Vos campagnes marketing RGPD-friendly en 12 points clés

1. Vos campagnes marketing RGPD-friendly 12pointS clEs en Le guide PRATIQUE pour les professionnels du marketing & du digital

2. 2 LES AUTEURS : SOCIALSHAKER, solution de marketing interactif cross canal, a produit ce guide en complétant son expertise sur les campagnes marketing et la collecte de data par celle du Cabinet d’avocats Branquart & Toussaint, sur le RGPD. Nous vous offrons ainsi un condensé opérationnel de la réglementation applicable à vos traitements de données personnelles. ✱ un recueil généraliste de préceptes sur le RGPD ✱ un texte alarmant qui se concentre sur le 25 mai et qui périme le 26 ✱ un livret à lire d’un trait et à laisser de côté ✱ une consultation juridique qui vous dispense du recours à un avocat pour votre mise en conformité. Ce qu’il n’est pas : Ce qu’est ce guide : ✱ un outil pratique facile à prendre en main ✱ pour calibrer vos actions marketing & digitales OPÉRATIONNELLEMENT ✱ à l’usage de vos équipes et de vos nouvelles recrues dans la durée. Ce guide est émis avant l’entrée en vigueur du Règlement et se fonde donc uniquement sur les recommandations émises par la CNIL et le G29 à la date de sa rédaction. Il devra être complété des recommandations à jour et des décisions de la CNIL survenues à compter de l’entrée en vigueur du texte.

3. 3 Présentation ASSEZ DES CONSEILS GÉNÉRALISTES SUR LE RGPD ? LE GUIDE CONCRET POUR VOS CAMPAGNES MARKETING L ’entrée en vigueur, le 25 mai 2018, du Rè- glement européen sur la protection des don- nées personnelles (“RGPD”) impacte le travail des professionnels du marketing, la data se trouvant au cœur des stra- tégies de communication, d’acquisition, d’engagement et de conversion de leurs audiences. Pour rappel, le RGPD vise un double objectif : › assurer la protection des libertés et droits fondamentaux des personnes physiques dont les données sont collectées ; › garantir la bonne circulation des données au sein de l’Union Européenne. Testez vos connaissances et découvrez votre profil en participant au quiz : “Êtes vous prêt pour le RGPD?” Lorsque vous proposez à vos com- munautés de participer à des campagnes, vous collectez certaines données à caractère personnel, pour la réalisation de l’opération, sa diffusion, la gestion de votre CRM, l’envoi de newsletters, le transfert de ces données à vos partenaires ou clients, etc. Vous collectez également des données de navigation, notamment lorsqu’ils visitent votre site web.

4. 4 THE COMMUNITY GAME CHANGER NOS MISSIONSFACILITER la création puis la gestion de vos campagnes via notre plateforme prête à l’emploi AUTONOMIE ACCOMPAGNER et CRÉER POUR VOUS des opérations clé-en-main, du design au paramétrage CONFORT SIMPLIFIER & ACCÉLERER la création de campagnes marketing interactives OPTIMISER vos coûts et le temps de vos équipes

5. 5 Socialshaker Animation d’affiliés Fidélisation client Animation interne Animations écoles Focus group virtuel Test produit FIDÉLISER ses communautés Constitution de BBD Qualification de BBD Trafic generation Drive to store Conversion web Recrutement d’audiences RECRUTER des audiences COLLECTER DES DONNÉES ATTIRER via l’image Visibilité salon & PLV Co-branding Sondage Notoriété Sensibilisation Store Locator LA SOLUTION POUR RÉPONDRE À VOS OBJECTIFS STRATÉGIQUES

6. C’EST PARTI, ON VOUS GUIDE AU TRAVERS DE 12 POINTS CLÉS ! Répartis en 4 thématiques, ils suivent le processus logique des données personnelles loars d’une opération marketing : leur collecte, la diffusion de l’opération, l’utilisation des données post campagne, et enfin le suivi de ces données au quotidien.

7. 7 Sommaire Derrière les concepts, des définitions-clés I Collecter des données lors de vos opérations marketing 1- La nécessaire politique de confidentialité 2- La récolte des consentements grâce à vos campagnes 3- Exemple de formulaire de collecte II. Diffuser vos opérations 4- Le consentement, indispensable pour promouvoir vos campagnes 5- Qualifier vos opt-ins… un jeu d’enfant ! 6- E-mailing : 5 préceptes principaux III Utiliser les DP collectées, post-campagne 7- Des durées de conservation variées 8- Focus sur vos sous-traitants 9- Cookies et Profilage : remis en question par le RGPD ? IV. Gérer les DP au quotidien 10- Gérer les droits de vos audiences 11- Gérer les consentements de vos communautés 12- Maintenir la conformité des traitements TAKE-AWAY : La checklist des informations à mentionner par support sur vos interfaces Le RGPD, un catalyseur de qualité finalement précieux pour les pros du marketing?

8. 8 DERRIÈRE LES CONCEPTS, DES DÉFINITIONS-CLÉS Lorsque vous menez une campagne (marketing, communication, interne), vous COLLECTEZ et TRAITEZ certaines DONNÉES PERSONNELLES et agissez en tant que RESPONSABLE DE TRAITEMENT. Vos prestataires traitant également ces données vous accompagnent en tant que SOUS-TRAITANTS. DONNÉE PERSONNELLE : toute information relative à une personne physique identifiée ou identifiable directement ou indirectement : nom, prénom, âge, sexe, email et tél, pseudo, adresse IP, situation familiale, données ban- caires, géolocalisation, données de connexion et de navigation, etc. ATTENTION : Une adresse email professionnelle est une donnée personnelle. COLLECTE DE DONNÉES PERSONNELLES : action de recueillir, d’obtenir communication de données personnelles, quels qu’en soient le moyen, l’objectif et la personne auprès de laquelle elles sont recueillies. ATTENTION : L’achat de base de données est une collecte de données persos. DonnéepersonelleDonnéesensibleSous-traitant Responsable Traitement Collecte

9. TRAITEMENT DE DONNÉES PERSONNELLES : toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé, tels que : collecte, enregistrement, organisation, conservation, transmission, adaptation, modification, extraction, consultation, effacement, destruction etc. ATTENTION : La simple conservation de données personnelles est une opération de traitement. DONNÉE SENSIBLE : donnée personnelle qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou la vie et l’orientation sexuelle. ATTENTION : La collecte et le traitement de données sensibles sont interdits sauf dis- positions légales expresses. RESPONSABLE DE TRAITEMENT : celui qui détermine les finalités (pourquoi?) et les moyens (comment?) du traitement des données personnelles. SOUS-TRAITANT : celui qui traite des données à caractère personnel pour le compte et sur instructions du responsable de traitement. Peut aussi être responsable de traitement, et vice-versa. 9 DÉFINITIONS-MOTSCLÉS

10. Collecter des données lors de vos opérations marketing I

11. 12 Collecter des données lors de vos opérations marketing La nécessaire politique de confidentialité Votre devoir d’information étant renforcé auprès de vos audiences avec le RGPD, il est indispensable d’insérer une (ou modifier votre) « Politique de Confidentialité » sur vos interfaces en ligne et physiques. 1 POINT I

12. 13 CHAPITREI-POINT1 Il s’agira de fournir notamment aux participants les informations suivantes : › le responsable de traitement (Qui?) › l’identité du DPO le cas échéant › les finalités du traitement de leurs données (Pourquoi ?) › les destinataires des données (A qui les transmettez-vous?) › les transferts de données hors Union européenne › la durée du traitement (Pour quelle durée de conservation?) › les droits dont ils disposent sur leurs données (droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, de retrait de consentement) et la personne auprès de laquelle ils peuvent les exercer › leurs recours possibles auprès d’une autorité de contrôle › le caractère obligatoire ou facultatif des réponses › le recours au profiling le cas échéant. ATTENTION : Ces informations doivent être fournies au moment où les données sont obtenues, de façon compréhensible et aisément accessible, en des termes clairs et simples dans : ◗ une politique de confidentialité distincte ET ◗ le formulaire de collecte lui-même. ➜ « Politique de confidentialité », ➜ « Charte de confidentialité », ➜ « Charte de vie privée », ➜ « Privacy Policy » sont autant d’expressions différentes pour le même document. Vous pouvez en créer une propre à une campagne ou bien renvoyer à une unique pour tous vos traitements & opérations. TIP

13. 14 La récolte des consentements grâce à vos campagnes Les campagnes marketing vous permettent de collecter, via les formulaires, le consentement de vos cibles à recevoir certaines communications, à accepter votre politique de confidentialité, ou encore à accepter des conditions de participation. Le consentement des individus concernant leurs DP notamment est l’un des principes phares du RGPD. Il doit être positif, clair, explicite. ATTENTION : ❱ Le procédé de collecte doit faire l’objet d’une expression séparée des autres conditions de participation à la campagne ou au jeu concours. ❱ Un silence, une case pré-cochée ou l’inactivité de l’individu ne sont pas recevables comme des consentements ! 2 POINT I

