Une nouvelle étude révèle que deux tiers (67%) des consommateurs britanniques s’inquiètent de la façon dont les marques utilisent leurs informations personnelles, nom, adresse e-mail, adresse physique, statut marital. Une même proportion de consommateurs (66%) s’inquiètent de la sécurité de leurs données personnelles et du risque de compromission au travers des nouveaux gadgets connectés, montres, trackers d’activité sportive et dispositifs pour la maison comme l’assistant vocal intelligent Amazon Echo.
Alors que les consommateurs exigent une expérience en ligne plus personnalisée, ces statistiques préoccupent les marques qui s’appuient sur les insights client pour adapter leurs services. Les marques doivent également regagner la confiance des cyber acheteurs dans le contexte du GDPR qui appelle à instaurer une procédure permettant au consommateur de donner ou non son consentement. Les entreprises se demandent comment et pourquoi elles doivent changer leurs méthodes de collecte et de gestion des données pour se conformer aux obligations de confidentialité, mais une chose est claire : le consommateur pourra désormais dire « non » lorsqu’il sera visé par des campagnes de marketing qui ne l’intéresse pas. Et surtout, les entreprises devront tenir compte de sa décision.

Mais alors, à quel moment un oui veut-il vraiment dire oui ?
C’est une question sérieuse à laquelle les marques doivent réfléchir. Elles devraient écouter leurs clients lorsqu’ils disent que ça suffit. Mais elles doivent quand même faire tourner leur activité et nous savons que les données sont l’actif le plus précieux des marketeurs à l’ère du numérique. Avec l’obligation d’obtenir le consentement du consommateur pour chaque usage de ses données en vertu du GDPR et de lui accorder le droit, sans condition, de retirer son consentement, les marques doivent penser et agir intelligemment afin d’éviter l’exode massif de leurs clients et prospects.
Il s’agit de ne plus voir les gens comme des chiffres mais comme des individus ayant chacun leur propre identité numérique. En se donnant les moyens d’identifier les visiteurs d’un site dès l’entrée, lors de l’inscription, les marketeurs pourront associer à l’identité de chaque utilisateur des données démographiques et comportementales et des renseignements sur ses centres d’intérêt. Mais ce qui vaut réellement la peine, c’est de poser continuellement des questions contextuelles d’optimisation du parcours de l’utilisateur, selon l’approche dite d’identité progressive. Les sites de vente en ligne donnent par exemple l’occasion aux acheteurs d’alimenter continuellement un profil avec des données comme la taille de la robe, les créateurs et coloris préférés, et ils ont le choix de ne partager que les points de données dont ils pensent qu’ils leur rapporteront le plus de valeur ajoutée en échange. Les utilisateurs savent aussi où se rendre pour actualiser ou modifier leurs permissions, et gardent ainsi le contrôle total sur la personnalisation.

Surtout, les marques doivent savoir définir et gérer le consentement lorsque le GDPR entrera en vigueur, pour se mettre en conformité, mais également pour établir la confiance et optimiser les relations à un moment où la réputation est bel et bien en ligne.

Pour ce faire, les entreprises doivent comprendre parfaitement ce que signifie le « consentement ». Le GDPR fixe des exigences fortes pour le consentement, de sorte que le consommateur aura un contrôle fin des conditions selon lesquelles les entreprises utiliseront ses données. Les données consensuelles aident les entreprises à établir des relations de confiance et à améliorer leur réputation.

Quel sera l’impact sur les entreprises ?
Il faut d’abord commencer par réexaminer les mécanismes de consentement existants. Les entreprises auront besoin de méthodes d’opt-in claires et granulaires, de tenir des registres des consentements et elles devront proposer des moyens simples d’accès à ceux qui souhaitent retirer leur consentement. Cette révolution du consentement à l’utilisation des données témoigne d’une vue plus dynamique de l’importance des données obtenues avec autorisation, qui relève d’un choix organique, suivi et activement géré, et non d’une simple case à cocher qu’on oublie ensuite.

Outre la nécessité d’améliorer le processus de consentement, plusieurs aspects du GDPR appellent à plus de conseil pour les guider, sous la forme d’une interface utilisateur qui ferait l’unanimité. Certains pourront avoir un impact fort sur la performance des pages d’enregistrement et au-delà.
Voici quelques exemples de préconisations du GDPR :

Séparer les demandes de consentement des autres conditions générales
L’ambiguité peut amener les entreprises à s’interroger sur ce qu’elles doivent faire exactement. Est-ce que cela signifie qu’elles doivent distinguer les cases à cocher pour les conditions générales de service de celles du consentement ? Est-ce que le consentement à certains usages spécifiques des données ne pourrait pas être intégré aux conditions générales ou de service sur un site ?

Consentement nommé
Il est recommandé de nommer les tierces parties qu’utilisent l’organisation. Les grandes entreprises ont souvent recours à des dizaines de services pour satisfaire leurs besoins, cela va des services analytiques aux solutions CIAM (customer identity and access management) de gestion des identités et des accès. Est-ce que cela suffit de les présenter dans une déclaration de consentement liée à la page d’enregistrement ?

Alternatives au consentement
Il sera utile de détailler davantage comment les entreprises du privé peuvent savoir quand traiter des informations personnelles (personally identifiable information, PII), sur la base de l’intérêt légitime plutôt que sur celle du consentement.

Ceci pose de nombreuses questions. Pour que les entreprises puissent mettre en œuvre correctement les obligations liées au consentement, il faut plus de clarté dans la "granularité du consentement." De nombreuses marques/médias/entreprises de e-commerce voudront savoir quel est le niveau de granularité acceptable. Par exemple, est-ce que les pages d’enregistrement en ligne devront inclure 3-4 cases à cocher demandant l’autorisation d’utiliser les PII pour les services comme les recommandations de produits, les campagnes de marketing par e-mail, les programmes de fidélité, etc. ?

Plus le temps passe, plus nous verrons comment les concepts « généralistes » du règlement général sur la protection des données seront traduits en règles à suivre par les entreprises pour se conformer au GDPR et comment elles seront mises en place de la meilleure façon possible pour obtenir les données que les clients ont consenti de partager.

A ce stade, les entreprises doivent se focaliser sur ce qu’elles ont besoin de clarifier et également comprendre parfaitement ce qu’induit le consentement en vertu du GDPR pour leur activité, pour leurs salariés et pour leurs clients.

Par Andrea Rus Directeur des Ventes Europe du Sud de Gigya