Consentement vs intérêt légitime : lequel choisir pour le marketing ?

L'article 6 du RGPD vous permet de traiter les données personnelles de vos utilisateurs selon six bases légales, dont le consentement et les intérêts légitimes :

Article 6(1)(a) du RGPD – Le consentement comme base légale pour le traitement des données : La personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;

Article 6, paragraphe 1, point f) du RGPD – Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si ces intérêts prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent protection des données personnelles, en particulier lorsque la personne concernée est un enfant.

Ces deux bases juridiques sont également les plus discutées pour le traitement des données personnelles à des fins de marketing.

Parmi ceux-ci, la base de consentement fonctionne assez simplement… car l'utilisateur a "consenté" au traitement de vos données.

Le problème, cependant, avec le consentement, c'est qu'il n'est pas toujours adapté au processus de commercialisation.

Ce qui laisse alors aux spécialistes du marketing la disposition sur les intérêts légitimes.

À première vue, les intérêts légitimes ressemblent à un terme général qui peut permettre un grand nombre de traitements de données personnelles. Mais l'utilisation des intérêts légitimes comme base juridique nécessite un examen attentif car ils ne peuvent être considérés comme une base légale pour le traitement des données que SI le traitement des données est réellement NÉCESSAIRE.

Choisir entre le consentement et les intérêts légitimes à des fins de marketing

Le traitement des données personnelles en utilisant le consentement comme base juridique est considéré comme assez sûr car le consentement est la « norme d'or ».

C'est aussi un motif beaucoup plus solide pour le traitement des données que le motif des intérêts légitimes, car il est sans ambiguïté. Vous avez demandé à l'utilisateur, et il a répondu "Oui!".

Mais obtenir le consentement chaque fois que vous souhaitez traiter un certain type de données personnelles signifie que vos utilisateurs doivent s'inscrire à une multitude de formulaires de consentement différents.

Le GDPR, en fait, propose des directives très claires et strictes sur la façon dont vous pouvez légitimement demander le consentement :

[…] une indication de consentement doit être sans ambiguïté et impliquer une action positive claire (opt-in). Il interdit spécifiquement les cases opt-in pré-cochées. Cela nécessite également des options de consentement distinctes (« granulaires ») pour des opérations de traitement distinctes. Le consentement doit être distinct des autres termes et conditions et ne doit généralement pas être une condition préalable à l'inscription à un service.

La base légale des intérêts légitimes, en revanche, est assez flexible.

Avant tout, le RGPD permet aux spécialistes du marketing de rendre licite le cas du traitement des données personnelles à des fins de marketing direct sur la base des intérêts légitimes :

…Le traitement de données à caractère personnel à des fins de marketing direct peut être considéré comme effectué dans un intérêt légitime.

En outre, ICO (Information Commissioner's Office, une autorité indépendante basée au Royaume-Uni qui guide les entreprises sur la manière d'appliquer les lois britanniques sur la confidentialité des données telles que le RGPD) explique comment un tel intérêt légitime pour le marketing (tel que celui de "stimuler les ventes") peut donner une véritable finalité au traitement des données :

[N]ous avons un intérêt légitime à commercialiser nos produits auprès des clients existants afin d'augmenter les ventes.

ICO explique également comment les intérêts légitimes peuvent être la base la plus appropriée dans plusieurs cas, par exemple lorsque :

• le traitement n'est pas requis par la loi mais présente un avantage évident pour vous ou d'autres ;
• il y a un impact limité sur la vie privée de l'individu ;
• la personne doit raisonnablement s'attendre à ce que vous utilisiez ses données de cette manière ; et
• vous ne pouvez pas ou ne voulez pas donner à la personne un contrôle initial total (c'est-à-dire son consentement) ou la déranger avec des demandes de consentement perturbatrices lorsqu'elle est peu susceptible de s'opposer au traitement.

Pour chaque besoin (ou finalité) marketing en cause, un marketeur doit soigneusement décider des différentes bases légales à utiliser (parmi les six bases légales en vertu desquelles le RGPD autorise le traitement des données). Parmi ces six, le consentement et les intérêts légitimes sont les deux bases légales souvent utilisées pour la personnalisation du site Web pour les visiteurs généraux (ou non connectés). (Cet article se concentre sur la façon dont vous pouvez utiliser la base légale des intérêts légitimes pour personnaliser les expériences de votre site Web.)

