà démontré, tout le monde ne s’entend pas sur une définition unique du growth hacking. Quoi qu’il en soit, ce terme à la mode s’est imposé dans bon nombre d’entités, petites start-ups ou grosses sociétés, avec comme objectif d’accélérer la croissance des entreprises. Seulement voilà, qui dit « hacking » dit « méthodes peu communes et innovantes ». Voici un petit exemple. Imaginons qu’on veuille scraper les données des plombiers sur les Pages Jaunes, dans le respect du RGPD. Si sur l’annuaire on trouve les noms / prénoms et adresse mail privée des plombiers, alors, sans opt’in explicite, on ne peut pas exploiter ces données. Maintenant, si l’adresse est professionnelle ou si elle est de type contact@boîte mail privé (ex : contact@gmail.com), peut-on vraiment faire du scraping ? Le RGPD n’est pas très clair sur ce point. Certains pensent que la prospection par mail ciblant des professionnels ne nécessite pas d’accord explicite tant que ledit mail propose quelque chose (une offre, un service,…) en lien avec la profession du destinataire. Le 30 mars 2018, la CNIL est venue éclairer cette zone grise en précisant qu’effectivement l’opt’in explicite n’est pas nécessaire dans ce cas précis. Il y a toutefois une subtilité, il faut que le destinataire ait quand même été averti en amont que ses données personnelles seraient utilisées à cette fin. Vous avez bien compris, il ne faut donc plus un accord explicite. Dans le cadre du scraping de données commerciales, il faut juste pouvoir prouver qu’on a bien donné l’information, et non plus qu’il y a eu accord. Attention : si l’adresse professionnelle permet d’identifier une personne en indiquant son nom et son prénom, elle est considérée comme une donnée personnelle. Pour justifier l’utilisation de ces données « personnelles » qui constituent une adresse mail « professionnelle » pour prospecter, il faut au moins remplir une des conditions exposées dans l’article 6 dudit règlement :

  • la personne ciblée a « consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques »
  • ce traitement a lieu dans le cadre d’une relation contractuelle ou est nécessaire « à l’exécution de mesures précontractuelles prise à la demande » de la personne ciblée
  • ce traitement est « nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis »
  • ce traitement est « nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique »
  • ce traitement est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »
  • ce traitement est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers »

En clair, utiliser des données personnelles pour faire du prospect à destination d’un professionnel n’est licite que si le traitement de ces données répond à une des conditions décrites ci-dessus. Sinon, il faut obtenir un opt’in explicite. Obtenir cet accord n’est cependant peut-être pas nécessaire. La raison 47 du RGPD stipule que « Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime. » Donc, pour faire de la prospection commerciale par mail à des professionnels, il n’est a priori pas nécessaire d’obtenir le consentement des destinataires si l’intérêt légitime est démontré (par exemple pour une offre ou un service dont le destinataire aurait peut-être besoin, ou un partenariat). Et là, nouvelle zone grise… Question fondamentale : dans quelle limite considère-t-on qu’un intérêt est légitime ? Disons que je sois vendeur de tuyaux. Je fais du prospect et je décide d’envoyer des offres de mes produits disponibles à des plombiers sur leurs adresses professionnels. OK, sans consentement au préalable, on peut quand même estimer que cette démarche est réalisée pour un intérêt légitime. Mais si je suis boulanger, et que j’envoie une offre à une société. Doit-on considérer que c’est légitime ou non ? Les salariés ont besoin de manger correctement et de commencer la journée par un bon petit déjeuner… Le RGPD ne permet pas de répondre à cette question. Vous l’aurez compris, ce nouveau règlement complique un peu les actions marketing mais ne le rend pas impossible !

Le RGPD impose une prise de responsabilité

Avec le RGPD, chaque entreprise doit maintenant s’engager à protéger les données personnelles qu’elle détient. Mais toutes les sociétés qui n’ont pas anticipé ce nouveau règlement sont aujourd’hui dans l’illégalité car la démarche pour se mettre en conformité est relativement lourde, notamment pour les entreprises qui utilisent Internet pour leur activité (les marketplaces, les plateformes de e-commerce,…). Pour agir dans le cadre légal, il faut passer par de nouvelles procédures, des modifications des contrats de travail,… Un exemple : si votre site est connecté à des API américaines sans contrôle de votre part sur le stockage, les données personnelles de vos clients pourraient ne plus être protégées. J’ai bien dit « pourraient » car cette nouvelle réglementation a fait réagir de l’autre côté de l’Atlantique et certains logiciels comme mailchimp par exemple sont aujourd’hui proposés aux Européens en une version conforme aux exigences du RGPD. Dans tous les cas, une petite vérification s’impose.

conformité rgpd

En quoi le RGPD va-t-il changer les méthodes de Growth Hacking ?

Vous l’avez sans doute déjà compris avec l’exemple du scraping donné plus haut, faire du Growth marketing est désormais plus difficile avec le RGPD mais pas impossible. Avant, on pouvait récupérer des données . pour pouvoir prospecter, peu importe comment. Aujourd’hui, la méthode compte. Conséquence : vous pouvez investir et/ou être un peu malin. Le RGPD a un impact financier sur les entreprises, mais, d’un autre côté, ce règlement améliore aussi le résultat avec, certes, moins de contacts obtenus, mais des informations de qualité.

Comment tirer profit du RGPD ?

En se mettant en conformité, les entreprises s’exposent nettement moins à des risques de fuites d’informations et à un préjudice financier énorme. On se souviendra de l’exemple de Yahoo ! et sa négligence pour la protection des données de ses clients. Bilan, une perte de 500 millions de dollars, en plus d’une mauvaise publicité aux conséquences non chiffrables. La conformité avec le RGPD peut ainsi faciliter l’adoption du Cloud, fidéliser les clients (rassurés), réduire la perte de clientèle,… Ce que vous devez retenir : la transparence de gestion des données crée de la valeur ajoutée à l’entreprise. Par exemple, mettre en avant qu’on travaille avec le Cloud suscite une réaction de confiance de la part des clients, car ils ont peur que leurs données privées se retrouvent utilisées à mauvaise escient. Pour plus d’impact, placez les mots « privacy friendly » et « compatible avec le RGPD ». En résumé, la conformité avec le RGPD peut s’aborder sous un angle positif. Et vous ? En quoi le RGPD a-t-il changé votre quotidien ? N’hésitez pas à partager votre expérience en commentaire.

Par Jonathan

Consultant Growth Marketing chez ✌ DEUX.IO.
J'aime tester, mesurer, et automatiser tout ce que je fais. Mes articles tournent souvent autour de ça ;)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *