Zooms

4 conseils pour s’assurer de la conformité RGPD de sa campagne de génération de leads 

Tribune d'expert / 20 mai 2019

A l’heure où chaque action marketing doit pouvoir être mesurée pour en calculer son ROI, la génération de leads répond parfaitement à cet objectif. Mais qu’est-ce qu’un lead ? Selon la définition du CPA (Collectif Pour les Acteurs du marketing digital), syndicat professionnel regroupant les acteurs majeurs du Marketing Digital, « le lead est un prospect BtoB ou BtoC ayant exprimé une intention claire d’achat d’un produit ou d’un service, et ayant confirmé sa volonté explicite d’être contacté ». 

Mettre en place une campagne de génération de leads doit au préalable répondre à une conformité avec la réglementation en vigueur dont notamment le RGPD (Règlement Général sur la Protection des Données Personnelles n°2016/679). 

Pour vous y aider, les sociétés membres du CPA, regroupées sous la forme de collèges d’experts du Marketing Digital et du Droit des nouvelles technologies, ont résumé en quatre points les prérequis d’une campagne de génération de leads au regard du RGPD. 

1- Quelles mentions d’information faire figurer ? 

Il est obligatoire d’insérer sous chaque formulaire de collecte de données personnelles les mentions d’informations requises aux articles 32 de la loi Informatique et libertés et 13 du RGPD. Ces informations peuvent être fournies par strates, c’est-à-dire que les informations essentielles pour permettre à l’internaute d’être en mesure de comprendre la portée du traitement devront figurer sous le formulaire de collecte alors que les autres informations complémentaires peuvent être fournies au sein d’une Charte de Protection des données personnelles accessible en ligne. Un lien « Charte de protection des données personnelles » doit également être apposé à proximité du formulaire de manière visible et apparente, également accessible au sein du footer du site ou de la landing page. 

2- Le recueil du consentement, une preuve à garder 

Il convient de recueillir le consentement libre, spécifique, éclairé et univoque des personnes à recevoir des offres commerciales via notamment différentes cases à cocher (non pré-cochées) au sein du formulaire (en mode « Opt-in » et/ou « Opt-out » selon le canal de transmission de l’offre commerciale). Le producteur de leads et/ou l’annonceur intégrant un formulaire de collecte doit être en mesure de conserver et de rapporter la preuve du recueil dudit consentement à tout moment. 

3- Le dépôt des cookies, deux niveaux d’information possibles 

L’annonceur et/ou le producteur de leads doit mettre en place un « process » d’information et de recueil du consentement des internautes. A ce jour, il convient de respecter les exigences de l’article 32 II de la loi Informatique et libertés et de la délibération de la CNIL n°2013-378 du 5 décembre 2013 sur le dépôt des cookies. 

Pour cela, un bandeau d’information relatif aux cookies au sein du site doit apparaître avant tout dépôt de cookies nécessitant le recueil du consentement en vue de fournir une information à l’internaute. Ce bandeau peut comporter deux niveaux d’information. 

Le premier niveau d’information doit contenir les informations essentielles relatives aux cookies, notamment : 

  • du dépôt de cookies (first party et/ou third party) sur le terminal de l’internaute ;
  • des finalités précises de ces cookies ; 
  • des moyens mises à sa disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement par catégories de finalités (publicité, géolocalisation, boutons des réseaux sociaux, mesure d’audience...) ;
  •  du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Le second niveau d’information peut être accessible par un onglet « en savoir plus », il doit permettre à l’internaute de paramétrer ses choix, d’être informé des types de données collectées, de la durée de conservation (maximum 13 mois), des destinataires des données, des droits dont il dispose et des moyens de les exercer. Un renvoi vers la section dédiée aux cookies de la Charte de protection des données personnelles peut être envisagé pour fournir certaines informations. 

Ce bandeau ne doit pas disparaître tant que l’internaute n’a pas effectivement poursuivi sa navigation ou les étapes du formulaire de collecte de données personnelles. L’absence d’action de l’internaute de même que la consultation de la page de paramétrage des cookies ou de la Charte de Protection des données personnelles du site ne vaut pas consentement de l’internaute aux cookies. 

4- La sécurité et la confidentialité jusqu’au transfert des données 

Garantir la sécurité et la confidentialité des données lorsqu’elles sont transférées à des destinataires ou partenaires tiers est obligatoire. Par exemple, les fichiers contenant des données doivent être transmis en utilisant un protocole de transfert sécurisé (ex : FTPS) ou par l’utilisation d’un web service sécurisé avec chiffrement des communications pour réceptionner les leads transmis et non par email. 

Annonceurs, agences et producteurs de leads, vous connaissez maintenant les points essentiels à respecter pour assurer une pratique éthique et licite de la génération de leads. A défaut, vous vous exposez aux foudres de vos prospects et de la CNIL.

le Collège du Lead du CPA a publié le premier inventaire français des acteurs de la génération de leads : ici 

0
commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.