14. 15 CHAPITREI-POINT2 Le formulaire de collecte de votre campagne comprendra : ❱ une mention d’information précise ❱ plusieurs cases à valider obligatoirement : • le consentement à la collecte et de l’utilisation des DP de l’individu (autant de cases à cocher que de finalités : une case pour l’envoi d’e-mailings d’information, une case à cocher, pour le profiling etc.) • l’acceptation du règlement du jeu ou de l’opération • l’acceptation de la politique de confidentialité. Vous devez informer le participant sur la nouvelle finalité et recueillir son consentement spécifique. ATTENTION : au moment de person- naliser votre formulaire, veillez à ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au vu des finalités poursuivies. En amont du 25 mai puis régulièrement à l’avenir, posez à plat : ❱ toutes les catégories de communications que vous réalisez auprès de vos cibles (marketing, prospection), et ❱ les utilisations (traitements) que vous faites de leurs données. Puis faites un choix équilibré entre insérer dans vos campagnes, votre site, votre formulaire d’inscription, etc. : ❱ un grand nombre de consentements (lourds à récolter mais permet des communications efficaces et une répartition du risque de pertes), ou bien ❱ très peu d’opt-ins au contraire (risque de ne pas être conforme ; de perdre un contact pour de bon ; pertinent si peu de finalités ; facile à mettre en œuvre et à suivre). TIP FAUX FAUX Vous pouvez réutiliser librement les données collectées lors d’une campagne pour une autre finalité. VRAI

15. 16 3 POINT I Exemple de formulaire de collecte Afin d’illustrer les deux points-clés précédents, nous vous proposons ici un exemple de formulaire RGPD-friendly. Vos formulaires (en ligne comme papier) seront à adapter, notamment selon les données que vous souhaitez collecter, et selon les finalités et supports de communication que vous souhaitez mettre en avant pour vos consentements. Une fois les données recueillies grâce à votre formulaire, il faudra : ❱ Assurer leur exactitude et leur mise à jour. Les données inexactes doivent être supprimées. ❱ Les traiter de manière à garantir une sécurité et une confidentialité appropriées (contre le traitement non autorisé ou illicite, contre la perte, la destruction ou les accidents). ❱ Limiter leur durée de conservation au strict minimum. ATTENTION : le Responsable de traitement doit être en mesure de démontrer que ces principes sont respectés.

16. 17 CHAPITREI-POINT3

17. Diffuser vos opérationsII

18. 20 Gardez à l’esprit que l’utilisateur peut, à tout moment retirer son consentement, sans toutefois que cela ne re- mette en question la légalité des traitements réalisés antérieurement à ce retrait. Vous devez être capable de rapporter la preuve du consentement de vos utilisateurs ! * ❱ la date et l’heure du consentement ❱ l’identité de l’individu ❱ le mode de collecte du consentement ❱ l’information fournie à l’utilisateur lors de l expression de son consentement. Diffuser vos opérations Le consentement, indispensable pour promouvoir vos campagnes Nous avons vu comment récolter les consentements dans vos campagnes, posons-nous à présent sur les contacts qui vous ont déjà donné leur opt-in conforme pour recevoir vos communications, et auxquels vous transmettez vos campagnes. 4 POINT II (*) Si vous créez des campagnes avec Socialshaker par exemple, vous avez la possibilité de récupérer la liste des opt-ins dans un document .csv en toute autonomie dans votre back-office sur la plateforme.

19. 21 CHAPITREII-POINT4 Soyez vigilant en cas de collecte de données de mineurs de moins de 16 ans (le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale), et de collecte de données sensibles (dont le traitement est strictement encadré) ! En plus des informations obligatoires pour le consentement, vous y retrouverez : • les champs utilisés dans votre formulaire • les consentements positifs ou négatifs pour chacune des cases à cocher que vous aurez intégrées •le connecteur utilisé pour accéder au formulaire (e-mail, réseau social, connecteur propre à votre société). TIP Si la qualité aux dépens de la quan- tité ne vous effraie pas, et que vous n’avez pas encore opté pour, le double opt-in vous tend les bras pour des consentements RGPD-friendly ! En ligne puis via un lien envoyé sur son adresse mail ou par SMS sur son téléphone, l‘internaute confirme qu’il consent aux finalités que vous envisagez pour ses données. Pensez bien à l’annoncer clairement lors de l’inscription en ligne, afin de limiter la déperdition. Le gros + : l’engagement de vos audiences et la qualité de votre base de contacts. Le léger - : le plus faible nombre de consentements et donc de contacts ac- tivables.