En général, l'inclusion d'une affaire dans le cadre de la disposition sur les intérêts légitimes nécessite beaucoup de réflexion. Pour rendre cela un peu facile, ICO a conçu un test en trois parties pour vous aider à déterminer si le but que vous avez à portée de main est en fait une base légale en vertu de la disposition sur les intérêts légitimes.

Voici le test en trois parties d'ICO pour déterminer les intérêts légitimes dans le cadre du RGPD :

1. Test de finalité – existe-t-il un intérêt légitime derrière le traitement ?
   Pour utiliser les intérêts légitimes comme base légale pour le traitement des données personnelles, vous devez d'abord expliquer votre besoin de traiter les données personnelles concernées. Vous avez besoin d'un objectif clairement articulé derrière la volonté de le traiter.
2. Critère de nécessité – le traitement est-il nécessaire à cette fin ?
   Pour utiliser les intérêts légitimes comme base légale pour le traitement des données personnelles, vous devez démontrer qu'il n'existe pas d'autre moyen moins invasif d'atteindre votre objectif, et que votre traitement est « proportionné et suffisamment ciblé pour atteindre ses objectifs… »
3. Test de mise en balance – l'intérêt légitime prime-t-il sur les intérêts, les droits ou les libertés de l'individu ?
   Une fois que votre cas est qualifié dans les deux premiers tests, vous devez vous assurer que le traitement des données personnelles concernées ne porte pas atteinte aux droits et libertés de la personne dont les données personnelles seront traitées.

Sur ce, examinons maintenant quelques exemples de traitement de données personnelles très courants qui pourraient relever de la disposition sur les intérêts légitimes du RGPD.

10 exemples de motifs de traitement de données personnelles utilisant des intérêts légitimes

Avant de voir les exemples réels, veuillez comprendre que chaque exemple répertorié ci-dessous comporte une longue liste de mises en garde. Ces exemples sont simplement destinés à vous donner quelques suggestions d'objectifs de marketing qui pourraient être explorés dans le cadre de la disposition relative aux intérêts légitimes.

Voici …

1. Traitement des données d'adresse IP

Selon la quantité de données que vous capturez, une adresse IP peut en dire long. Par exemple, vous pouvez l'utiliser pour trouver l'emplacement d'un visiteur, ou vous pouvez également l'utiliser pour savoir pour quelle entreprise il travaille (en savoir plus à ce sujet dans notre article ABM 101).

Les intérêts légitimes sont l'une des bases légales qui peuvent être utilisées pour le traitement des données d'adresse IP d'un utilisateur (classées comme données personnelles). Un exemple d'objectif marketing en vertu de la disposition sur les intérêts légitimes utilisant l'adresse IP pourrait être de proposer des offres localisées.

Par exemple, un magasin de commerce électronique peut promouvoir un imperméable à quelqu'un qui navigue dans une zone où c'est la saison de la mousson. Alternativement, une boutique en ligne peut utiliser les données de localisation d'un visiteur pour proposer une offre de livraison gratuite à durée limitée dans la zone du visiteur.

De même, une entreprise B2B peut utiliser l'entreprise d'un visiteur (identifiée à partir de son adresse IP) pour lui montrer une personnalisation dynamique sous la forme d'une image ou d'un contenu personnalisé avec, par exemple, le nom ou l'industrie de l'entreprise.

Remarque : Si vous utilisez les adresses IP de vos visiteurs pour personnaliser l'expérience de leur site Web, il est préférable de ne jamais les stocker dans votre base de données si vous les avez utilisées pour des services météorologiques ou de localisation. De cette façon, ces données ne poseront pas de problème lors de la collecte de plusieurs points de données sur une personne au même endroit.

2. Traitement des données d'analyse du site Web

La plupart des sites Internet collectent les données de navigation de leurs visiteurs à des fins d'optimisation des performances. Ceci est généralement couvert par la disposition relative aux intérêts légitimes. Généralement, ces données ne représentent pas un problème car elles sont souvent anonymisées et la plupart des outils d'analyse comme Google Analytics interdisent le traitement/stockage des PII (Personally Identifiable Information).

Les tendances issues de ce traitement de données peuvent être utilisées pour former la base d'un large éventail d'expériences de sites Web personnalisées.

Par exemple, en utilisant Google Analytics, vous pouvez identifier les pages de votre site Web où vous perdez la plupart de vos prospects. Vous pouvez également utiliser certaines des options de segmentation avancées de Google Analytics pour identifier les segments d'audience qui diminuent. Un tel traitement de données peut générer de nombreuses informations pour vous sur les données démographiques et plus encore sur le trafic que vous perdez.

