[Bonnes feuilles] #RGPD et Marketing : de la contrainte à l'opportunité
Depuis le 25 mai, 500 millions d'Européens disposent de nouveaux droits sur leurs données personnelles. Les pratiques marketing sont impactées, les stratégies vont devoir évoluer pour s'adapter. Cet ouvrage s'attache à faire de ces nouvelles obligations un levier de réussite pour votre business.
Les marketeurs sont accros aux données clients et la base de données est LE centre de la connaissance des clients et des prospects. La base ? Non, il faut plutôt dire les bases ! Un des premiers impacts du Règlement Général pour la Protection des Données est d'obliger les entreprises à s'interroger sur la nature des données collectées, leurs bases et les traitements effectués. Dans un premier temps, le Règlement va mettre à jour quelques constats : volumes pléthoriques, qualité discutable, données stockées dans des bases pas toujours identifiées... Patience : si cette étape va prendre du temps, elle sera aussi l'occasion de reprendre vos données clients en main et de partager vos attentes avec les instances de décision....
Check list de mise en conformité " cartographie des données "
Selon les premiers retours d'expérience, l'étape de cartographie des données peut s'avérer chronophage. Mais elle est capitale pour la suite. A l'issue de l'audit initial, votre entreprise dispose d'une vue d'ensemble de tous ses traitements de données personnelles. De plus, elle connait aussi tous les flux informatiques et manuels. Elle est en mesure de connaitre les finalités des traitements, par qui ils ont été effectués et à qui ils servent.
Voici les points essentiels à prendre en compte dans la phase " cartographie des données et des traitements " et quelques recommandations d'outils susceptibles de vous aider :
- identifier les catégories de données personnelles traitées, en particulier les données sensibles ;
- localiser les lieux et les durées de stockage des données ;
- lister les objectifs poursuivis par les opérations de traitement des données ;
- recenser les différents traitements effectués ;
- répertorier les acteurs (internes ou externes, notamment sous-traitants) qui traitent ces données ;
- cartographier les flux de données, afin d'identifier les éventuels transferts de données hors de l'Union Européenne ;
- identifier l'existence ou non de consentements.
Une fois l'inventaire dressé, votre entreprise doit, pour chaque type de données, vérifier qu'elle peut conserver ces données, continuer les traitements ou mener les actions permettant de les exploiter. Le RGPD recommande une approche par risques. Votre équipe est prête à définir les enjeux et prioriser les risques à gérer selon leurs niveaux d'impact sur les données personnelles : faut-il gérer seulement les traitements à grands enjeux ? Ou bien tous ? Et quel sera l'impact business ?. Préparez-vous à des discussions animées !
VIGILANCE - Après cette étape, votre entreprise pourra estimer son taux de conformité au RGPD. Cette auto-évaluation fait partie de " l'accountability " En cas de contrôle de la CNIL, vous pourrez prouver votre bonne volonté.
Les " auditeurs RGPD " de votre entreprise vont vous aider à la démarche et définir la feuille de route. Dans certains cas, la mise en conformité RGPD imposera de repenser l'architecture et les processus du système d'information. Au coeur du sujet : la question de la gouvernance de leurs données. Sans être exhaustifs, voici quelques pistes à envisager avec vos interlocuteurs IT pour faciliter votre travail, ou... militer pour des moyens supplémentaires !
Des outils pour vous aider
Localiser les données sensibles. Dans la perspective de mise en conformité, c'est le principe de l'identification des risques qui s'appliquera. Vous devrez prioritairement identifier les données sensibles ou encore localiser, voire supprimer les données collectées anormales.
Des outils de discovery ou de datamining permettent la recherche sémantique de données sensibles dans les fichiers et/ou celle de mots associés à des " données sensibles " dans les applications. Certaines technologies, telles les solutions d'exploration de textes (textmining), peuvent être d'une aide précieuse, et permettraient d'offrir aux entreprises un moyen d'adresser ce problème et de répondre aux exigences de la nouvelle règlementation.
RECOMMANDATIONS - Des outils existent sur le marché, comme InfoSphere Discovery d'IBM, Data Preparation de Talend, 360 Data Management de Veritas permettent automatiquement de détecter au la présence (ou l'absence) de données sensibles au sein des flux de données. Nouvel arrivant sur le secteur de la gestion de la métadonnée et de la cartographie les données, DataGalaxy propose une plateforme de services en mode Saas adaptée aux PME et ETI.
Thésée Technologies propose un nouveau service de cartographie de sites Internet pour identifier toutes les pages a` mettre a` jour dans le cadre du RGPD. Un robot logiciel permet d'analyser les pages publiques des sites internet d'une entreprise, afin d'identifier celles qui doivent e^tre mises a` jour dans le cadre de la nouvelle règlementation.