20. 22 5 POINT II Qualifier vos opt-ins… un jeu d’enfant ! Le RGPD s’applique aux données collectées après le 25 mai, mais aussi à toutes celles récoltées avant cette date ! Vous allez donc devoir qualifier vos opt-ins existants en les transformant, si besoin, en consentements valides, et ne plus contacter ceux qui n’auraient pas valablement accepté au 25 mai 2018. Voici nos conseils pour ne rien laisser de côté dans la qualification de vos opt-ins existants : 1 Listez vos opt-ins existants (infos produit, infos d’actualité, contenus riches de type livres-blancs, prospection, offres commerciales, etc.). 2 Triez-les : pour quels opt-ins disposez-vous des 4 informations-clés ? (voir Point n°4) 3 Pour les contacts avec des opt-ins valides, mettez en place la durée de conservation automatisée (ré-activation avant l’échéance, puis suppression automatique si le contact ne renouvelle pas son consentement). 4 Pour les opt-ins non valides (cases pré-cochées, informations incomplètes, etc.) : profitez des semaines avant fin mai pour lancer des campagnes destinées à récolter leurs consentements conformes. Ceux non valides au 25 mai devront être anonymisés ou retirés de vos listes de diffusion.

21. 23 CHAPITREII-POINT5 Que ce soit pour qualifier vos opt-ins existants non conformes, ou pour alléger le process du consentement de vos audiences à l’avenir, pensez LUDIQUE ! Les campagnes de marketing interactif vous permettent de collecter des opt-ins tout en répondant à vos stratégies (acquisition, engagement de communautés, qualification de BDD). TIP inspirations de concepts sur lesquels baser vos campagnes : ❱ les temps forts saisonniers ❱ des partenariats avec des marques ou distributeurs avec des cibles proches ❱ des partenariats avec des sorties de films (secteurs et valeurs proches)**. 3 87% des pros du marketing pensent que les contenus interactifs attirent plus l’attention des lecteurs que les contenus statiques. * EFFICACITÉ DES TYPES DE CONTENUS DE MARKETING INTERACTIFS* (en % de professionnels du marketing les désignant comme très performants dans l’atteinte de leurs objectifs de content marketing; extrait des résultats) : CONCOURS 1er contenu le plus efficace 65% JEUX 49% QUIZ 58% (*) : Source : Avril 2017, Etude : THE SYMPHONY OF CONNECTED INTERACTIVE CONTENT MARKETING, par le Content Marketing Institute. (**) Contactez-nous pour une mise en relation avec notre partenaire.

22. 24 6 POINT II E-mailing : 5préceptes principaux Si vous envoyez de la prospection commerciale par voie électronique , pour promouvoir vos campagnes marketing par exemple, vous devrez vous montrer vigilant. Au-delà des obligations de conformité des consentements des individus que vous contactez, voici 5 préceptes à avoir en tête : 1 Si vous faites des campagnes emailing à partir de bases de fichiers achetés, vous devrez vérifier que le vendeur vous garantit avoir valablement informé et obtenu le consentement des personnes concernées. ACHAT DE BDD POUR VOS EMAILINGS Chez Socialshaker, nous ne recomman- dons pas cette pratique globalement, pour la qualité de votre stratégie marketing et de l’engagement de vos audiences. Et si vous investissiez plutôt sur la conversion sur votre site ou en point de vente via des contenus riches voire du marketing interactif ?

23. 25 CHAPITREII-POINT6 2 Si vous faites des campagnes emailing à partir de fichiers obtenus via vos interfaces en ligne comme hors ligne, vous devez avoir valablement informé et obtenu le consentement des personnes concernées. 3 Dans tous les cas, pensez bien à insérer un lien de désabonnement dans vos prospections qu’elles soient par email ou sms. 4 Veillez aussi à fournir un contactpour l’exercice des droits des individus à qui vous envoyez des emails. Idéalement, vous pouvez donner à vos cibles la possibilité de se désabonner soit d’une communication en particulier, soit de toutes, par un simple lien. 5 Les adresses mail professionnelles doivent être traitée de la même manière qu’une adresse mail personnelle ou toute autre DP. Pour aller plus loin