À l'aide de ces informations, vous pouvez également tester l'offre à ces segments d'expériences de site Web plus personnalisées.

Par exemple, si une boutique de commerce électronique constate qu'une certaine page de produit a un taux d'abandon élevé, elle peut utiliser les informations démographiques de son public pour affiner la messagerie de sa page de produit.

Une telle personnalisation n'est pas seulement subtile et significative, mais les données personnelles traitées ne sont pas non plus intrusives.

3. Traitement des données de communication

L'exécution de communications marketing personnalisées par e-mail ou SMS nécessite toujours un consentement explicite.

De plus, publier le GDPR, ajouter l'e-mail d'une personne à votre CRM et lui envoyer des e-mails marketing simplement parce qu'elle vous a contacté via votre formulaire de contact avec son e-mail n'est pas légal. Vous devez utiliser des cases de consentement sous votre formulaire de contact qui demandent explicitement la permission du visiteur pour le faire.

De plus, le RGPD ne fonctionne pas isolément. Ainsi, vos campagnes de marketing par e-mail (ou SMS) doivent respecter les réglementations légales en vigueur, comme offrir aux utilisateurs un lien de désabonnement, etc.

Cela dit, si vous avez obtenu le consentement d'un abonné pour de telles communications, vous pouvez personnaliser l'expérience de votre site Web pour cet abonné en fonction de son interaction avec vos e-mails ou SMS marketing. Cela devrait être raisonnablement couvert par la disposition relative aux intérêts légitimes.

Par exemple, une agence de voyages peut utiliser son historique de communication avec ses abonnés pour leur montrer des pages personnalisées. Par exemple, un abonné qui a manifesté de l'intérêt (par exemple en cliquant sur un lien) pour les voyages de luxe peut voir apparaître une page faisant la promotion d'un forfait séjour dans un hôtel de luxe. Alternativement, un voyageur à petit budget peut voir quelques offres sélectionnées sur des hôtels à petit budget.

4. Traitement des données comportementales via des cookies, des balises Web, etc.

Le traitement des données comportementales est très similaire au traitement des données d'analyse de sites Web. Tout comme les données d'analyse de sites Web, les données personnelles utilisées pour alimenter les campagnes axées sur les informations comportementales sont également anonymisées. Et le GDPR est assez flexible avec le traitement des données anonymisées.

Les informations issues de l'interaction des visiteurs avec un site Web (par exemple, les pages qu'ils ont consultées et leurs données de clic) peuvent être utilisées pour offrir des expériences de site Web riches en contexte.

Par exemple, une société de logiciels au niveau de l'entreprise peut suivre les données comportementales de ses visiteurs et leur offrir des expériences plus personnalisées lors de leurs visites ultérieures. Par exemple, un visiteur qui semble explorer une certaine solution peut voir la page d'essai ou le formulaire d'inscription de la même solution lors de sa prochaine visite sur le site Web.

5. Traitement des données de profil

Tout comme l'analyse de sites Web et le traitement des données comportementales, une entreprise peut utiliser la base des intérêts légitimes pour utiliser des données personnelles anonymisées pour créer des profils d'utilisateurs (profilage).

Par exemple, un site Web de comparaison de gadgets peut utiliser les données personnelles anonymisées de ses utilisateurs pour identifier ses principaux types d'audience. Il peut ensuite proposer des offres personnalisées et des campagnes promotionnelles à chacun (par exemple en suggérant des mobiles haut de gamme à son segment d'audience haut de gamme et en montrant des remises sur les mobiles économiques à son segment économique).

Le document sur les conseils d'utilisation des intérêts légitimes ne suggère pas seulement une telle base comme base légale pour le traitement des données personnelles dans le cadre des intérêts légitimes, mais il prend également en charge un tel profilage des utilisateurs à l'aide des données des médias sociaux. La doc indique qu'une entreprise peut utiliser :

… [Un] algorithme fourni par le fournisseur de médias sociaux pour mieux cibler sa publicité sur les « sosies », c'est-à-dire d'autres personnes qui ont des caractéristiques similaires aux propres clients de cette entreprise. L'entreprise télécharge le minimum de données personnelles requises sur ses clients pour permettre le ciblage des médias sociaux, mais exclut ceux qui se sont opposés au marketing. Le profilage est effectué au sein de la plate-forme de médias sociaux pour permettre le ciblage, mais il est purement à des fins de marketing et l'entreprise a évalué qu'il n'entraîne aucun effet juridique ou similaire significatif sur ces personnes.