Disposer d'une vision unifiée du client. Il s'agit d'assurer une gestion centralisée du cycle de vie de la data client (création, modification, suppression, anonymisation) garantissant un contrôle de la propagation des données au reste du système. La mise en place de référentiels de données maîtres permettant le rapprochement des données personnelles disséminées dans le système d'information en un point unique est une voie à envisager. Plusieurs outils peuvent être envisagés.
RECOMMANDATIONS - Les Master Data Management permettent d'agréger les données en un seul point. La centralisation permet d'exploiter les data en temps réel. Le datalake est un environnement possible pour y parvenir au plus vite, en s'appuyant sur des plates-formes d'intégration, de gestion de la qualité et de dédoublonnage, de data stewardship, de gestion des masters data et masking des données. Parmi les solutions, celles proposées par Talend, Oracle, Informatica ou IBM. Le coût de mise en oeuvre réserve souvent les MDM aux grosses organisations. Toutefois, le ROI est à étudier sur la base du temps gagné dans les reconstitutions de données clients.
Une autre voie serait de " désiloter " le traitement de la data sans pour autant supprimer les bases d'origine. Trop souvent éparpillées dans les services, les données doivent pouvoir être administrées de façon centrale pour fournir une vision 360°. Des plateformes comme Generix Sales Marketing facilitent ce travail en prévoyant des déclencheurs qui automatisent les tâches et leurs enchaînements.
De la contrainte à l'opportunité à saisir
Le grand inventaire initial est une obligation fastidieuse ; mais elle va déboucher sur une prise de conscience collective sur le capital data de l'entreprise et impulser une nouvelle gouvernance des données.
Lire aussi : Paroles de conseillers & de managers – Bernard
Prise de conscience partagée. Au cours des dernières années, les promoteurs du big data ont laissé croire que la quantité pouvait l'emporter sur la qualité. L'entreprise gagnante serait forte d'une immensité de data qu'elle pourrait exploiter à sa guise... un jour, quand bon lui semblerait, ou quand elle le pourrait ! Les faits prouvent que l'accumulation ne suffit pas, et de nombreux dirigeants confessent ignorer quoi faire des données engrangées. La complexité provient de la diversité des données et de la multiplicité de leurs origines. Cette vérité choc (pressentie mais non partagée) va émerger avec la cartographie initiale de mise en conformité.
Lire aussi : Salesforce lance Agentforce en France
Améliorer la gouvernance des données. Une idée communément admise est que le coût du stockage est suffisamment bas pour conserver toutes les données sans limitation de durée. En imposant une gestion des données personnelles beaucoup plus rigoureuse et sécurisée, le règlement va pousser à faire le ménage, à se réinterroger et à mesurer les coûts réels de ce stockage tous azimuts.
Dans cette perspective, les DSI, responsable sécurité et délégué à la protection des données devront travailler main dans la main avec les équipes métier pour réexaminer les pratiques. Compte tenu des investissements effectués pour accumuler des données, " ça va piquer " !
Vers une nouvelle valorisation des bases de données clients ? Le RGPD va faire émerger les termes d'une nouvelle valorisation de la base de données client ; elle ne résulterait non plus de la quantité de données brutes, mais de leur qualité et de leur potentiel réel d'utilisation.Le soin apporté à la précision des données, dès leur collecte et tout au long de leur cycle de vie, participe du retour sur investissement de la base. Alors-même qu'une base de données erronée peut réduire significativement l'efficacité d'un plan marketing coûteux, la qualité des données permettra de renforcer les stratégies mises en oeuvre par l'entreprise, et donc de mieux les rentabiliser.
Ces bonnes feuilles sont tirées de l'ouvrage #RGPD et Marketing : de la contrainte à l'opportunité, publié aux éditions E-theque et écrit par Jean-Philippe Arroyo, Roselyne Sage et Sylvie Brunet, trois professionnels du marketing, de l'IT et du juridique experts de la distribution.
L'ouvrage s'adresse aux professionnels de la relation client, du CRM, des ventes digitales ou physiques, aux enseignants et étudiants en marketing en quête de conseils pour maîtriser opérationnellement la mise en conformité. Les articles du Règlement sont décryptés sous un angle pratique : la collecte des consentements est-elle la seule voie possible ? Comment adapter les templates de prospection ? Quid des actions avec les sous-traitants ? Que faire si le CRM est localisé hors Europe ? Le manuel est enrichi de modèles de formulaires, de checks list, de références à l'actualité.
Paru en mai 2018. 250 pages. 18,80€ en format papier. Également disponible en e-book à 9,99€.
Sur le même thème
Voir tous les articles Marketing Client