24. Utiliser les DP collectées, post-campagneIII

25. 28 Vous devez veiller à définir comme durée de conservation des données la durée nécessaire à l’accomplissement de l’objectif poursuivi par la collecte. Les données qui ne présentent plus d’intérêt pour la finalité qu’elles poursuivaient doivent donc être supprimées. Quelques cas d’application du RGPD : ❱ si vous récoltez les coordonnées de la carte bancaire de vos clients à l’occasion de leur participation au jeu concours, vous ne conserverez ces données que le temps de la réalisation de l’opération de paiement ❱ les coordonnées d’un prospect ou client qui ne répond à aucune sollicitation de votre part pendant 3 ans doivent être supprimées ❱ les données de navigation (issues de cookies, tags) doivent être supprimées au bout de 13 mois à compter du dépôt du cookie sur le terminal de l’utilisateur suivant le consentement. Utiliser les DP collectées, post-campagne Des durées de conservation variées Le RGPD protège également les DP des individus en limitant leur validité dans le temps. 7 POINT III

26. 29 CHAPITREIII-POINT7 Pensez à automatiser la réacti- vation de vos audiences avant la date d’échéance d’inactivité, ainsi qu’à mettre en place une politique de suppression de leurs données personnelles si ces contacts ne sont pas actifs. En revanche, vous devez archiver les données nécessaires au respect de vos obligations légales et réglementaires. Par exemple : ❱ les données à archiver pour faire valoir un droit en justice doivent être conservées jusqu’à la date de prescription de l’action en justice ❱ les données des personnes qui ont fait valoir leur droit à l’oubli (afin de ne plus les recontacter) ❱ les données prouvant la licéité des consentements, mais seulement le temps du traitement, pas plus. TIP

27. 30 8 POINT III Focus sur vos sous-traitants Certains de vos sous-traitants sont amenés à traiter les DP que vous collectez auprès de vos utilisateurs. Le RGPD responsabilise pour la 1re fois les sous-traitants, en mettant à leur charge de nouvelles obligations : ❱ Un sous-traitant ne peut recruter un autre sous-traitant sans l’autorisation écrite préalable du responsable de traitement. ❱ Un traitement effectué par un sous-traitant doit obligatoirement être régi par un contrat. ❱ Le sous-traitant doit présenter des garanties suffisantes pour que le traitement soit conforme au règlement et doit assurer la sécurité et la confidentialité des données. ❱ Le sous-traitant est tenu de maintenir un registre et de nommer un DPO comme son responsable de traitement. À compter du 25 mai 2018, vos sous-traitants doivent mettre à votre disposition toutes les informations nécessaires afin de démontrer le respect des obligations qui leur incombent et permettre la réalisation d’audits.

28. 31 CHAPITREIII-POINT8 Conseils pour la mise en conformité ❱ Avant mai, envoyez un courrier avec AR à tous vos sous-traitants “outils” en leur réclamant les mesures techniques et organisation- nelles qu’ils ont mises en oeuvres pour assurer leur conformité au RGPD. ❱ D’ici au 25 mai 2018, amendez vos contrats de sous-traitance existants et soyez vigilants dans la rédaction des nouveaux ! Si l’un de mes sous-traitants gère certaines données personnelles de mes audiences depuis l’étranger hors UE, il n’a pas à appliquer le RGPD sur ces DP et leurs détenteurs. Le RGPD est applicable pour toutes les données personnelles appartenant à des citoyens européens, même si leur traitement a lieu en dehors de l’UE. FAUX FAUX VRAI

29. 32 9 POINT III Cookies et Profilage : remis en question par le RGPD ? Dans vos opérations en ligne, vous récoltez, au-delà des formulaires, des données de navigation. Le RGPD précise qu’un cookie, même pseudo- nymisé, qui permet indirectement et/ou com- biné avec d’autres informations reçues par les serveurs, d’identifier une personne physique, est une donnée personnelle. ❱ La plupart des cookies sont concernés : cookies analytiques, de publicité, mais aussi de services fonc- tionnels tels que sondages et messageries instanta- nées, etc. 4 points-clés à retenir : ❱ Le consentement implicite n’est plus suffisant. Il doit être donné via une action positive. ❱ Il doit être aussi facile de retirer son consentement que de le donner. ❱ L’alerte sur votre site doit contenir toutes les informations relatives aux cookies en tant que DP. ❱ Il faut fournir une option de désinscription.