6. Traitement des données par des tiers et par des tiers

En plus des données de première partie (c'est-à-dire les données qu'une entreprise collecte elle-même - par exemple, les données de son compte Google Analytics), un certain nombre d'entreprises utilisent également des données de seconde et de tierces parties.

Ces données, provenant de partenaires et d'échanges de données, donnent aux spécialistes du marketing des informations puissantes sur la psychographie, la technographie et la démographie de leur public. Il est généralement utilisé pour créer des profils clients détaillés. Qui, à leur tour, sont utilisés pour créer un contenu et des messages plus pertinents, et pour les diffuser aux segments clés du grand public.

Par exemple, une entreprise B2B peut utiliser ces données pour identifier les segments clés de son audience et cibler chaque segment avec des recommandations de contenu personnalisées.

Si vous avez besoin d'utiliser ces données, assurez-vous de vous associer uniquement aux fournisseurs de données et aux échanges qui suivent des pratiques de collecte et de traitement des données justes et légales.

7. Traitement des données de l'historique des achats

Une boutique de commerce électronique peut proposer des recommandations de produits personnalisées à ses visiteurs en fonction de leur historique de transactions.

DPN (Data Protection Network, un organisme basé au Royaume-Uni qui offre des conseils d'experts sur la protection des données et la confidentialité) offre de nombreux conseils sur l'utilisation des intérêts légitimes. Il suggère que l'utilisation par une boutique en ligne de l'historique d'achat d'un utilisateur pour faire des recommandations de produits personnalisées peut être un bon motif pour une base légale de traitement des données personnelles :

Un détaillant proposant une large gamme de produits effectue un traitement automatisé basé sur l'historique des transactions d'un client, dans le but de prédire quels autres produits et services pourraient l'intéresser.

8. Traitement des données d'historique de compte

Le traitement des données de compte peut être considéré comme l'équivalent du traitement des données d'historique d'achat, mais pour une configuration B2B.

Une entreprise B2B peut utiliser les données d'historique de compte de son utilisateur pour offrir des expériences de contenu contextuelles plus riches. Par exemple, une entreprise B2B peut utiliser les données de ses clients pour leur proposer des offres de surclassement ou de cross-sell plus pertinentes et de meilleure qualité.

9. Traitement des données des cookies

Il existe de nombreuses façons dont les données des cookies peuvent aider à offrir des expériences de site Web personnalisées qui sont à la fois non intrusives et pertinentes. La plupart des types de cookies qui peuvent générer des expériences efficaces n'ont même pas besoin du consentement explicite de l'utilisateur, car leurs instructions d'utilisation et de désactivation peuvent être expliquées sur les pages de confidentialité d'un site Web.

Par exemple, un site Web d'entreprise peut utiliser des données de cookies pour déterminer le contenu à fournir à un prospect pour le déplacer plus loin dans l'entonnoir de vente. Il existe une infinité de façons d'utiliser les données des cookies, même de manière respectueuse de la vie privée. En fait, toutes les données des exemples ci-dessus sont principalement collectées et stockées dans certaines formes de cookies.

Pour plus d'exemples sur le traitement des données en vertu de la clause d'intérêts légitimes, consultez les conseils sur l'utilisation des intérêts légitimes dans le cadre du règlement général sur la protection des données de l'UE.

Envelopper le tout…

Le choix de l'une des deux options - Intérêts légitimes ou Consentement - à des fins de marketing doit être examiné au cas par cas. Bien que les intérêts légitimes puissent être (et soient) les motifs légaux les plus courants pour le traitement des données personnelles pour la plupart des spécialistes du marketing, ils doivent être utilisés avec précaution.

De plus, bien que la disposition sur les intérêts légitimes puisse couvrir de nombreuses tactiques de personnalisation de site Web, vous devez toujours passer l'évaluation des intérêts légitimes et demander l'aide d'un professionnel de la confidentialité en ligne juridique pour être sûr avant d'y recourir.

Chez Convert Experiences, nous donnons aux spécialistes du marketing comme vous les moyens d'offrir à vos utilisateurs des expériences de site Web personnalisées conformes au RGPD et respectueuses de la vie privée. Nous avons également effectué une LIA approfondie de toutes les données que nous utilisons dans le cadre de la disposition sur les intérêts légitimes pour alimenter ces personnalisations. Vérifiez le ici. Et si vous cherchez à proposer des personnalisations de sites Web qui offrent une confidentialité par conception et une confidentialité par défaut, consultez Convert Experiences.