30. 33 CHAPITREIII-POINT9 ATTENTION : malgré plusieurs interpréta- tions individuelles dans le sens de l’acceptation du soft opt-in, au moment de la publication de ce guide, aucun cookie ne peut être placé sur le terminal de l’utilisateur avant un geste actif de l’utilisateur valant consentement. QUID DU PROFILAGE ? Il est autorisé par le RGPD à condition de : ❱ informer la personne concernée et lui donner la possibilité de s’y opposer ❱ ne pas baser dessus des décisions ou conditions discrimi- nantes pour les individus, ou des décisions issues de traitements automatisés ❱ ne pas cibler les mineurs. Par exemple : vous ne pouvez pas conditionner le prix d’un produit ou service prix à l’appartenance d’un individu à un profil issu du profilage. Exception pour le recueil de consentement : si les cookies sont indispensables à la fourniture d’un service demandé explicitement par l’utilisateur.

31. Gérer les DP au quotidienIV

32. 36 Gérer les dP au quotidien Gérer les droits de vos audiences Le RGPD affirme de nouveaux droits des individus concernant leurs données personnelles, et en conforte certains pré-existants. Leur multiplicité implique une gestion au cordeau qui peut-être rendue très simple grâce à quelques pratiques à automatiser. 10 POINT IV Quels sont ces droits ? ❱ Droit d’accès : permet à tout individu de savoir quelles informations votre entreprise détient sur lui dans ses fichiers. ❱ Droit à la portabilité : impose à votre société de fournir les données personnelles du demandeur dans un format « structuré, couramment utilisé et lisible par machine » qui permette leur réutilisation par lui ou par d’autres entités. ❱ Droit à l’oubli (ou déréférencement) : consiste à demander à votre structure l’effacement de ses données personnelles, dû dans les meilleurs délais. Ce droit s’applique à tous les traitements et moyens de contact que votre entreprise possède à son égard. ❱ Droit d’opposition : permet à chacun de ne plus être sollicité par une société ni par ses partenaires commerciaux, et plus largement de s’opposer au traitement de ses données. Ces suppressions ne sont dues qu’à des individus. TIP Vous n’avez pas à supprimer ces don- nées avant le terme normalement prévu pour leur traitement. TIP

33. 37 CHAPITREIV-POINT10 Comment les gérer ? 1 Définir les procédures techniques pour répondre aux demandes liées à ces droits, dont l’authentification de l’identité des requérants lors de leur demande (pensez à demander leur nationalité : UE or not UE ?), la conservation des données de contact des individus requérant le droit à l’oubli, afin de ne pas les recontacter, ou encore la possibilité de se désabonner ou désinscrire facilement pour s’opposer à vos communications (par canal SMS, tél., e-mail). 2 Adapter votre interface pour faciliter l’exercice des droits et la transparence : communiquer sur votre site (pop up, chat, pied de page, res- sources, mentions légales), et dans l’espace connecté de vos clients. 3 Désigner une personne en interne ou un service pour réceptionner les demandes liées aux droits de vos audiences sur leurs DP. 4 Lui attribuer un email, un formulaire de demande en ligne et/ou un numéro de téléphone dédié (moyens digitaux obligatoires si collecte digitale). 5 Communiquer partout (sur votre site, dans vos CGU, CGV, vos mentions légales ou vos règlements de jeu) sur les moyens pour vos audiences de contacter votre entreprise afin d’exercer leurs droits sur leurs DP. 6 Traiter les réclamations reçues dans des délais aussi courts que possible. .

34. 38 11 POINT IV Gérer les consentements de vos communautés Nous avons déjà vu comment collecter les consentements, les qualifier pour le RGPD, et comment garantir leur conformité. Chez Socialshaker, nous pensons qu’avec le Règle- ment, leur gestion au quotidien présente de nouvelles opportunités. Comment capitaliser sur vos consentements au quotidien ? Profitez de l’engagement suscité par vos opt-ins qualitatifs issus d’un choix explicite de vos audiences, et communiquez avec elles en créant un parcours d’accueil valorisant et engageant (ou en adaptant l’existant) qui serve votre image dès ce début de relation (transparence, justesse des messages, personnalisation, qualité plutôt que volume dans vos communications, etc.).

35. 39 CHAPITREIV-POINT11 Comment poursuivre la récolte de consentements sur la durée ? Sur Socialshaker, de nombreux types de campagnes marketing interactives cross canal (jeux, formulaires d’enquête, quiz, etc.) vous permettent d’engager vos communautés tout en récoltant leurs précieuses DP et leurs consentements, avec un lancement en quelques clics et un suivi transparent pour des consentements aux normes ! * Pour que vos actions de marketing interactif soient couronnées de succès pour vos objectifs quels qu’ils soient, intégrez-les dans un dispositif de marque, d’acquisition ou d’engagement qui réponde à votre stratégie et qui délivre le bon message à chaque audience. Les supports pour utiliser les campagnes marketing interactives sont mul- tiples, nos marques clientes les plébiscitent pour de nombreux cas d’usage dont : l’animation de leur stand sur salon ou in-store via des tablettes ou écrans tactiles géant, l’acquisition de trafic web ou de drive-to-store, le renforcement des liens avec un réseau de franchisés, la réalisation de focus groups virtuels, la fidélisation de leurs clients, la promotion d’une culture d’entreprise et/ou l’animation d’événements internes.* Best practice : certaines marques optent pour une stratégie d’animation et thde collecte de données en fil rouge sur l’année, afin de qualifier leurs contacts en continu. (*) : Pour aller plus loin, les options pour nous contacter (pigeon, parchemin, fumée) sont à la fin de ce guide ;). TIP Opérations Caudalie avec Socialshaker sur salon, avec jeu sur tablette (en haut), et interaction sur smartphone géant (en bas).

36. 40 12 POINT IV Maintenir la conformité des traitements Un dernier point nous semble clé pour votre conformité avec le RGPD : il s’agit du maintien de cette dernière sur la durée, et de la préparation aux possibles contrôles. Avec le RGPD, les déclarations préalables auprès de la CNIL disparaissent. ATTENTION : Toutefois, pour tout traitement sus- ceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable devra conduire une étude d’impact faisant apparaître les caractéris- tiques du traitement, les risques et les mesures adop- tées. Si l’analyse d’impact révèle que le traitement présente un risque élevé qui ne peut être atténué par le responsable, l’autorité de contrôle devra être consul- tée préalablement à la mise en oeuvre du traitement.

37. 41 CHAPITREIV-POINT12 CHECKLIST pour vous préparer à un contrôle En cas de contrôle, vous (ou votre DPO) devrez être en mesure de prouver la conformité de vos traitements avec le RGPD, et notamment : ❱ la bonne tenue de vos registres de traitements ❱ l’exhaustivité des informations fournies à vos audiences ❱ la preuve du consentement libre, éclairé et explicite de vos audiences ❱ le respect des durées de conservation des DP ❱ la mise en place de mesures de sécurité des DP ❱ le respect effectif du droit des personnes (mise en place d’un contact à qui s’adresser, respect des délais de traitement des demandes) ❱ la réalisation d’analyses d’impact pour les traitements sus- ceptibles d’engendrer des risques élevés pour les droits et liber- tés des personnes concernées (ex : en cas d’évaluation/scoring, collecte à large échelle, utilisation d’une nouvelle technologie etc.). réflexes essentiels à adopter (pour maintenir la conformité dans la durée)* : ● Tenez à jour vos registres de traitement (nouveau formulaire de contact, nouvelle communication, etc.). ● Pour chaque nouveau traitement, pensez à obtenir le consentement informé, éclairé et explicite de la personne concernée et à en conserver la preuve. ● Pensez à supprimer les données personnelles dont le délai de conservation a expiré. ● Veillez à ce que les contrats avec vos sous-traitants soient conformes au RGPDpp. ● Veillez avec votre équipe technique ou SI à l’effectivité des mesures de sécurité. (*) Liste non exhaustive 5 Organisez des points trimestriels avec votre DPO pour être pro-actifs sur les nouvelles actions ou stratégies marketing que vous souhaitez déployer. TIP

38. 42 Le RGPD, un catalyseur de qualité finalement précieux pour les pros du marketing ? fin du mass marketing quantitatif Chez Socialshaker, on pense que le RGPD est porteur d’opportunités pour les marques dans leurs stratégies et leurs performances marketing et digitales. fin des emailings généralistes fin des gaspillages communications affinées cibles plus engagées communautés engagées content marketing fin des pratiques de marketing sauvage

39. 43 CONCLUSION « La course à la plus grosse base va enfin pouvoir cesser ! » Paul Chopin de Janvry, GROUPON FRANCE choix éclairés et actifs impact des messages accrû climat de confiance audiences moins sollicitées, plus réceptives Et si vous tiriez profit de ces nouvelles règles pour généraliser les bonnes pratiques dans votre entreprise et aller encore plus loin dans la qualité délivrée à vos cibles ? On parie que l’engagement de vos communautés (taux d’ouverture des mailings, d’interaction sur les contenus, etc.) va grimper ? Testez vos connaissances avec notre Quiz, et repérez les points à approfondir selon vos résultats.

40. 44 Support Informations à communiquer Charte de confidentialité (Privacy Policy) Formulaire de collecte Type de données collectées Finalités des données collectées et destinataires Durée de conservation des données collectées Lien de désabonnement Contact pour faire valoir les droits des utilisateurs sur leurs DP Données relatives à des mineurs Recours au profilage Garanties en termes de sécurité et de confidentialité TAKEAWAY

41. 45 TAKEAWAY Emailings Charte de gestion des cookies (Cookie Policy) (*) Liste non exhaustive Synthèse des informations à communiquer à vos audiences (clients, prospects, visiteurs web, utilisateurs) dans chaque support*

42. 46 TROIS MARQUES TÉMOIGNENT S ujet pris en compte en amont, nous voyons le RGPD comme un enjeu de marque et de réassurance pour nos clients et prospects que nous plaçons ainsi encore plus au centre de nos attentions. Notre politique stricte sur le sujet peut allonger nos procédures, mais les bénéfices sont immenses : catalyseur de best practices, il accélère aussi nos chantiers en cours. Nos solutions sont nombreuses : guides pratiques et événements pour notre réseau, BDD alimentée en temps réel ou encore sécurisation des flux. Paul CHOPIN de JANVRY Directeur Communication & Business Development, GROUPON FRANCE (fév. 2018) Laurent LE FERS Head of Digital, RENAULT FRANCE (mars 2018)

43. 47 Témoignages B ESTSECRET étant allemand, nos consentements sont déjà conformes et paramétrables (fréquence, type de news) et notre modèle de club sur invitation permet une acquisition opt-in et engagée. Nous déroulons une ré-opt-inisation soft à base de marketing interactif servant aussi à l’animation de la communauté. Grâce au RGPD, nos membres recevront les news qu’ils veulent VRAIMENT et seront plus réactifs. En parallèle, les pros du marketing devront enfin appliquer les best practices du CRM/PRM. L e RGPD, avec nos 17M de membres en France, fait écho au cœur de notre métier. Il constitue des opportunités indéniables, comme la réduction des gaspillages marketing, ou le fait de pouvoir encore mieux proposer nos offres aux membres et internautes. C’est dans le sens de l’histoire : la norme va consister à parler de visiteurs uniques et actifs, c’est un grand progrès. La question de l’accompagnement est essentielle. Certains sous-traitants comme Socialshaker, associés à des avocats, jouent ainsi un rôle-clé de «concrétisation» du RGPD. Mathilde CHENEL Directrice e-commerce France, BEST SECRET (fév. 2018)

44. 48 POUR ALLER PLUS LOIN… Le site de la CNIL propose des conseils ciblés détaillés sur le RGPD pour l’ensemble de vos activités : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels Sensibilisée aux enjeux de la réglementation en matière de données personnelles, l’équipe de SOCIALSHAKER vous accompagne dans l’élaboration de vos campagnes RGPD compliant ! Par Chat sur socialshaker.com Du lundi au vendredi de 9h30 à 19h Par email sur contact@socialshaker.com Notre cabinet partenaire pour ce guide, spécialisé en droit du numérique et sur le RGPD, peut par ailleurs vous guider tout au long du processus. http://www.branquart-toussaint.com Louise Branquart - Avocate associée / louise@branquart-toussaint.com

45. xxxxxxxxxxx 49 NOTES

46. Nous sommes à votre disposition ! Par Chat sur socialshaker.com Du lundi au vendredi de 9h30 à 19h Par email sur contact@socialshaker.com L’ensembleducontenudecedocumentestprotégéparledroitd’auteuretestlapropriétéexclusivedeSocialShaker.Toutereproductioninterdite. CréditsPhotos:AdibeStock,-DR-DirectionArtitsique:LewitPhilippe

Vos campagnes marketing RGPD-friendly en 12 points clés

You are reading a preview.

Check these out next

Vos campagnes marketing RGPD-friendly en 12 points clés

More Related Content

Slideshows for you (20)

Similar to Vos campagnes marketing RGPD-friendly en 12 points clés (20)

More from HelloWork (20)

Recently uploaded (20)

Vos campagnes marketing RGPD-friendly en 12 points clés